Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/9 O' S6 c1 q" Q, t
7 P2 ?$ v m, _2 [6 H. h
大概翻译一下:
8 w1 Y E, q* M0 a- q8 X5 M 4 D$ i* b& D; o, `4 a* S
攻击从12月17日开始......
+ P9 y; |. w5 g% x4 P ]3 k% D 第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')$ \* [9 P' v! G' c* _4 M* v2 s
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
* w( c3 |7 t8 m( Q8 b6 w
^: c& d" `; S 第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
' N) g5 S8 C( ^) }1 Q, ?: u! g3 R
3 w6 m# z4 A) F7 _8 q1 i4 w 第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.
0 i1 }' \' ~8 w7 u9 @! `( h5 E9 I- h6 J8 ^
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.' U$ D: \( _7 O" n+ P
. K1 f& ^7 z$ M2 s 现在攻击者成功上传了文件并使得可以访问. v3 j9 H' ~6 @( P
& O: G7 Y% ` n 第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.
0 D6 t- ]8 s3 v; M) ]. C$ m$ s9 A
8 _" Z' G9 c$ n+ A7 Y: m! O* a 但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).
) F6 K, M3 C& H( \; E
, F. P3 I! ] D9 J7 r# T 由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:# V S' L" z: F4 c
- - [21/Dec/2006:23:23:15 +0200] "GET
0 h% a$ j+ d" Z4 n8 R# `; \/ h/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
) f8 @& L. a# zHTTP/1.0" 404 454
- f2 [( ?- c% y5 j1 W) W( _# @"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a" 6 w' n! W5 |7 c$ R9 J
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" , w/ `& E$ p8 z, Q8 f
复制代码
! L6 h, z7 t2 N/ w5 F/ s2 L/ d一段时间后:
! j% |* S, z! u% s& m' t& S- - [21/Dec/2006:23:23:59 +0200] "GET / C" S9 W2 N9 V7 \
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a + E; ] t8 w) ~. a
HTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" " p( E7 f. s7 ]! @% p( k4 Q
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php * D9 }4 Q9 j! e1 c5 l
HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
% U% Z/ L, w! T+ O' f. A复制代码6 ^% r2 v* N. @& H, z- e q
第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效." C+ t' j( t5 S6 `. H& ?% T
; x2 s3 z) l2 n5 C 第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
4 c% j) p ~3 I/ M- o' d! [- - [22/Dec/2006:01:05:15 +0200] "POST / ~8 p% o! F8 w, {* t
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F * R. j+ f/ |1 g- e
HTTP/1.0" 200 4781
Q$ m7 Z" h+ k. l4 u"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
: A! i3 [$ y2 b"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
2 }1 s; @& ?9 s) e6 B4 OFirefox/1.5.0.9" 1 i; W, [) y- e2 _
复制代码
- L: j' M# r! ? m) s1 p好了,我们的过错如下:5 G) U6 u5 N- R$ I) b, ^
1.拥有一个SB人员连Hotmail XSS都不知道.
% ]( s7 Y) g3 P" f 2.没有找出上传的SHELL.6 k2 W# z/ x0 a! x
3.没有承认JCE组件的劝告建议.( O, S% T2 t& p/ P
4 [, ^% X8 J2 S7 J7 k0 f% ]. r 中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换! C( n" K% C. z5 u0 d8 w, S
|
发表于 2012-9-5 15:06:43
收藏
支持
反对