发布时间:2005-01-11
严重程度:高
威胁程度:BLOG管理员权限被获取,用户信息泄露,
错误类型:错误地解码
利用方式:绕过验证直接进入admincp.asp对BLOG进行管理控制
受影响系统:IIS,LBLOG所有版本,其它ASP开发的BLOG
描述:
最近,我在我的BLOG访问里发现一些奇怪的访问来源,
如https://www.zuola.com/register.asp?action=agree
正确的地址应该是https://www.zuola.com/weblog/register.asp?action=agree 才对.
并且在用户列表里发现有大量的随机注册用户名.
引用自
97$nbsp$$nbsp$6J1z_1G8m_5M3e$nbsp$$nbsp$2005-01-11 9:15:08 AM$nbsp$$nbsp$61.183.65.100$nbsp$$nbsp$
96$nbsp$$nbsp$5F1u_5N5x_7F8v$nbsp$$nbsp$2005-01-10 9:34:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
95$nbsp$$nbsp$7F3q_5K2d_8M6s$nbsp$$nbsp$2005-01-10 9:32:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
94$nbsp$$nbsp$3G5f_1U0h_4D7c$nbsp$$nbsp$2005-01-10 9:32:30 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
93$nbsp$$nbsp$0Y4t_8S8n_6A0h$nbsp$$nbsp$2005-01-09 5:37:40 PM$nbsp$$nbsp$220.161.161.93$nbsp$$nbsp$
90$nbsp$$nbsp$7Z6m_2R4o_8Q7m$nbsp$$nbsp$2005-01-07 5:53:04 PM$nbsp$$nbsp$221.231.119.51$nbsp$$nbsp$
89$nbsp$$nbsp$6P1p_4E0g_8E0w$nbsp$$nbsp$2005-01-06 7:11:27 PM$nbsp$$nbsp$61.149.130.245$nbsp$$nbsp$
88$nbsp$$nbsp$2I8i_3W1p_3F4c$nbsp$$nbsp$2005-01-06 1:33:20 PM$nbsp$$nbsp$221.6.29.84
96$nbsp$$nbsp$5F1u_5N5x_7F8v$nbsp$$nbsp$2005-01-10 9:34:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
95$nbsp$$nbsp$7F3q_5K2d_8M6s$nbsp$$nbsp$2005-01-10 9:32:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
94$nbsp$$nbsp$3G5f_1U0h_4D7c$nbsp$$nbsp$2005-01-10 9:32:30 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
93$nbsp$$nbsp$0Y4t_8S8n_6A0h$nbsp$$nbsp$2005-01-09 5:37:40 PM$nbsp$$nbsp$220.161.161.93$nbsp$$nbsp$
90$nbsp$$nbsp$7Z6m_2R4o_8Q7m$nbsp$$nbsp$2005-01-07 5:53:04 PM$nbsp$$nbsp$221.231.119.51$nbsp$$nbsp$
89$nbsp$$nbsp$6P1p_4E0g_8E0w$nbsp$$nbsp$2005-01-06 7:11:27 PM$nbsp$$nbsp$61.149.130.245$nbsp$$nbsp$
88$nbsp$$nbsp$2I8i_3W1p_3F4c$nbsp$$nbsp$2005-01-06 1:33:20 PM$nbsp$$nbsp$221.6.29.84
$nbsp$$nbsp$
我猜想这是某些"黑客"在用一个自动化的小工具帮我做安全测试,但从目前来看,他并没有成功,也没有对我的小站进行任何破坏.
正巧,这些天看到安全焦点有一篇技术文章提到利用%5c绕过验证,发现我的站点也可能是被别人用%5c漏洞测试了,%5c是\的url编码,iis跳转到上一级目录去找,可用来导致数据库出错,实现数据库地址暴露,简称"%5c暴库"吧.
幸好我在刚安装了SIC的LBS时就加上了防暴库语句
On Error Resume Next
Conn.Open
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
Response.End
End If
Conn.Open
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
Response.End
End If
《利用%5c绕过验证》的作者在文中提到曾拿大名鼎鼎的“洞”网论坛开刀,不过失败了,因为它的数据库连接文件里也有上面这么一段容错语句。而我的容错防暴库语句本来就是抄“动网论坛”的,所以很侥幸的躲过这次《利用%5c绕过验证》危机。
建议: 我记得SIC发布的BLOG版本中都没有加上防暴库的容错语句,虽然最近还没有听说LBS版本的BLOG用户发现站点被黑,建议所有LBLOG用户在common.asp中加上容错语句:
把
Conn.Open
改为
$nbsp$$nbsp$On Error Resume Next
$nbsp$$nbsp$Conn.Open
$nbsp$$nbsp$If Err Then
$nbsp$$nbsp$$nbsp$$nbsp$err.Clear
$nbsp$$nbsp$$nbsp$$nbsp$Set Conn = Nothing
$nbsp$$nbsp$$nbsp$$nbsp$Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
$nbsp$$nbsp$$nbsp$$nbsp$Response.End
$nbsp$$nbsp$End If
$nbsp$$nbsp$Conn.Open
$nbsp$$nbsp$If Err Then
$nbsp$$nbsp$$nbsp$$nbsp$err.Clear
$nbsp$$nbsp$$nbsp$$nbsp$Set Conn = Nothing
$nbsp$$nbsp$$nbsp$$nbsp$Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
$nbsp$$nbsp$$nbsp$$nbsp$Response.End
$nbsp$$nbsp$End If
%5C 这招不是只对后缀为 ASP/ASA 的 MDB 有效吗!?
这我就不清楚了,我不懂黑客技术.反正黑客们的"%5C"有多种用法.
西安这里电信越来越垃圾了
现在全面对IP进行劫持.我朋友的电脑,为了方便,我帮他把ADSL调成路由模式,现在包括BAIDU.COM 17173.COM HX2004.COM 很多网站都打不开了.
借你的地方说句话.
鄙视电信的所作所为.
让我们一起鄙视吧~
楼上的, [sweat] 冇眼睇~~~用代理咪得咯~呼呼~
0xf0[b]里已经有了,是你没更新吧~
$nbsp$$nbsp$If Err Then
$nbsp$$nbsp$$nbsp$$nbsp$Set Conn=Nothing
$nbsp$$nbsp$$nbsp$$nbsp$Err.Clear
$nbsp$$nbsp$$nbsp$$nbsp$Response.End
$nbsp$$nbsp$End If
[/b]
我用的是0xf0,没用0xf0[b],所以…
不过,有些人用的LBS版本比我用的0xf0还低,应该升级一下了:)[/b]
又是安全问题,现在咋这么多黑客了?有本事去黑美国的呀