安全管理不善 TOM音街安全隱患扎堆

作者：佚名 2009-11-19 14:01:17

本期主角：TOM音街

問(wèn)題所在：各種漏洞、后門(mén)鏈接

主要危害：網(wǎng)站被黑客入侵

調(diào)研時(shí)間：2009.9.6~2009.11.10

TOM音街，一個(gè)匯集大量歌曲的地方，相信登錄的網(wǎng)民一定不少，但它的安全性卻令人擔(dān)憂。我們電腦報(bào)安全團(tuán)隊(duì)的成員，在該網(wǎng)站發(fā)現(xiàn)多次安全問(wèn)題，涉及目錄查看漏洞、物理路徑泄露、黑客后門(mén)、注入漏洞。這些安全隱患雖然還沒(méi)有對(duì)用戶(hù)帶來(lái)直接的影響，但對(duì)TOM音街卻敲響了安全的警鐘，是時(shí)候?qū)W(wǎng)站進(jìn)行一次徹底的安全檢查了。

發(fā)現(xiàn)第一個(gè)漏洞

在剛進(jìn)入TOM音街的時(shí)候，主要是為了聽(tīng)歌曲，只是非常無(wú)意的一個(gè)舉動(dòng)，在IE瀏覽器返回的時(shí)候想偷懶，因此直接將http://play8.tom.com/player/ splay.php?songid=706463網(wǎng)址后面的字符串去掉了，我認(rèn)為http://play8.tom.com/player/會(huì)直接返回到首頁(yè)，但是我錯(cuò)誤了。

在取出掉網(wǎng)址后面的字符串之后，http://play8.tom.com/player/竟然直接呈現(xiàn)出了網(wǎng)頁(yè)的目錄（圖1）。這是非常致命的錯(cuò)誤，網(wǎng)站出現(xiàn)這種錯(cuò)誤通常只有兩個(gè)原因，管理麻痹大意，配置服務(wù)器的時(shí)候，由于技術(shù)生疏或者忽視，導(dǎo)致了配置錯(cuò)誤，最終出現(xiàn)目錄暴漏。

另外一種原因則是漏洞。例如FTP軟件等造成的漏洞，由于管理員沒(méi)有及時(shí)修補(bǔ)，或者管理員根本就不知道有這個(gè)漏洞，因此就造成了網(wǎng)站目錄暴漏的問(wèn)題。TOM音街的這臺(tái)服務(wù)器就因?yàn)楸┞读四夸洠屛液苋菀椎木瞳@取了網(wǎng)站的結(jié)構(gòu)，還好這個(gè)網(wǎng)站使用的是PHP腳本語(yǔ)言，如果使用的是ASP Access，那么重要的后臺(tái)數(shù)據(jù)肯定會(huì)暴漏在黑客的面前，讓黑客可以輕易根據(jù)數(shù)據(jù)庫(kù)路徑將數(shù)據(jù)庫(kù)整體下載竊取走。
目錄暴漏漏洞很容產(chǎn)生衍生，隨后經(jīng)過(guò)詳細(xì)的查找，我有找到了TOM音街的多個(gè)目錄暴漏點(diǎn)，最簡(jiǎn)單尋找這種目錄暴漏點(diǎn)的方法，就是將網(wǎng)址后面的數(shù)值去掉，或者干脆順著已有的漏洞點(diǎn)擊，就總會(huì)發(fā)現(xiàn)更多弱點(diǎn)。

再報(bào)漏洞——泄露的物理路徑

為了挖掘更多的目錄漏洞，我開(kāi)始逐一點(diǎn)擊各個(gè)目錄，結(jié)果這次掃蕩式的點(diǎn)擊有了更多出任醫(yī)療的收獲，在網(wǎng)址為“http://play8.tom.com/autorun/” 的目錄下，有多個(gè)“.sh”后綴的文件，“.sh”格式文件是UNIX或Linux操作系統(tǒng)的可以執(zhí)行的Shell腳本文件，打一個(gè)通俗的比喻，它非常類(lèi)似Windows系統(tǒng)中可以執(zhí)行DOS名冷的.COM文件。

這些.sh后綴的文件中，通常會(huì)包含有網(wǎng)站在服務(wù)器中的物理路徑等信息。在馬上下載回這些.sh文件后，使用記事本程序?qū)⑽募蜷_(kāi)，果然發(fā)現(xiàn)了TOM音街在這臺(tái)服務(wù)器中的物理路徑為：/www/webroot/a8/upload/tempfile/file。（圖2）

黑客小百科：物理路徑泄露屬于低風(fēng)險(xiǎn)等級(jí)缺陷，它的危害一般被描述為“攻擊者可以利用此漏洞得到信息，來(lái)對(duì)系統(tǒng)進(jìn)一步地攻擊”。提供Web、FTP、SMTP等公共服務(wù)的服務(wù)器都有可能出現(xiàn)物理路徑泄露的問(wèn)題。

比較常見(jiàn)的是Web服務(wù)器的路徑泄露。導(dǎo)致Web服務(wù)器路徑泄露的原因很多，可能是Web平臺(tái)本身、腳本語(yǔ)言解釋器、引擎插件、組件、輔助程序等一些原因造成的，也有可能是腳本編寫(xiě)錯(cuò)誤所導(dǎo)致的。

很多時(shí)候，黑客會(huì)精心構(gòu)造一個(gè)畸形、超長(zhǎng)或不存在的文件請(qǐng)求，而這個(gè)請(qǐng)求是Web服務(wù)器沒(méi)有預(yù)料且不能正確處理的，這時(shí)往往會(huì)返回出錯(cuò)信息——最直觀的就是暴露物理路徑。

得到物理路徑能夠做什么呢？對(duì)于許多黑客而言，物理路徑有些時(shí)候能給黑客帶來(lái)一些有價(jià)值的非公開(kāi)信息信息，比如說(shuō)：可以大致了解系統(tǒng)的文件目錄結(jié)構(gòu)；可以看出系統(tǒng)所使用的第三方軟件；也說(shuō)不定會(huì)得到一個(gè)合法的用戶(hù)名（因?yàn)楹芏嗳税炎约旱挠脩?hù)名作為網(wǎng)站的目錄名）。

最后的進(jìn)攻——PHP注入

雖然得到了TOM音街的物理路徑，但是畢竟都是危害級(jí)別不高的漏洞。不過(guò)管理員竟然出現(xiàn)了如此多的錯(cuò)誤，想必平時(shí)一定不注重網(wǎng)絡(luò)安全，于是我決定挑戰(zhàn)一下，挖掘一下音街是否有危害更大的漏洞，例如注入漏洞。

查找注入漏洞的整個(gè)過(guò)程順利的有點(diǎn)兒讓我無(wú)語(yǔ)，甚至沒(méi)有使用任何輔助工具的幫助，僅是隨機(jī)的點(diǎn)開(kāi)了幾個(gè)網(wǎng)站，然后每個(gè)后面加入了一個(gè)“，”號(hào)，其中一個(gè)頁(yè)面就立刻爆出了MYSQL的錯(cuò)誤提示頁(yè)面。

注入點(diǎn)http://comment.a8.tom.com/user.php?username=546557694。注入點(diǎn)順利的找到了，此時(shí)可以祭出輔助工具幫助進(jìn)行滲透了。我調(diào)出了PHP注入中小有名氣的“Pangolin”，這是一款能夠幫助黑客進(jìn)行SQL注入的最好的工具之一。

黑客小知識(shí)：所謂的SQL注入測(cè)試就是通過(guò)利用目標(biāo)網(wǎng)站的某個(gè)頁(yè)面缺少對(duì)用戶(hù)傳遞參數(shù)控制或者控制的不夠好的情況下出現(xiàn)的漏洞，從而達(dá)到獲取、修改、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器的目的的測(cè)試方法。Pangolin能夠通過(guò)一系列非常簡(jiǎn)單的操作，達(dá)到最大化的攻擊測(cè)試效果。它從檢測(cè)注入開(kāi)始到最后控制目標(biāo)系統(tǒng)都給出了測(cè)試步驟。

在Pangolin的URL一項(xiàng)中輸入查找出的注入點(diǎn)網(wǎng)址，然后點(diǎn)擊Check就開(kāi)始進(jìn)行注入漏洞的檢驗(yàn)了。很快Tom音街?jǐn)?shù)據(jù)庫(kù)的名稱(chēng)等信息就全部被猜了出來(lái)，然后使用MySQL的提權(quán)工具進(jìn)行提權(quán)，添加管理員賬號(hào)，上傳Webshell木馬。

#p#

正當(dāng)我準(zhǔn)備上傳Webshell的時(shí)候，不知道是幸運(yùn)還是不幸，我竟然驚訝的發(fā)現(xiàn)，TOM音街網(wǎng)站中已經(jīng)有許多黑客的后門(mén)了，數(shù)量不低于20個(gè)。半個(gè)小時(shí)之前還興奮的如同收到禮物一樣，而現(xiàn)在則是一盆冷水從頭澆到底。

既然別人已經(jīng)放了后門(mén)了，那么我還上傳什么WebShell，直接借用就好了。不過(guò)由于沒(méi)有密碼，在幾個(gè)黑客留下的后門(mén)試著輸入了幾個(gè)白癡的密碼，結(jié)果都被拒絕了。不過(guò)我很快想到了，許多黑客在上傳Webshell的時(shí)候會(huì)留下大量用后門(mén)頁(yè)面構(gòu)造的虛假文件，根據(jù)日期排序，很快找到了一個(gè)文件，開(kāi)打之后果然看到了密碼，登陸。

TOM音街就這樣失守了。

深度分析

TOM音街大概是最近一段時(shí)間我見(jiàn)過(guò)的知名大站中漏洞最多的一個(gè)網(wǎng)站了，從危害級(jí)別最低的目錄查看漏洞，到網(wǎng)站被植入了20過(guò)個(gè)黑客后門(mén)，真不知道那些平時(shí)使用TOM音街的網(wǎng)友現(xiàn)在后怕不后怕。

導(dǎo)致目錄查看漏洞的原因有多方面，有可能是軟件漏洞，也有可能是管理員在配置服務(wù)器方面出現(xiàn)了差錯(cuò)或者經(jīng)驗(yàn)不足，都有可能造成這個(gè)問(wèn)題。程序出錯(cuò)網(wǎng)上是這個(gè)問(wèn)題的主要原因，錯(cuò)誤處理是各種語(yǔ)言編程中一個(gè)很重要的部分，雖然每種語(yǔ)言都提供了完善的出錯(cuò)處理函數(shù)，但你也得正確使用它。如Perl中的“die”函數(shù)，如果沒(méi)有在錯(cuò)誤信息后面加上“\n”的話，就很可能會(huì)導(dǎo)致物理路徑泄露。然而，腳本程序員卻一直忽略了這些問(wèn)題，任何時(shí)候程序員都應(yīng)該充分考慮，給出完整的出錯(cuò)處理方案。

而對(duì)于網(wǎng)站本身出現(xiàn)注入漏洞，則完全是代碼檢查不嚴(yán)造成的漏洞，如果網(wǎng)站在正式上線前進(jìn)行仔細(xì)的代碼安全監(jiān)測(cè)，哪怕就是最常規(guī)的檢測(cè)，都不可能出現(xiàn)如此低級(jí)的錯(cuò)誤。

最令人嘆為觀止的還是Tom音街中的二十多個(gè)黑客后門(mén)。從時(shí)間來(lái)看，有不少后門(mén)在Tom音街的服務(wù)器中已經(jīng)存在了一段時(shí)間了，網(wǎng)站方面竟然沒(méi)有病毒過(guò)濾和探測(cè)系統(tǒng)，而管理員也沒(méi)有及時(shí)查看服務(wù)器的新增文件變化，這些都是造成如此后果的原因。

TOM音街漏洞列表

目錄查看漏洞

http://upload.a8.tom.com/ZendPlatform/

http://play8.tom.com/autorun/

http://play8.tom.com/upload/

http://play8.tom.com/player/

http://play8.tom.com/zhuanti/

http://play8.tom.com/images/

……

暴露物理路徑文件

http://play8.tom.com/autorun/ClearUploadSession.sh

http://play8.tom.com/autorun/tempClearUploadSession.sh

http://play8.tom.com/upload/tempfile/upload.cgi

……

黑客后門(mén)（WEBSHELL）

http://play8.tom.com/upload/upload_yc2.php