本期主角：TOM音街

問題所在：各種漏洞、后門鏈接

主要危害：網站被黑客入侵

調研時間：2009.9.6~2009.11.10
 

TOM音街，一個匯集大量歌曲的地方，相信登錄的網民一定不少，但它的安全性卻令人擔憂。我們電腦報安全團隊的成員，在該網站發現多次安全問題，涉及目錄查看漏洞、物理路徑泄露、黑客后門、注入漏洞。這些安全隱患雖然還沒有對用戶帶來直接的影響，但對TOM音街卻敲響了安全的警鐘，是時候對網站進行一次徹底的安全檢查了。

發現第一個漏洞

在剛進入TOM音街的時候，主要是為了聽歌曲，只是非常無意的一個舉動，在IE瀏覽器返回的時候想偷懶，因此直接將http://play8.tom.com/player/ splay.php?songid=706463網址后面的字符串去掉了，我認為http://play8.tom.com/player/會直接返回到首頁，但是我錯誤了。

在取出掉網址后面的字符串之后，http://play8.tom.com/player/竟然直接呈現出了網頁的目錄（圖1）。這是非常致命的錯誤，網站出現這種錯誤通常只有兩個原因，管理麻痹大意，配置服務器的時候，由于技術生疏或者忽視，導致了配置錯誤，最終出現目錄暴漏。

另外一種原因則是漏洞。例如FTP軟件等造成的漏洞，由于管理員沒有及時修補，或者管理員根本就不知道有這個漏洞，因此就造成了網站目錄暴漏的問題。TOM音街的這臺服務器就因為暴露了目錄，讓我很容易的就獲取了網站的結構，還好這個網站使用的是PHP腳本語言，如果使用的是ASP Access，那么重要的后臺數據肯定會暴漏在黑客的面前，讓黑客可以輕易根據數據庫路徑將數據庫整體下載竊取走。
目錄暴漏漏洞很容產生衍生，隨后經過詳細的查找，我有找到了TOM音街的多個目錄暴漏點，最簡單尋找這種目錄暴漏點的方法，就是將網址后面的數值去掉，或者干脆順著已有的漏洞點擊，就總會發現更多弱點。

再報漏洞——泄露的物理路徑

為了挖掘更多的目錄漏洞，我開始逐一點擊各個目錄，結果這次掃蕩式的點擊有了更多出任醫療的收獲，在網址為“http://play8.tom.com/autorun/” 的目錄下，有多個“.sh”后綴的文件，“.sh”格式文件是UNIX或Linux操作系統的可以執行的Shell腳本文件，打一個通俗的比喻，它非常類似Windows系統中可以執行DOS名冷的.COM文件。

這些.sh后綴的文件中，通常會包含有網站在服務器中的物理路徑等信息。在馬上下載回這些.sh文件后，使用記事本程序將文件打開，果然發現了TOM音街在這臺服務器中的物理路徑為：/www/webroot/a8/upload/tempfile/file。（圖2）

黑客小百科：物理路徑泄露屬于低風險等級缺陷，它的危害一般被描述為“攻擊者可以利用此漏洞得到信息，來對系統進一步地攻擊”。提供Web、FTP、SMTP等公共服務的服務器都有可能出現物理路徑泄露的問題。

比較常見的是Web服務器的路徑泄露。導致Web服務器路徑泄露的原因很多，可能是Web平臺本身、腳本語言解釋器、引擎插件、組件、輔助程序等一些原因造成的，也有可能是腳本編寫錯誤所導致的。

很多時候，黑客會精心構造一個畸形、超長或不存在的文件請求，而這個請求是Web服務器沒有預料且不能正確處理的，這時往往會返回出錯信息——最直觀的就是暴露物理路徑。

得到物理路徑能夠做什么呢？對于許多黑客而言，物理路徑有些時候能給黑客帶來一些有價值的非公開信息信息，比如說：可以大致了解系統的文件目錄結構；可以看出系統所使用的第三方軟件；也說不定會得到一個合法的用戶名（因為很多人把自己的用戶名作為網站的目錄名）。

最后的進攻——PHP注入

雖然得到了TOM音街的物理路徑，但是畢竟都是危害級別不高的漏洞。不過管理員竟然出現了如此多的錯誤，想必平時一定不注重網絡安全，于是我決定挑戰一下，挖掘一下音街是否有危害更大的漏洞，例如注入漏洞。

查找注入漏洞的整個過程順利的有點兒讓我無語，甚至沒有使用任何輔助工具的幫助，僅是隨機的點開了幾個網站，然后每個后面加入了一個“，”號，其中一個頁面就立刻爆出了MYSQL的錯誤提示頁面。

注入點http://comment.a8.tom.com/user.php?username=546557694。注入點順利的找到了，此時可以祭出輔助工具幫助進行滲透了。我調出了PHP注入中小有名氣的“Pangolin”，這是一款能夠幫助黑客進行SQL注入的最好的工具之一。

黑客小知識：所謂的SQL注入測試就是通過利用目標網站的某個頁面缺少對用戶傳遞參數控制或者控制的不夠好的情況下出現的漏洞，從而達到獲取、修改、刪除數據，甚至控制數據庫服務器、Web服務器的目的的測試方法。Pangolin能夠通過一系列非常簡單的操作，達到最大化的攻擊測試效果。它從檢測注入開始到最后控制目標系統都給出了測試步驟。

在Pangolin的URL一項中輸入查找出的注入點網址，然后點擊Check就開始進行注入漏洞的檢驗了。很快Tom音街數據庫的名稱等信息就全部被猜了出來，然后使用MySQL的提權工具進行提權，添加管理員賬號，上傳Webshell木馬。

#p#

正當我準備上傳Webshell的時候，不知道是幸運還是不幸，我竟然驚訝的發現，TOM音街網站中已經有許多黑客的后門了，數量不低于20個。半個小時之前還興奮的如同收到禮物一樣，而現在則是一盆冷水從頭澆到底。

既然別人已經放了后門了，那么我還上傳什么WebShell，直接借用就好了。不過由于沒有密碼，在幾個黑客留下的后門試著輸入了幾個白癡的密碼，結果都被拒絕了。不過我很快想到了，許多黑客在上傳Webshell的時候會留下大量用后門頁面構造的虛假文件，根據日期排序，很快找到了一個文件，開打之后果然看到了密碼，登陸。

TOM音街就這樣失守了。

深度分析

TOM音街大概是最近一段時間我見過的知名大站中漏洞最多的一個網站了，從危害級別最低的目錄查看漏洞，到網站被植入了20過個黑客后門，真不知道那些平時使用TOM音街的網友現在后怕不后怕。

導致目錄查看漏洞的原因有多方面，有可能是軟件漏洞，也有可能是管理員在配置服務器方面出現了差錯或者經驗不足，都有可能造成這個問題。程序出錯網上是這個問題的主要原因，錯誤處理是各種語言編程中一個很重要的部分，雖然每種語言都提供了完善的出錯處理函數，但你也得正確使用它。如Perl中的“die”函數，如果沒有在錯誤信息后面加上“\n”的話，就很可能會導致物理路徑泄露。然而，腳本程序員卻一直忽略了這些問題，任何時候程序員都應該充分考慮，給出完整的出錯處理方案。

而對于網站本身出現注入漏洞，則完全是代碼檢查不嚴造成的漏洞，如果網站在正式上線前進行仔細的代碼安全監測，哪怕就是最常規的檢測，都不可能出現如此低級的錯誤。

最令人嘆為觀止的還是Tom音街中的二十多個黑客后門。從時間來看，有不少后門在Tom音街的服務器中已經存在了一段時間了，網站方面竟然沒有病毒過濾和探測系統，而管理員也沒有及時查看服務器的新增文件變化，這些都是造成如此后果的原因。

TOM音街漏洞列表

目錄查看漏洞
 
http://upload.a8.tom.com/ZendPlatform/

http://play8.tom.com/autorun/

http://play8.tom.com/upload/

http://play8.tom.com/player/

http://play8.tom.com/zhuanti/

http://play8.tom.com/images/

……
 
暴露物理路徑文件
 
http://play8.tom.com/autorun/ClearUploadSession.sh

http://play8.tom.com/autorun/tempClearUploadSession.sh

http://play8.tom.com/upload/tempfile/upload.cgi

……
 
黑客后門（WEBSHELL）

http://play8.tom.com/upload/upload_yc2.php

http://play8.tom.com/upload/done_public.php

http://play8.tom.com/ZendPlatform/common/jpgraph/gogogo.php

http://play8.tom.com/ZendPlatform/common/text/en/shelll.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/2.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/Vote.php

http://play8.tom.com/uploadfile/photo/200602/23/1140700434_22939.php

http://play8.tom.com/uploadfile/photo/200602/23/1140704002_13145.php

http://play8.tom.com/uploadfile/photo/200602/23/1140705424_22939.php

http://play8.tom.com/uploadfile/album/199508/12/c1.php

http://play8.tom.com/uploadfile/photo/200607/04/1151979366_58787.php

http://play8.tom.com/uploadfile/photo/200604/18/1145322994_37261.php

http://play8.tom.com/uploadfile/photo/200604/18/1145323568_37265.php

http://play8.tom.com/uploadfile/photo/200604/17/1145277425_37161.php

http://play8.tom.com/player/images/shiting/2008.php

http://play8.tom.com/images/help/shabi/

……
 
注入漏洞
 
http://comment.a8.tom.com/user.php?username=546557694

【編輯推薦】

1. 郵件安全隱患及其防范技術研究
2. Mozilla屏蔽微軟針對火狐插件稱有安全隱患
3. Novell炮轟洛杉磯轉用谷歌軟件稱有安全隱患