攻擊從12月17日開(kāi)始……
第一步,攻擊者決定以zone-h.org的一個(gè)擁有特別權(quán)限的為目標(biāo).(以下稱為''目標(biāo)'')
他對(duì)服務(wù)器發(fā)出了''我忘記密碼''的重設(shè)請(qǐng)求,這樣服務(wù)器會(huì)發(fā)對(duì)目標(biāo)發(fā)回一個(gè)email地址,Hotmail帳號(hào)和新密碼.

第二步,攻擊者使用Hotmail的XSS漏洞(查看http://lists.grok.org.uk/pipermail/full-disclosure/2006-August/048645.html)得到目標(biāo)的Hotmail session cookie,然后進(jìn)入目標(biāo)的EMAIL,得到新的密碼.

第三步,攻擊者得到的目標(biāo)帳號(hào)擁有一個(gè)特權(quán)可以上傳新的論文和圖片,使用該特權(quán)他上傳了一個(gè)圖片格式的文件,可惜這個(gè)文件需要擁有管理權(quán)限的人審核批準(zhǔn)后才能公開(kāi)看到,當(dāng)然,沒(méi)有被批準(zhǔn)公開(kāi).而且該目標(biāo)帳號(hào)被凍結(jié).

第四步,攻擊者知道他上傳的文件依然在ZONE-H的圖片文件沒(méi)有被刪除,他以www.zone-h.org/圖片文件/圖片名 的格式使得zone-h接受了并照了快照公開(kāi).

現(xiàn)在攻擊者成功上傳了文件并使得可以訪問(wèn)。

第五步,在第一次的上傳攻擊者不單單是上傳了一個(gè)圖片文件,還上傳了一個(gè)PHPSHELL.可惜因?yàn)閦one-h的安全策略使得不能執(zhí)行。
但是在之前攻擊者使用得到的帳號(hào)的權(quán)限,他知道zone-h的模塊中有一個(gè)JCE編輯器,該JCE編輯器模塊的jce.php擁有''plugin" 和 "file''參數(shù)輸入變量遠(yuǎn)程文件包含漏洞(在包含文件時(shí)沒(méi)有進(jìn)行檢查請(qǐng)查看http://secunia.com/advisories/23160/ ).
由此攻擊者知道他終于可以使用這個(gè)漏洞執(zhí)行之前上傳的PHPSHELL:

- - [21/Dec/2006:23:23:15 +0200] "GET
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
HTTP/1.0" 404 454
"http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"

一段時(shí)間后:

- - [21/Dec/2006:23:23:59 +0200] "GET
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<...&act=ls&d=/var/www/cache/cacha/&sort=0a
HTTP/1.0" 200 3411 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"
212.138.64.176 - - [21/Dec/2006:23:25:03 +0200] "GET /cache/cacha/020.php
HTTP/1.0" 200 4512 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)"

第六步,攻擊者這個(gè)漏洞執(zhí)行之前上傳的PHPSHELL建立了一個(gè)目錄(/var/www/cache/cacha),再建立一個(gè)新的SHELL(020.php),再建立一個(gè)自定義的.htaccess令到mod_security在該目錄失效.

第七步,攻擊者使用這個(gè)新建的PHPSHELL(沒(méi)有了mod_security的限制)修改configuration.php文件并嵌入 一個(gè)HTML的黑頁(yè):
- - [22/Dec/2006:01:05:15 +0200] "POST
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
HTTP/1.0" 200 4781
"http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F"
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
Firefox/1.5.0.9"

好了,我們的過(guò)錯(cuò)如下:
1.擁有一個(gè)SB人員連Hotmail XSS都不知道.
2.沒(méi)有找出上傳的SHELL.
3.沒(méi)有承認(rèn)JCE組件的勸告建議.

【編輯推薦】

最受黑客“青睞”7款軟件 Adobe搶微軟風(fēng)頭
安全廠商Juniper為FreeBSD帶來(lái)MIPS支持
FreeBSD 7.1到8.0皆有漏洞 可獲root權(quán)限堪稱圣誕禮物
利用Linux系統(tǒng)IP偽裝抵住黑客攻擊
Vista、Leopard、Linux 三大OS黑客大賽各顯神通
企業(yè)需要在應(yīng)用程序開(kāi)發(fā)時(shí)保證數(shù)據(jù)安全
“云”火墻讓Cisco防火墻能夠與眾不同
1. ISA防火墻簡(jiǎn)單安裝配置實(shí)例
2. 下一代防火墻有效應(yīng)對(duì)安全新變化
3. 如何選擇應(yīng)用防火墻以確保企業(yè)網(wǎng)安全