Zone-H被黑过程,在2006年12月22日被首次公开(PS:这个组织计划的真周到,花了5天,7个步骤才拿下Zone-H;Zone-H也真够倒霉的,被黑后还被D;另外如果是国内某个*.S.T的站被黑,估计又要开骂,别想知道到底怎么被黑的,但是Zone-H把内幕完全公开),原英文内容http://www.zone-h.org/content/view/14458/31/3 ]* h& Q) r% W
# L8 G7 M) h$ v9 R6 E 大概翻译一下:# i' x6 H/ o. T( y6 j" `( L
+ L; L0 k+ ]& B' G' x9 J
攻击从12月17日开始......: h# j3 s2 n7 } c' C: V
第一步,攻击者决定以zone-h.org的一个拥有特别权限的为目标.(以下称为''目标'')% `+ p' {( r/ A; O3 E
他对服务器发出了''我忘记密码''的重设请求,这样服务器会发对目标发回一个email地址,Hotmail帐号和新密码.' k" }. L. I1 x+ V A& d" y6 M
. y6 H2 @$ R6 j, v 第二步,攻击者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/piperma ... -August/048645.html)得到目标的Hotmail session cookie,然后进入目标的EMAIL,得到新的密码.
- q3 |8 {8 b% d# P# q! x$ s
' E2 }/ u2 f- ^5 E5 U8 a: C" g 第三步,攻击者得到的目标帐号拥有一个特权可以上传新的论文和图片,使用该特权他上传了一个图片格式的文件,可惜这个文件需要拥有管理权限的人审核批准后才能公开看到,当然,没有被批准公开.而且该目标帐号被冻结.. g- V+ |" F% t8 ^5 H3 Z
" y D# U1 E3 k
第四步,攻击者知道他上传的文件依然在ZONE-H的图片文件没有被删除,他以www.zone-h.org/图片文件/图片名 的格式使得zone-h接受了并照了快照公开.
) Q% D) i, n/ X' d" U. L7 s1 }7 H9 Q3 K% P
现在攻击者成功上传了文件并使得可以访问.
' i3 r+ d: b; R1 ?( Z: h1 v+ F
- A% z, S$ w% D$ f. b 第五步,在第一次的上传攻击者不单单是上传了一个图片文件,还上传了一个PHPSHELL.可惜因为zone-h的安全策略使得不能执行.9 [9 \! {4 L2 E3 v) o4 |- O0 I
9 |# W1 A1 o$ U5 U% J
但是在之前攻击者使用得到的帐号的权限,他知道zone-h的模块中有一个JCE编辑器,该JCE编辑器模块的jce.php拥有''plugin" 和 "file''参数输入变量远程文件包含漏洞(在包含文件时没有进行检查请查看http://secunia.com/advisories/23160/ ).
# x+ Y* @' K# G) k8 F4 _2 I- y% i
, B0 n3 ^3 h8 ^ 由此攻击者知道他终于可以使用这个漏洞执行之前上传的PHPSHELL:
6 ]% e# I5 q4 E+ @- G5 ]. ]- R) a. t- - [21/Dec/2006:23:23:15 +0200] "GET
1 l* s- D2 I1 G4 N% G/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a ' w$ r$ E* k0 H) I w/ y. E
HTTP/1.0" 404 454 0 H, D5 G: q8 C3 O9 R! ~
"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a"
P* c) _3 P& g- d# s/ N; v"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
2 P( x8 q1 a+ I( S复制代码
# j6 {( N. j+ s- U; K. @. |4 T一段时间后:
5 i+ m+ P. r @7 D5 S- - [21/Dec/2006:23:23:59 +0200] "GET 7 ~6 o1 s4 v3 A7 \9 D% W$ |: G
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a % ^ C0 U6 `7 L t6 q$ P
HTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" ( [1 I& Z u2 c
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php ' \0 e' S( D7 m) r. v/ _: d" f
HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)" 5 m$ M& [ w: Y7 a. K3 K
复制代码
1 ?( ~" I; D: S) ~# o第六步,攻击者这个漏洞执行之前上传的PHPSHELL建立了一个目录(/var/www/cache/cacha),再建立一个新的SHELL(020.php),再建立一个自定义的.htaccess令到mod_security在该目录失效.
; z6 D ]+ U5 z" c% g1 l' ^! N' d5 I3 s. l9 |* @
第七步,攻击者使用这个新建的PHPSHELL(没有了mod_security的限制)修改configuration.php文件并嵌入 一个HTML的黑页: \) X; X2 A7 ~; `2 v3 ?
- - [22/Dec/2006:01:05:15 +0200] "POST . Y, |! b" _/ `" Y) Q `
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
5 r8 `2 k" F6 L! ?- s) gHTTP/1.0" 200 4781 # |: ?% U8 Q$ a3 z* P6 \
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
7 h6 f/ R) Q7 D. ~; Q2 b"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206 $ B- {, X2 k8 m: ]
Firefox/1.5.0.9" % x! ^! P$ X1 U1 X9 a. y! v0 l# {
复制代码
# B9 e) Z/ i4 V好了,我们的过错如下:
6 k# ~, p* ^, N; y: g v! `/ ] 1.拥有一个SB人员连Hotmail XSS都不知道.
/ b) T8 l6 r5 Z- e. V: O$ H/ u 2.没有找出上传的SHELL.
" T4 s4 ~0 Z! \, g; X) r h* l 3.没有承认JCE组件的劝告建议.
* {1 a( ~* s, G4 y H* l6 g3 R6 ]! U
中国北京时间2007年4月18日1:40分左右,著名黑客站点zone-h.org首页被中国黑客替换
( m0 ~2 m: K) ]: n; u; U5 @8 G. u, ^ |
发表于 2012-9-5 15:06:43
收藏
支持
反对