【freo】Web Liberty総合2【Web Diary Pro】 (914レス)
上下前次1-新
抽出解除 レス栞
リロード規制です。10分ほどで解除するので、他のブラウザへ避難してください。
593(31): 593 [sage] 2013/12/13(金)10:36 ID:gkJsmUoH(1/2)
ここのコメントにある内容ですが、うちもやられてました
http://blog.nemoa.biz/2013/02/04/web-diary-professional%E3%81%AF%E4%BD%BF%E3%82%8F%E3%81%AA%E3%81%84%E6%96%B9%E3%81%8C%E3%81%84%E3%81%84%E3%81%8B%E3%82%82%E3%81%97%E3%82%8C%E3%81%AA%E3%81%84.html
中国からのIPですが、ブルートフォースアタックというよりは非常にスマートに
ファイルをアップロードして通販サイトへのphpページを作ってました
webdiaryを狙い撃ちしてるっぽいです
594(1): 593 [] 2013/12/13(金)10:37 ID:gkJsmUoH(2/2)
すみませんあげます
mode=adminのページから一発でファイルアップロードしてますので、
パスワードの複雑さなどはたぶん関係ないかと思います
598: Trackback(774) [sage] 2013/12/14(土)21:13 ID:/av2nDVe(1)
>>593
同人板のあのスレは、freo専スレじゃないんで
ここでやりなよ
作者に詳細送って返事来たら晒して
自分のは不審なファイル何もなかったよ
618: 593 [sage] 2014/01/25(土)11:19 ID:ZaJSS7Nq(1/4)
メールしました
メンテできてなくて気になってたからこの機会に停止するだそうです
620: 593 [sage] 2014/01/25(土)17:17 ID:ZaJSS7Nq(2/4)
作者さんはあんまり修正する気がないみたいです
1週間以上返事がない
とりあえず自分で見つけてみた
621(3): 593 [sage] 2014/01/25(土)17:24 ID:ZaJSS7Nq(3/4)
やっとこさ再現出来た
プラグインの処理で、クエリをそのままevalしてるところがあって、そこを使えば突破できた
mode=admin&work=new&admin_user=1&admin_pwd=1&plugin=Sample;require webliberty::App::Admin;
${$self}{init}{data_user} %3d 'echo 1 11b0WGZJEBWiw admin|';
my $app_ins %3d new webliberty::App::Admin(${$self}{init}, ${$self}{config}, ${$self}{query});
$app_ins::run;
(途中改行してます)
GETの確認までで、実際のPOSTまでは進んでないが、理屈では通るはず
こんな感じで、最初っからSampleのプラグインが存在するのを利用して、evalルーチンにやりたいことを渡せばOK
admin_user以降のクエリを付加し続ければ、adminとしてその後なんでもできる
なんでevalでrequireなんてしてるのかというと、攻撃者はわざわざ新規記事投稿して、その際のファイルアップロードを利用してファイルを置いてたのよね
俺ならuser.logでも追記しちゃうけど、それをしないでどうみてもブラウザでちまちまファイルアップしてるのよ
アップ記事の確認までちゃんとしてる
それを再現するために、わざわざパスワードを完全無効化できるパラメータにした
evalの部分を見つけるのは早かったが、パスワード無効化のパラメータ作る方に苦労したw
ってか、中華がこんなことわざわざやるとも思えないし、もっと別の脆弱性があるんだと思う
誰か手伝ってもらえませんか?
穴を塞ぎたいので
622: 593 [sage] 2014/01/25(土)17:30 ID:ZaJSS7Nq(4/4)
あ、echoのところの
1と11b0WGZJEBWiwとadminの区切りはタブね
WDPは\tでsplitしてるので
627: 593 [sage] 2014/01/28(火)09:08 ID:ihcjvpF7(1/2)
今回の輩はどうもSEO目的みたいですね
ファイルを置いてリンクを張るのが目的のよう
それ以外のことは特にしてこないからあんまり実害ない
私が分かったのはサーバのログに自分が置いてないファイルが出てたから
実は私と同時期にクライアントのサーバ会社も事態を把握したようだから、
変なアクセスは増えるんだろうけども。
あとはPOPサーバ情報なんかを入れてる人はそれは見られちゃうね
628(2): 593 [sage] 2014/01/28(火)09:22 ID:ihcjvpF7(2/2)
本当かどうか知りたい人は、diary.cgiのURLを記載したファイルを同一ドメイン上に
あげて、そのファイルのURLを張ってもらえれば、環境設定画面のスクリーンショットをUPできます
634: 593 [sage] 2014/02/06(木)08:49 ID:1iRU7+xc(1/2)
さすがはgoogleさんで、このphpファイルを見つけると、クラッキングと判定するようです
WDP使ってるサイトで、ぐぐった際の結果に、「このサイトは第三者にハッキングされています」とか出てたら、
おそらくWDPが原因でしょう
636: 593 [sage] 2014/02/06(木)19:59 ID:1iRU7+xc(2/2)
作者がそれを推奨してますので、できるならそれがいいでしょう
私は移りたくないので色々やってますが
639: 593 [sage] 2014/02/08(土)23:33 ID:Srgf1dh0(1)
儲w
646(1): 593 [sage] 2014/02/18(火)11:40 ID:XpJp0hBh(1)
WDPは対策しないと中国人にクラックされてgoogleにクラックされているサイトのタグを付けられますよ
作者も推奨してるし移れるなら移ったほうがいいです
655: Trackback(774) [sage] 2014/02/24(月)20:46 ID:aRVOB35l(2/2)
>>593のリンク先とか
https://wkey.me/thread.php?id=63 の13とか
警察から連絡あったと証拠も晒さないくせに盛んにageて書いてるやつとか
みんな同一人物なのか?
670: 593 [sage] 2014/02/28(金)11:40 ID:xC6xqaMH(1/6)
661の人の言ってることはかなりあたってる
少なくとも話に乗っかって適当に書いてる訳ではなさそう。
user.logが標準だとworld readableだってのは設置して解析した人じゃないと
分からないことなので。
って書いてて気づいたんだけど、今ってDESの解析はcorei7ぐらいなら10日もあれば終わるのね。
user.log見つけて6桁以下ぐらいのパスワードに的を絞ってアタックしてるだけなのかもね
うちもadminのパス短かった
中華ならこのぐらいのレベルってのも納得できる
671(1): 593 [sage] 2014/02/28(金)12:06 ID:xC6xqaMH(2/6)
っちゅうわけで、別方向で検証。パスワードが6桁以下の人限定。
diaryproのあるディレクトリから見て、data/user.log (例えば、
http://samp.le/webdiarypro/data/user.log)
にアクセスすると、パスワードファイルの中身が見えます
そこの13桁の暗号化されたパスワードをここに記載して下さい。
6桁以下の人なら、僕のパソコンなら4時間ぐらいで解析できますので、
パスワードをここに書き込みます。
URL書いたりID書いたりしないでね
675: 593 [sage] 2014/02/28(金)13:01 ID:xC6xqaMH(3/6)
パスワードはdesだから9文字以上は無意味
676(1): 593 [sage] 2014/02/28(金)13:03 ID:xC6xqaMH(4/6)
>>672
あなたの頭の悪さにはもううんざり
>URL書いたりID書いたりしないでね
この意味を理解してね
677(1): Trackback(774) [sage] 2014/02/28(金)13:54 ID:lpbwhKLQ(1/2)
>593
ハッシュが見えるのは確かにその通りですね。
ソースが公開されてるこの手のCGIでは仕方のないことなのかな
ファイルのパスかえたりハッシュの作り方変えたり独自の修正すればOKかな
ハッシュ関数desは弄ったことないけど、
大文字、小文字、数字、記号を混ぜての9桁なら結構強力だと思うけどな?
今時PCでも3ケ月くらいかかるんじゃない?
683: 593 [sage] 2014/02/28(金)19:45 ID:xC6xqaMH(5/6)
パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。
>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。
>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。
そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。
でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.042s