OBlog博客程序(一套Windows NT服务环境下的多用户博客建站程序)形成的注入漏洞主要还是变量没有经过过滤引起的,该漏洞存在于文件js.asp之中。通过对js.asp文件的查看,我们就能很明显地看到TID(Thread ID线程标识符)没有经过过滤就直接递交给函数TEAMID,而函数TEAMID只过滤了“|” 就直接进SQL语句了,因此对攻击者的注入操作没多大的影响。
注入成功后即可进行数据库管理员表的猜解,但是后面发现可以直接用SQL语言中的UNION命令暴露管理员的账号密码,被暴露的账号密码就藏在网页源文件里。通过查看网页源文件,在源文件的代码gid后面的就是管理员账号,而 pid后面的就是管理员的MD5密码了。
漏洞利用
打开搜索引擎,在关键词输入框中输入“Copyright by OBlog.cn”,然后按回车键开始进行搜索。或者直接运行“OBlog4.X漏洞暴管理员密码工具菜鸟智能版”,接着在程序界面中点击“搜索OBlog”按钮,搜索受影响的OBlog博客系统(图1)。
从工具窗口中的搜索结果中任意选择一个链接,然后将该博客的网页地址复制到利用程序的“目标网址”选项中,接着点击工具中的“暴管理密码”按钮。浏览器页显示完毕并提示成功后,点击鼠标右键中的“查看源文件”命令,即可获取管理员的用户名以及MD5密码(图2)。WWw.iTcOmputeR.COM.cn
点击漏洞利用工具中的“XMD5密码破解”或“CMD5密码破解”按钮,这时利用工具将主动利用系统浏览器登录这两个MD5密码破解网站。将前面获取的管理员MD5密码复制到密码破解框中,点击“MD5加密或解密”按钮进行密码破解。如果运气好的话,就可以在该网站数据库中找到合适的相关数据,那么很快就可以得到破解的密码信息(图3)。
如果通过网站不能破解MD5码,就要通过在本地计算机进行解码。MD5Crack是MD5破解中最常用的工具。它最大的特点是速度方面比很多同类工具都快,不过这种方法要牺牲大量内存来换取速度。
最后我们通过浏览器登录该博客网站,在登录窗口输入管理员的用户名以及破解的密码。成功登录以后可以对博客网站进行管理操作,比如数据库管理、上传文件、网页挂马等(图4)。
如何清除7y7.us木马 近期我们检测到一地址为7y7.us的恶意网站异常活跃,已持续两周高居读者投诉数量之首,普遍反映受此恶意网站攻击后极难彻底清除,甚至造成局域网大面积感染。www.sq120.com推荐文章
树树在调查中发现,打开恶意页面http://7y7.us/1.htm后杀毒软件报告发现病毒。深入分析后发现在网站Sign目录中存有大量木马下载者,名称分别为csrss.exe、smss.exe、IEXPLORE.EXE、svchost32.exe、ctfmon.exe、mms.exe等,企图仿冒系统进程混淆视听。
这与前段时间曝光的4255.biz一样都是利用了微软MS06-014和MS07-017漏洞下载木马,并实施ARP欺骗攻击,同时还会通过闪存、MP3等移动存储工具传播。由于此恶意网站服务器托管于美国,目前依然在频繁更新病毒以逃避杀毒软件查杀。
解决方法:大家应尽快安装上述系统补丁,建议网管及普通用户将此域名和IP地址添加到路由器或IE受限地址栏中予以屏蔽,受感染的用户请进入安全模式删除硬盘(移动存储设备)根目录中的Autorun.inf及Ghost.pif文件,然后用杀毒软件全盘扫描。
本周其他流氓网站
12rr.com
恶意链接: http://12rr.com/1.htm
投诉人数:320
危害程度 ★★★★
IP:61.152.157.106
虚假空壳网站,页面挂有恶意程序窜改用户系统,并利用网页统计器调查受感染人数及地域分布,根据其统计数据预测感染网民已达数万人。
解决方法:在IE受限访问地址中屏蔽此域名及IP,360安全卫士已可将其清除,请先删除IE临时文件夹,进入安全模式清理。
YCDY另类娱乐
恶意链接:http://www.ycdy.com
举报人数:169
危害程度 ★★★☆
IP:61.172.249.215
利用系统漏洞,首页挂有数个木马及脚本病毒,窜改系统。在K1目录中更隐藏着大量病毒。
解决方法:先安装MS07-017补丁,删除IE临时文件夹,进入安全模式用杀毒软件查杀,注意禁用未知启动项。
造爱网络
恶意链接:http://www.zqqa.com
举报人数:43
危害程度 :★★★
IP:125.65.110.169
页面挂有病毒名为Script.HttpDownloader.i的木马下载器及恶意广告程序,其提供的QQ空间代码具有潜在危险性。
解决方法:在IE受限地址栏中屏蔽此域名及IP,QQ空间用户注意如链接有此站提供的代码应尽早删除以免中招。
如何彻底清除安装的软件
对于我们这些把“用电脑就是用软件”这句名言贯彻到底的人来说,每天都会下载并使用各种软件。但现在流氓软件和木马大行其道,下载的软件安装时,就怕它神不知鬼不觉地在我们的注册表和启动项里加入恶意的东西。
想知道我们安装的软件都向系统写入了什么东西吗?笔者向大家推荐一款监视软件安装的软件——Total Uninstall(下载地址:http://download.cpcw.com)。它能帮你监视软件安装的所有过程,记录下它对系统所做的任何改变,并制作成安装前和安装后的快照(图1)。
如果觉得某些软件不好用,卸载软件时,不用卸载程序,直接通过该软件便可将它完全地清除出系统,不留下任何痕迹,从而保证了系统的清洁。
在安装软件前,点击“浏览”按钮,找到你所要的安装程序,点确定就能自动显示“应用程序名称”了,然后在快照里随便输入一个快照名称,点击下一步。然后Total Uninstall便会分析现在系统的注册表和文件系统。
显示分析界面后,就进入安装界面,点击下一步就能安装软件了。这里要提醒大家注意,安装软件只要一路按下一步就行,不要选择程序的安装路径,因为若选择了安装在其他盘,它的自身卸载功能是无法完全卸载软件的。
安装完毕后回到软件最初的界面了,点击界面上的“更改”就可以看见软件更改了什么系统文件,建立了什么注册表文件,这些都会一一列出(图2)。
这个软件的一切行为就都在我们的眼皮底下了,这样它修改了系统的什么配置我们都知道了。
From:http://www.itcomputer.com.cn/Article/Network/201309/437.html