HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: EvilGod
查看: 588|回复: 0

more +随机图赏Gallery

社工库查询工具1.1修改版社工库查询工具1.1修改版
可以手机远程控制电脑,手机远程控制手机的超强工具!可以手机远程控制电脑,手机远程控制手机的超强工具!
简单---两步--进暗网--更新之前的简单---两步--进暗网--更新之前的
2017年中旬WEB渗透系列课程-00前言2017年中旬WEB渗透系列课程-00前言
2017年中旬WEB渗透系列课程-25基于php参数开关的提权2017年中旬WEB渗透系列课程-25基于php参数开关的提权
2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
御剑后台扫描--自带10多兆后台数据库御剑后台扫描--自带10多兆后台数据库
国内高手浅蓝渗透视频,值得一看。国内高手浅蓝渗透视频,值得一看。
【重要公告】2017年中工作进展及最新课程发布【重要公告】2017年中工作进展及最新课程发布
二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆

地下黑产SEO产业链 - EDU网站大规模篡改事件

[复制链接]
EvilGod 发表于 2018-1-11 16:25:50 | 显示全部楼层 |阅读模式
查看: 588|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
作者:zts
原文地址:https://secvul.com/topics/760.html

内容管理系统二次开发,是谁纵容了篡改??
(EmpireCMS逻辑缺陷漏洞,跳过第一步验证无限注册,模拟黑帽SEO攻击场景)

今天小齐子扔了一批URL给我,说交给我处理,一脸懵0.0.
URL全是EDU的网站,打开几个URL看看,发现都是一些被篡改的网站,篡改有什么可惊讶的嘛?不就是刷个SEO嘛,也没什么啊,某些组织不就是靠这赚点生活费嘛?但是里面的内容真是不堪入目,不可描述,看看是哪的网站吧。

打开其中一个网站的主页,挺正经的,是某大学的,学校还是不错的,不过都已经开始给别家打广告挣零花钱了嘛?不太好啊。

没有日志,没有信息,无从下手啊….先看看批量找到的URL,大部分URL都有这样的共性:
  1. <pre>/e/space/UserInfo.php?userid=</pre>
复制代码


首先确定的条件是网站使用的是EmpireCMS二次开发的,URL看起来应该是一个显示已注册用户信息的地方,推断可能是由于某大学二次开发的时候未删除注册模块,被恶意攻击者借用来实施篡改,哎,安全开发意识不足啊。
本来打算就这样结束的时候又好奇遍历了一下id,发现了点有意思的事:

Id为1的用户和id为2的用户几乎是同时注册的,有点意思啊,看起来这还是个用脚本的团伙啊,挺职业的啊,不过这个EmpireCMS好像也有点问题啊,怎么可以允许这么注册呢,难道没有保护机制嘛?我决定走一遍流程看看。
随便点一点就可以找到注册页面:


点击下一步就到了真正的注册页面:

果然没有复杂一点的提交验证机制,连验证码都没有,难怪这么容易就可以注册,先测试一下能不能去掉上一步的操作直接到达这步(好像可以0.0.),然后添加内容看一下数据包,随便fuzz一下发现好像没有什么验证机制,感觉自己推断的好像是有点道理的,本地搭建EmpireCMS 7.2版本测试一下注册流程,写一个批量注册的脚本跑一下,先注册十个用户(用户名六位随机,个人介绍提交篡改内容)试试(脚本就不给了,自己测试吧):

好像成功了啊,看看前台可不可以看到:

前台可以看到埋下的篡改,也完全复现了这次刷黑链SEO的场景,除了7.2版本,7.0版本也可以被利用。
修补方案:
1.EmpireCMS作为比较靠前的内容管理系统,导致很多大型的企业学校都对它进行二次开发,但是在用户模块未关闭或审核未开启的时候存在逻辑缺陷漏洞,由于验证机制不足,导致绕过第一步后直接批量的注册并且上传暗链,这算是黑产刷SEO的新方式,其目的是优化自己网站中的一些关键字在搜索引擎中的排名,或是提高自己网站的搜索引擎权重,影响范围很广
二次开发的企业临时解决方案:
1.关闭会员模块
2.如果需要会员模块,请开启审核注册

附赠黑产团伙同款脚本(脚本设计影响面较广,只给关键截图):


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2018-1-24 13:53 , Processed in 0.065838 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.