您现在的位置: 
4.下载数据库
根据conn.asp文件提供的数据库路径/blog/data/oblog45.mdb,再加上站点的URL地址,即可组成数据库的URL地址例如www.*.com/blog/data/oblog45.mdb进行数据库下载。(图4)
笔者测试发现上面的数据库地址并不是唯一的,有时管理员为了安全更改了数据库的地址,但这似乎也不安全,攻击者可以试试类似/data/oblog45.mdb 、/admin/oblog45.mdb进行试探。或者利用google高级搜索语法进行探测。比如site:www.*.com oblog45.mdb。
5.获取站点前台或者后台的管理员和密码。
Oblog的oblog45.mdb数据库的oblog_admin表中记录了管理员的用户名和密码,当然这些密码是经过md5加密的,如果密码不够强的话,不过攻击者可以通过类似在线破解网站http://www.cmd5.com或者本地暴力破解。本例中的笔者通过在线破解获得了用户名为“jiangtaode”的密码“25280978”(图5)
另外还有一个oblog_user表,该表记录了该博客系统注册的用户相关信息。有用户名、密码、email、QQ、真实姓名地址、电话号码等个人敏感信息。攻击者可以通过社会工程学,利用用户的习惯而获取比如email、qq等。(图6)
6.相关利用。
(1)登陆后台
Oblog的默认后台是http://www.*.com/blog/admin/admin_login.asp,在本例中当笔者输入http://www.*.com/blog/admin/后发现该网站目录竟然可以浏览见图7,所有的敏感文件一目了然。(图7)
而且还有一个Databackup目录,点击进入后发现是数据库文件,文件名为2008-1-19.asa。由于该文件是asa文件不能直接下载,但我们可以利用OBLOG的下载漏洞,构造URL地址“http://www.*.com/blog/attachment.asp?path=admin/Databackup/2008-1-19.asa”,结果成功下载。事后经过笔者查看该数据库是管理员在2008-1-19对oblog45.mdb的备份。(图8)
我们继续进行,输入http://www.*.com/blog/admin/admin_login.asp进入管理后台登陆页面,输入管理员“jiangtaode”,密码“25280978”,成功登陆后台。可以看到该管理员不是系统管理员,但权限还是很大的可供操作的内容很多,比如“文件上传”、“用户管理”等等。(图9)
(2)获取webshell
如果用系统管理员登陆的话,就可以通过上传或者数据库差异备份获得一个Webshell。由于是漏洞解析演示,笔者就不必破解管理员密码进一步地渗透了。
(3)意味收获
笔者在上文中谈到有个oblog_user表,这个表记录的是用户注册时的一些个人信息。攻击者破解用户密码,通过社会工程学进而猜解其QQ、email等密码。因为很多人的不良习惯,为了图方便使用同一个密码。笔者在该表中找到一个用户ch*(省略后面的字母),他的密码的md5值是48e675108f4f0391,通过在线破解得到密码为442530。然后笔者用该密码登录其注册时用的QQ:1542*(省略后面的数字)和email:ch*@163.com(用户名省略后面的字母),竟然都成功了。(图10)(图11)
由此可见,用户的安全意识是多么淡薄。同时也说明由OBLOG下载漏洞引发不仅仅是站点被入侵,还有用户个人隐私的泄露。
