Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/
/ \+ D. ~( E. c: A0 P$ k8 B9 u! C X+ l F3 `3 F: w; O* I! c
大概翻译一下:% \3 S( L( j8 S1 {
; ]% k/ r& J4 Z8 @5 Y' m
攻击从12月17日开始......3 h% I. k {, f) u: u) |
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')
' V4 R5 `4 a$ W' A$ s0 n 他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
, {0 z4 G, w" J- ?& k1 H& a8 O, d( K$ Z5 C0 h; X2 `( p( Q
第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
8 r( `- E. C, N- e1 e5 p& `3 J; X+ C9 y, V+ q! B; r
第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.9 V. U1 l* R- h! G6 w
& W( e; ?$ B# y1 u2 B3 l1 m0 [
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开., u) R7 @+ A d
: W+ v6 Q9 \( J3 U q$ @; r% U, G8 ]
现在攻击者成功上传了文件并使得可以访问.
, x: I$ ?5 |5 u+ V% k+ J
$ P. a. ]5 r1 m0 A" C9 g6 @& ^# e 第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.5 p( _9 U6 x6 g8 @4 K$ l+ F
: b, C) Z' \( y* t7 M/ z
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).
0 o0 k6 o5 m- w& b! w& X3 }
. q/ u( Q# ~ `: G: l/ ]9 S 由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:8 z9 A5 P0 c9 e. S8 E- k) u
- - [21/Dec/2006:23:23:15 +0200] "GET 0 H$ T/ ^6 \: h; l
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
6 D! N/ k- X4 O9 P" ZHTTP/1.0" 404 454 # I* ~, Z) @1 Y; y0 Z x
"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a"
* m, c/ h% C% {/ Y, x, ~"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" $ a' v( l- }% ^+ R& O: @
复制代码
m* A; f% [# W8 {% H一段时间后:
- y! W) s2 H: E* ^0 ^/ k @/ L- - [21/Dec/2006:23:23:59 +0200] "GET
7 P' n4 j1 o- H* `8 K2 y3 S/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a 1 } F2 n( ^+ u! p @# ^6 ~. L
HTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
) D, I8 R) h' A9 q8 g212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
, Q) d. |) b B: U. \6 ]HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
) E4 o& C9 y5 e | r复制代码
$ o; D2 j: J* \/ G第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.1 l- ?3 f8 T$ Z3 l- l4 |+ b
5 g% b6 ~: A6 c0 K0 p2 x$ a2 g R
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
2 p+ \& P$ S6 { n5 C7 B- - [22/Dec/2006:01:05:15 +0200] "POST
: f* w8 y1 r1 T" ?# L }+ W/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F 9 r2 P1 H+ W6 W# S
HTTP/1.0" 200 4781
1 K! c3 H3 i: b% a9 A"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F" 5 L* L( t0 V* s
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
' _% K: q# Q8 ~8 D( R3 @! ~Firefox/1.5.0.9"
* R, u# Q9 H! H( d7 c4 t: c M% ?* U复制代码" c; y! R4 W! @7 Y3 t: H
好了,我们的过错如下:
( \# q0 u! H6 f7 r! r* l 1.拥有一个SB人员连Hotmail XSS都不知道.8 |. u/ c" k- b
2.没有找出上传的SHELL.2 _ r# j% F9 x& }4 q6 t
3.没有承认JCE组件的劝告建议.' e& x2 W# C; U. z) k9 H4 } S0 S- W
: u# Z8 u7 j8 b) m$ c7 ^& o6 g+ R/ [
中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换
/ J* ?. ?* I9 W5 W' s |
发表于 2012-9-5 15:06:43
收藏
支持
反对