Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/
: v" Y% \, E8 d+ R/ m" w2 F7 f7 |2 F4 n9 Q" @6 ?8 a
大概翻译一下:; k# r+ y3 W, C) ~, J2 N8 t
0 N" f; r: d8 Z, f; o8 O' W( E
攻击从12月17日开始......
' H3 Q- {. h- X4 ~ 第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')
( }+ g) X; ?" H# A* E) A 他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.
8 W6 U# _; s* C* @: m
0 T: Y' ~$ @' @; j s) `. m- Z 第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
; I8 g2 o, S/ r, i6 `* q" \) a: e( u( e/ l- j- P
第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.0 `( H4 z; h `
7 I/ g9 M1 G2 x* [' e% J* ]+ }" C+ m 第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.7 c R2 K! q& N6 B
( P- a7 T3 P- n9 D, h6 p1 [- ~1 ?
现在攻击者成功上传了文件并使得可以访问.
4 N" V: u% l. G h3 H$ ]% `+ |/ S$ K' w& U# y" Y: w
第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行." P. s4 e+ B2 w: U
$ m' @% b' |. y# ~2 o6 ^
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).8 Y5 p; W" p+ x c, [) j
2 }; @+ a& |0 f, E v9 B 由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:$ Z* @' ?. z/ A+ _- i$ Z
- - [21/Dec/2006:23:23:15 +0200] "GET ! n) m/ n. W' D/ \7 V! ?( d( W
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
7 ?1 N' F. D3 U% z# |; ~HTTP/1.0" 404 454
3 Z' c9 ?6 i; }$ u. Y7 n"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a" * o t4 _7 B) F
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
2 {( m- f1 z" R! [, H, s" i: r9 b复制代码/ m" ^+ H2 V* H( s7 t- p
一段时间后:
7 E* j- l& j7 Y- - [21/Dec/2006:23:23:59 +0200] "GET
_1 O G1 O' W" b: ]/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
, \& K/ F( w [) H! w" yHTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" o9 {# M# k. I8 Z
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
2 [1 `! z9 {8 z* Z! f8 hHTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 7 B' H5 e2 d0 J$ @( Z2 R
复制代码
, c' z, y' K. |0 L4 h1 Q第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
: i8 H/ y- M; D, W5 _- \/ m0 A0 n! J
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页:
4 G% m \# B |$ g* ? v. B- - [22/Dec/2006:01:05:15 +0200] "POST ! z* o8 y+ W: g% c: l$ i0 T) \
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F 7 M" K, C" ~+ Y2 [; A! b- _* J
HTTP/1.0" 200 4781 / K2 b! d, x+ _. S2 M6 ^
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
( w& Q8 ^; e6 j5 m/ F r"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
$ S8 l& @6 s& F" h9 eFirefox/1.5.0.9" - |& {' V0 p1 v2 Y$ c7 z
复制代码
! y+ d' ]! }7 [% x {! l. E好了,我们的过错如下:
$ h" I: J0 G- c; s9 k2 J3 z) T% f 1.拥有一个SB人员连Hotmail XSS都不知道.
+ W( j# Q$ p7 ]& f$ X" X 2.没有找出上传的SHELL.
& d1 b5 M" Y0 G- _- ^1 l4 p9 z7 T 3.没有承认JCE组件的劝告建议.* i: W9 c: G7 V# T R' @
2 F1 R! X$ S7 q9 z8 g0 w: S
中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换
, F: Q) t1 D6 ^+ J" B- k1 N: _$ s |
发表于 2012-9-5 15:06:43
收藏
支持
反对