Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/2 @6 ~9 {$ o1 x
6 ] m F7 i$ N# N, V" t 大概翻译一下:
* u% K3 ^2 m# U2 x! _
0 F' o$ f! |9 c: P( i5 r, Q 攻击从12月17日开始......% y7 x2 d5 N' _. S3 J- I6 U% u8 {
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')7 G7 k8 ~/ q3 _6 Z! M" ?
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
# \! z/ I4 j% D+ Y5 _. h% Q/ }" @; B' u0 R f0 H# ^$ ~
第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
, A: m" t3 K' J5 Y0 R
6 H0 E! N2 h5 `9 _3 \) Z4 n; b 第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.
- t- f4 f6 N8 m, j; i! r+ S3 |4 B5 Q3 R9 I
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.' @6 V5 l* s1 b. `* N0 T
; k) _7 X1 n. S0 W
现在攻击者成功上传了文件并使得可以访问.
1 N s9 @ h" }/ Y) P9 {" f m; g$ q0 y0 i. `4 i+ `
第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.
' g8 D3 r4 @4 P/ y% s8 f0 ^) f& v5 ^4 |8 y7 F/ R& [8 V
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).
9 t6 G: w$ H# E: }; [: W1 P) s! Q# M: R
由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:
( o. x5 Q4 u( q* m8 [1 m {* j- - [21/Dec/2006:23:23:15 +0200] "GET
U/ ?. A' @7 }* [& h" L/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
e" t& G& r- b1 [7 iHTTP/1.0" 404 454 1 r2 C8 R1 P4 g! M7 c5 \
"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a"
0 Z: K& `$ \. d/ [/ L"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 7 O% _% I3 O5 Z
复制代码7 Y; y. V8 r9 K6 Z% R7 I
一段时间后:' F; [7 p& W Y [1 w l
- - [21/Dec/2006:23:23:59 +0200] "GET % w* |. R+ N. R3 I& F0 S
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
( S, h( ?" S1 n O) tHTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 0 I( O* H& o0 _& n$ v4 w
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
! N W+ w' T5 q% _4 {9 @HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
( C+ y8 Y" f( Q5 I5 d l6 h7 B复制代码
7 d2 I( H5 m5 H第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
' L5 Z4 b6 Q, h3 z' w v7 O& h3 r7 P; U* c1 S2 D
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
: I0 w: c" i8 e- - [22/Dec/2006:01:05:15 +0200] "POST
2 b# H& i# I( U$ @; B/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F & W3 P# O3 C- ~7 H" j+ |! y6 L5 I" g
HTTP/1.0" 200 4781
8 K2 J @$ N, H: j"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F" 0 V6 ?' A8 B7 u B! M
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
8 t8 z* J& o) i d4 e- ~+ {Firefox/1.5.0.9"
' y5 y1 \6 w! H复制代码
& {: _9 s5 I. w7 u& r' v/ E1 D好了,我们的过错如下:2 U( B T3 M' D5 p; J
1.拥有一个SB人员连Hotmail XSS都不知道.
' q# v G9 f! o1 A3 {: k6 c; ~4 W! N8 Y6 G 2.没有找出上传的SHELL.
2 B6 a) c7 l1 S* ^ S) C7 I$ a0 s, y 3.没有承认JCE组件的劝告建议.- B1 g4 v& M* X9 I5 }. G* |
% H/ H) J5 J& X6 T6 k { 中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换! U$ H3 P3 v& i. d
|
发表于 2012-9-5 15:06:43
收藏
支持
反对