Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/3 H& O( ?+ Q4 f; P5 m0 V5 M+ V
, L+ |' h+ L- x, H( H* h 大概翻译一下:
- A8 f7 K7 K, L8 d6 H1 A: L , _1 n0 F! [4 i! H
攻击从12月17日开始......9 x1 X9 P$ S7 U! l; ]0 P( h
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')% s% Q t u, S" r. Q( d7 C- {
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
" I. |4 \+ W5 r5 ^4 {- ~0 U$ z. i/ V K+ ^7 {( M
第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
- K& W" K& ^( I: {' e) A1 e
( X7 L% G: V {( F, U8 ~% F 第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.& W* D0 Y$ p+ G/ A+ g6 }: M
; x* b. Q& l8 a 第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.
& }3 @: y- w3 f2 t1 T
+ ~5 L4 v2 B6 V. x8 J7 X" } 现在攻击者成功上传了文件并使得可以访问.
& Q' D5 _. C* \6 ~2 c: ]0 ]! |1 S* O) ]7 ^4 `3 e9 A( I
第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.
5 g) b" V# g2 F+ A5 j+ L5 ~
9 W: D: L# ?3 v2 R% c% A8 H! ]6 s 但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).3 j- f% b& K+ l3 B/ k+ a- z
- n! ], V1 i" ~* Q 由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:
4 f8 @- v+ V9 r g( O3 m- - [21/Dec/2006:23:23:15 +0200] "GET & ?% k z! H; Y& E9 ~ u- \
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
/ R& ` f9 f% p8 ]9 Z: BHTTP/1.0" 404 454
. T Y( e, i( ^+ i8 n; P"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a" ' I5 D/ A: h. G d# `3 j: M
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
' K/ E; b/ u4 C+ k8 O% X复制代码
/ Q. `4 P2 M2 r! S2 o' Y% g8 q一段时间后: x7 x; l. B% n9 U
- - [21/Dec/2006:23:23:59 +0200] "GET
/ K9 n; N0 \; E8 X% i! Q/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
0 M( ]* h7 ~8 b4 q |; c5 v7 `# U rHTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 0 z; k; d) P6 c' u5 k4 w1 ?! Q
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
# E8 Q# ]' K1 m, H* lHTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" ! K M, V! G8 ]% T+ S: j
复制代码! L [2 @ }$ ?& F
第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
; ~* }. W2 O: ?4 l" U6 j; h% N" o* B. H- b7 w( m
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:" w3 V, O0 K7 `; L! ]
- - [22/Dec/2006:01:05:15 +0200] "POST ) C# u' g$ ?- ]; | S* ~5 l* K
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
* E& u4 M% r2 z3 S yHTTP/1.0" 200 4781 5 C7 v" |8 s! J2 M5 e9 I
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
/ w) E9 P2 `# x6 c5 U- ]" g"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206 ; Z/ u6 @/ r, e1 A" I
Firefox/1.5.0.9"
8 o- Q4 ?! m j2 X- t0 V1 {复制代码
1 A3 ?. A5 `- J% Y. A/ _好了,我们的过错如下:% ]1 `. E: w7 p
1.拥有一个SB人员连Hotmail XSS都不知道.) c1 Y$ t% G* ?$ l$ F
2.没有找出上传的SHELL.
$ G$ `9 ?. c# h+ t/ x 3.没有承认JCE组件的劝告建议./ V" Y- a" [; ~0 R
1 o+ ~' H3 Q h5 A 中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换
, P A8 S1 j1 f |
发表于 2012-9-5 15:06:43
收藏
支持
反对