不应沦落的网站数据
陈小兵
相对过去几年,现在的网站安全提高了很多,但在实际情况中还存在中一些不注意的细节,就网站本身来说已经很安全了,程序上基本不存在漏洞,服务器权限也设置的比较严格,通过旁注也不能获取网站系统的shell,可以说在没有特殊的情况,基本很难拿到网站数据。然而一些管理员往往在对网站进行备份和维护时,由于遗忘或者大意,在在对网站代码进行处理后,未及时删除整个网站源代码和数据的压缩文档,因此给网站带来很大的安全隐患,本文就针对这种情况介绍了一个实际的案例,尽管该网站已经不存在了,但对从事网站维护和安全管理的人员还是有一定的借鉴意义,有关更多的技术探讨,请去我们的技术论坛——AST安全技术(www.antian365.com)一起探讨。
1.获取网站源代码
获取网站源代码有多种方式,一种就是通过分析网站的关键字、版权等信息,进而获取系统采用什么版本的软件系统,最后到官方下载站点进行下载;另外一种就是通过漏洞检测程序进行扫描检测,当网站根目录中存在压缩文档,即可给出扫描结果。有些时候也可以手工检测,例如在网站地址后加上web.rar、wwwroot.rar、以及以网站名称命名的压缩文档,例如本例中的blogdj.cn.rar;一般来说可以适当的借助社工进行猜测。如图1所示,直接输入http://www.blogdj.cn/web.rar就可以进行下载,从图1中我们看到该压缩文件有634M,应该是该网站源代码和数据的整个压缩文件,将其下载到本地进行分析。
图1 下载网站源代码
2.分析网站源代码
从下载的网站源代码中我们知道该网站系统是blog和cms的结合体,从中主要寻找数据库连接文件,由于是php编码的,因此重点寻找config.inc.php之类的文件。在asp中重点寻找conn.asp、db.asp、config.asp以及dbconn.asp等;在asp.net中重点寻找web.config等涉及数据库连接的文件,如图2所示,找到该的是Mysql数据库连接文件。数据库文件一般在当前根目录或者includes这类的文件夹下。从图2中我们知道该数据库可以直接使用
用户“Root”和密码“7419638520”进行连接,且数据库用户名称“blogdj”,对应该数据库的密码是“bbd123”。
图2 获取数据库连接文件
3.查看该网站数据库端口开放情况
先使用命令“ping blogdj.cn”获取网站IP地址“121.11.253.154”,然后使用“sfind –p 3306 121.11.253.154”查看MySQL数据库3306端口是否开放,如图3所示,服务器上3306端口对外开放,可以从本地连接服务器。
图3 获取服务器IP地址和数据库端口开放情况
4.从源代码中获取有用信息
图4 使用phpMyAdmin成功进入数据库管理
5.管理和操作数据库
如图5所示,在phpMyAdmin管理界面的左边,我们选择blogdj(35),该数据表明blogdj一共有35个表,在该列表中我们还可以选择其它数据库进行查看,在图5中我们可以直接修改数据库表中的数据,可以新建表,删除表中的数据等操作,还可以直接导出webshell。phpMyAdmin提供的功能非常强大,在图5中我们可以查看该网站的管理员用户名称和密码,通过修改或者破解密码,可以直接以管理员身份登录该网站系统,总之在这种情况下可以进行很多操作。
图5 操作blogdj数据库
5.防范与总结
就本例而言,数据库密码也不是那么轻易被破解的,由于管理的疏忽在网站根目录中保留了网站源代码的压缩文件,一旦这些文件泄露,那么将给系统带来很大的安全隐患。因此在平时的安全维护中可以采取一些安全措施:
(1)查看网站目录存在的文件,有无特殊文件,例如压缩文件,编辑器编辑后备份文件,如果有,建议复制到其它的地方或者直接删除。
(2)如果不涉及文件下载,那么可以对网站进行设置,是网站不支持rar文件直接下载。
(3)定期维护网站,观察网站中的蛛丝马迹,以不变应万变,有时间还可以分析一下IIS的日志文件查看是否有rar下载。
说明:写本文时,该网站已经停用很久了,本文仅仅是进行技术分析,切忌违法乱纪!
本文出自 “simeon技术专栏” 博客,请务必保留此出处http://simeon.blog.51cto.com/18680/223982
不应沦落的网站数据
社区:
