中国网络渗透测试联盟
标题:
zone-h入侵思路的详细内容
[打印本页]
作者:
admin
时间:
2012-9-5 15:06
标题:
zone-h入侵思路的详细内容
Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容
http://www.zone-h.org/content/view/14458/31/
( m, S% e( J9 j
- A, @& c* Q% Y
大概翻译一下:
4 U& M+ `% p/ q& d
2 L2 j, W% `* H. @2 B; ^3 i$ f
攻击从12月17日开始......
0 z; S+ \- r9 l& S% z- }/ K
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')
2 O. s/ F" `% n ? ? n2 p9 U" a% ^
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
; Q1 ^% a/ i! s! {6 m
: a1 c5 a* p3 g
第二步,攻击者使用Hotmail的XSS漏洞(查看
http://lists.grok.org.uk/piperma
... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
3 @. }( X6 J F( ]
: Q8 P5 n: |% }3 s0 b
第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.
! O4 M; i. t2 g4 Y8 \" R& O a( H
& T! P2 H; w& F5 P
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以
www.zone-h.org/
图片文件/图片名 的格式使得zone-h接受了并照了快照公开.
1 Y9 w$ H j6 |/ ]
; U3 b5 e- p) g5 `9 |
现在攻击者成功上传了文件并使得可以访问.
1 x4 J& S7 ^1 S+ }( k8 \
6 U6 v6 g, F# `0 ?9 q
第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.
9 S' O b2 n/ P* l. e: z
5 s/ o* I3 g: W2 H2 }( _4 g
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看
http://secunia.com/advisories/23160/
).
% d' D- V. `* r, i
t% \2 ], M8 x, J4 d( x
由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:
1 ?/ U4 \: L# `0 O/ f0 H! r
- - [21/Dec/2006:23:23:15 +0200] "GET
+ f) z' r" \: \
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
( S, e2 g0 T4 _" \1 e) _. }
HTTP/1.0" 404 454
7 |* \4 u0 g2 x: p
"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a"
% ^/ X* T/ k1 }. h. g9 |: e
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
) P6 w* C6 A9 E1 b0 b p; I2 C
复制代码
0 R8 X$ R6 ?9 S/ g/ X0 x
一段时间后:
! l; V3 V6 Z% \/ t3 V
- - [21/Dec/2006:23:23:59 +0200] "GET
9 T* x! f1 m# I3 A% j7 j4 f4 M) R
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
8 m# R/ ^ ]3 }$ m6 W* [) J
HTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
" L5 B2 ^$ ?& U5 |
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
3 Z, u* H6 ?( ?+ D, X9 J5 n: V
HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
, ~, n) g2 ]; @2 z& y
复制代码
) H+ Z1 g% r* W1 Z% D& \
第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
& O& g6 G0 U/ q
8 [4 E0 E0 ^" g6 t9 e2 z
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
$ y2 i( G# z: \* N5 R" Q
- - [22/Dec/2006:01:05:15 +0200] "POST
0 |) k& O4 ^4 ]7 a
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
8 `' L0 T, t4 f
HTTP/1.0" 200 4781
* p6 e, \* T# Y# ~
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
5 {0 L: n$ J$ P, v- m
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
0 O$ J9 L# F' }! c
Firefox/1.5.0.9"
8 ~' Q: W4 q9 w: Z7 s* Y% m) M
复制代码
3 p" Z4 K" e& H! g8 {
好了,我们的过错如下:
% Z' F: u, Y/ p5 E
1.拥有一个SB人员连Hotmail XSS都不知道.
3 y9 E/ q! R8 F
2.没有找出上传的SHELL.
% u |9 S. w1 M( b
3.没有承认JCE组件的劝告建议.
" u$ r5 x. H; ]2 X' S
/ _& p$ V8 o8 L9 t( K' ~
中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换
+ k6 \1 U S& L* e$ o1 m1 W
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2