鬼仔's Blog

文/ABEND@XUST 西京大学网络安全小组
来源：中国X黑客小组(http://cnxhacker.net/)

黑防推出vip了，值得庆贺。像黑防这样的站，如果搞起来vip，一定比较好做，因为毕竟一开始就是有经济基础的。偶这样的穷学生也刚好跟着进去浑水摸鱼了一把。社会工程学的应用文章baidu上也是一堆一堆的。偶再来说几句吧。

先看看我们的目标：
www.hacker.com.cn/vip
www.hacker.com.cn/vipbbs/
www.hacker.com.cn/vipdown1
www.hacker.com.cn/viparticle/
动网论坛,vip系统未知，需要在vip目录下登陆.登陆后可以看见vip的内容。都是asp的。

分析vip系统，最常见的都是登陆页面那里，登陆成功后，加上session值，然后在每个页面验证一次，或者包含<!–#include file="conn.asp" –>进去。这样的设置，也就是说我们只能从注入，或者拿shell，或者绕过（’or’’=’一类），或者破解。

看看黑防的防御，发现前几种比较“奢望”，还是破解来得“实在”些。要破解，就得“有的破”，简单点就是，你得有用户名才好破密码啊。黑防本身是搞安全的，总不会把用户名列表作个连接给我们的。就像黑防里面的一个帖子回复一样“vip用户名列表应该保密的.否则会造成弱密码一类的问题…”。

第一个漏洞，版面文章题目可见。

不过他说归说，具体做了没有，还是得去看看。动网论坛不是有用户名列表么？就从这里入手吧。
果然vip论坛不让注册，里面的发贴、浏览，只能是vip做的。发现黑防挺坏的，故意让我们看看帖子名称，不让看内容。可惜他们忘了，看见版面里的帖子，就等于看见了帖子的作者，和帖子的最后回复。这不就有用户名列表了么？


后面这张是帖子后面的作者和最后回复，这么清晰的用户名列表。偶不贪心，搜集一点，先进去vip论坛晃晃，毕竟vip论坛和vip文章不是一个登陆口。当然很多人都是用同一个密码。弱密码么，也就是什么123456、用户名就是密码一类的。加入vip的都是初学者，防范意识不强，一般都比较好猜的。我可不敢乱公布，大家自己动手吧。
进去以后第一件事情是做什么？（不知道有读者猜到没有。。。）

第二个漏洞，用户名列表可见。

嗯，聪明点的或者那些老江湖都知道，为了长期生存，为了下次能进来，还是多搜集些比较好，这次可以看见完全的用户名列表了。

这么多人啊，看来黑防真的发财了，一定不介意我继续检测下去吧？先搜集上七八十个人，按照页面来，从最后往前（因为最前面的会变），每天进来溜达的时候搜集上十页八页的。已备“后患”。。。阿编可别吐血，我还真的这么搜集了。这个也是经验，去年某国内著名网站弄会员，偶就干过类似的事情，后来漏洞添补，会员到期，后悔了半天啊。。。

第三个漏洞，论坛验证代替vip文章软件浏览验证。

当时发现了一些个小bug，也可能我的问题，如果登陆选择不保存cookies，就会看不到论坛文章内容。所以我只能选择保存一天。
看够了，就看看vip文章，和vip软件吧，毕竟这个才是目的。当时想的是靠着有些用户会员登陆和vip论坛密码一样。因为毕竟是同一个站点很少人会好几个密码，麻烦。
黑防也是替用户着想。可惜这么一懒，应了两句话“方便的就是不安全的”，“安全和应用总是成反比的”。刚一打开www.hacker.com.cn/vip目录，发现页面好像变了，虽然登陆框还在，不过里面的内容有所不同。原来我在论坛登陆的同时，也符合了文章和软件页面的验证，所以才出来这种情况。

页面奇怪不？正常的vip登陆应该在左侧登陆口出现到期时间和注销。好在已经可以浏览vip的全部东西了。除了还没有做好的目录以外，文章，软件，攻防实验室，都可以看到。

文章技术含量的确不高，不过说明了一些小问题，做安全的时候，不能仅限于一层防线，应该时刻假设别人已经占领了前面的防线，然后再来做后面的防御。