找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2091|回复: 0
打印 上一主题 下一主题

zone-h入侵思路的详细内容

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-5 15:06:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/
! O8 P7 j! I8 G' Q2 D) t3 x# V/ O* t" @
大概翻译一下:
- K. F" m( D$ z: l" n
& K  z$ Z: T1 G5 K. { 攻击从12月17日开始....../ X1 S: N2 V/ q8 e) x
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')% }7 R" v6 z, {8 H
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
7 x9 C0 z* V+ [- q: H4 Q
, L# P9 U/ T1 L  [' G+ t" j 第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码." Q6 Y; y( b- N2 `' l
% M0 x# A. F! ]4 d* Y8 Q
第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.
9 _5 M% y4 B5 ]% g4 h7 J7 s% K, k  {# ?+ b) M" u) j
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.* J3 h+ L9 }' L+ E

/ S; }# t* @4 z( p$ j- `1 E 现在攻击者成功上传了文件并使得可以访问.
4 Y9 d+ h" F2 X" h* h# L/ l+ V. P5 B
% z: A3 x1 n4 e5 w! Z 第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.
2 z# Q7 R1 q0 V$ j4 p+ X3 M0 c- [1 L3 J# ~
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).
7 B+ j. u2 W- j, l! ~9 ]1 r4 M' z: E& q- T1 z! v
由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:7 w7 w0 C! V3 m: f$ b6 B
- - [21/Dec/2006:23:23:15 +0200] "GET
9 o# V% S# F" G+ X/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
; N' z: E4 L/ v/ v4 V. N) hHTTP/1.0" 404 454
6 U! X! O( f) U) T"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a" 5 H# Z  }% l* Q6 o% ^) @
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" $ ^. _1 v, e9 L' F1 B( O0 L; A
复制代码$ Z' r9 r) }+ X+ P5 D, I$ `' l- t
一段时间后:
) P; D# }. T- Q* u( H- - [21/Dec/2006:23:23:59 +0200] "GET ( w5 c. t/ j+ S+ L! e* G
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
' z8 Y  g. ^) ]/ a+ U! CHTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 6 F3 A2 m6 A6 H
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
0 x. C  L! C, F. A" sHTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
9 ?% `6 g+ v! q/ d  v* |复制代码) Y! ~3 S8 g6 D' X
第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
1 ^4 V! L7 t4 F: y5 F
* ]) M# Q+ V/ w1 \% l2 [& T 第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
8 @; ]9 q4 d! k$ \" {; }: v- - [22/Dec/2006:01:05:15 +0200] "POST % W6 C: C' G! p; A; M! b0 v3 f
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
2 c; l+ A4 Q0 Z  M# ~' `9 k( fHTTP/1.0" 200 4781 $ L  q  o- Q8 y4 B. S- ?# P- P! o
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F" / {3 g$ C. |; R
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206 ! ]4 ^3 d6 n3 p! R
Firefox/1.5.0.9"
! k* Y3 H/ {" j4 I8 q7 L复制代码7 r8 F' C) O4 y$ x# y; ~" p$ V
好了,我们的过错如下:1 u. f$ n- G, J
1.拥有一个SB人员连Hotmail XSS都不知道.
8 H6 o4 U3 k3 p7 A% q 2.没有找出上传的SHELL.: {$ m' d7 q' C; b4 L: T# ~7 F
3.没有承认JCE组件的劝告建议.
+ D: E9 o) M" `% A3 j. |0 {8 i' O0 f" ^4 K/ F: e, {" l
中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换& F3 t1 |5 `! w% B, J4 X- h
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表