HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    技术文档

地下黑产SEO产业链 - EDU网站大规模篡改事件

  •   EvilGod ·2018-1-11 16:25:50·1349 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    作者:zts
    原文地址:https://secvul.com/topics/760.html

    内容管理系统二次开发,是谁纵容了篡改??
    (EmpireCMS逻辑缺陷漏洞,跳过第一步验证无限注册,模拟黑帽SEO攻击场景)

    今天小齐子扔了一批URL给我,说交给我处理,一脸懵0.0.
    URL全是EDU的网站,打开几个URL看看,发现都是一些被篡改的网站,篡改有什么可惊讶的嘛?不就是刷个SEO嘛,也没什么啊,某些组织不就是靠这赚点生活费嘛?但是里面的内容真是不堪入目,不可描述,看看是哪的网站吧。

    打开其中一个网站的主页,挺正经的,是某大学的,学校还是不错的,不过都已经开始给别家打广告挣零花钱了嘛?不太好啊。

    没有日志,没有信息,无从下手啊….先看看批量找到的URL,大部分URL都有这样的共性:
    1. <pre>/e/space/UserInfo.php?userid=</pre>
    复制代码


    首先确定的条件是网站使用的是EmpireCMS二次开发的,URL看起来应该是一个显示已注册用户信息的地方,推断可能是由于某大学二次开发的时候未删除注册模块,被恶意攻击者借用来实施篡改,哎,安全开发意识不足啊。
    本来打算就这样结束的时候又好奇遍历了一下id,发现了点有意思的事:

    Id为1的用户和id为2的用户几乎是同时注册的,有点意思啊,看起来这还是个用脚本的团伙啊,挺职业的啊,不过这个EmpireCMS好像也有点问题啊,怎么可以允许这么注册呢,难道没有保护机制嘛?我决定走一遍流程看看。
    随便点一点就可以找到注册页面:


    点击下一步就到了真正的注册页面:

    果然没有复杂一点的提交验证机制,连验证码都没有,难怪这么容易就可以注册,先测试一下能不能去掉上一步的操作直接到达这步(好像可以0.0.),然后添加内容看一下数据包,随便fuzz一下发现好像没有什么验证机制,感觉自己推断的好像是有点道理的,本地搭建EmpireCMS 7.2版本测试一下注册流程,写一个批量注册的脚本跑一下,先注册十个用户(用户名六位随机,个人介绍提交篡改内容)试试(脚本就不给了,自己测试吧):

    好像成功了啊,看看前台可不可以看到:

    前台可以看到埋下的篡改,也完全复现了这次刷黑链SEO的场景,除了7.2版本,7.0版本也可以被利用。
    修补方案:
    1.EmpireCMS作为比较靠前的内容管理系统,导致很多大型的企业学校都对它进行二次开发,但是在用户模块未关闭或审核未开启的时候存在逻辑缺陷漏洞,由于验证机制不足,导致绕过第一步后直接批量的注册并且上传暗链,这算是黑产刷SEO的新方式,其目的是优化自己网站中的一些关键字在搜索引擎中的排名,或是提高自己网站的搜索引擎权重,影响范围很广
    二次开发的企业临时解决方案:
    1.关闭会员模块
    2.如果需要会员模块,请开启审核注册

    附赠黑产团伙同款脚本(脚本设计影响面较广,只给关键截图):


    1349 次点击  
    收藏  转播  分享
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   215 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-7-22 12:52, Processed in 0.042537 second(s), 18 queries .