首页 > 安全 > 网络安全 >

H3C iMC Portal ARP欺骗及数据库后门 hash验证漏洞

2012-09-10

iMC PORTAL 是由 H3C 公司开发的面向中小企业以及校园的一款无线上网认证 系统。认证界面如图 1。图 1类似于这样的计费系统的开发一直很热门,诸如面向校园的锐捷,就我们东 北三省来说,哈工大、哈工程...

iMC PORTAL 是由 H3C 公司开发的面向中小企业以及校园的一款无线上网认证 系统。认证界面如图 1。



图 1
类似于这样的计费系统的开发一直很热门,诸如面向校园的锐捷,就我们东 北三省来说,哈工大、哈工程、还有林大全都用的是锐捷的认证上网,一旦像这样 用的很普及的系统出现什么问题,不仅是密码的泄露,一些个人隐私同时也被曝
露,加上社会工程学,那么很可能导致的结果就是 QQ、网银密码等等的一系列的
曝光。
ARP 欺骗这种东西已经屡见不鲜,像那种不用 SSL 加密的页面,搞个 ARP 欺 骗就能弄到密码,国内存在这种漏洞的比较典型的服务商诸如
@1 百度的 搜索即所得,@2 华为家的 dbank 的网盘的登录,@3 以及人人网 的登录等等。下面分别截图,予以证明。
测试环境:一个可以用来进行 ARP 欺骗测试的工具(我用的是 cain) 一台可以
用来上网的主机。
@1 我先注册一个用来测试的邮箱吧。
账号 heifangceshi@163.com ,密码 heifang123456。
首先说一下,本来 163 的邮箱登录是非常安全的,默认搜索 163 邮箱,或者 直接输入 http://mail.163.com/见图 2。


图 2
注意到了吧,默认是勾选 SSL 安全登录的,可能大部分用户都对此不是很在 意,所以他们什么也不管,直接输入用户名和密码然后直接登录,收发邮件,像水
浒传里面武二郎没回来时候的武大郎,和潘金莲却也相安无事。可百度这老伙计就 不厚道了,在百度上搜索 163 直接出来的是这个见图 3。

图 3

这个东西,懂行的人从来不用,不是不想用,而是不敢用吧,我们用百度搜 索即所得登录一下,呵呵,截图为证。见图 4。


图 4
看出来了吧账号是 heifangceshi@163.com 密码是 heifang123456
@2
再来看一下 dbank , 我也先来注册一个账号 。
就用刚才的那个邮箱 。
账号是 heifangceshi@163.com, 密码是 123456。 注册完后注意激活的时候见图 5。

图 5
提醒您千万别点快速激活账号啊,您会问点了会有什么后果呢? 截图看一下见图 6。

图 6
不仅 dbank 的账号泄露,而且连邮箱都被被人家知道了啊,什么密保验证邮 箱,都是浮云啦,呵呵。
@3 再来看一下人人吧。
还是先注册一下, 账号 heifangceshi@163.com 密码 ,heifang123456 。 然后我们登录人人看一下。
截图为证见图 7。



图 7
密码依然可以通过 ARP 欺骗获得。
不用多说了 ARP 欺骗的这种广泛的应用以及威力的强大相信从这三个例子里 面您能很好的感受到了。衡量一种网络渗透技术有没有发展前途,除了看这种技术 本身的细节之外,最起码网络渗透方面的技术还要受制于网络。我知道有人说可以
装上 ARP 防火墙来制止这种攻击的产生啊,额,的确可以啊,但是您也应该同时
听说过,某某大牛,IDA 一开把驱动往里一拖,什么内核拒绝服务漏洞,一堆一堆 的就涌现出来了,然后博客上竟是一堆一堆产品的拒绝服务漏洞,然后某某老板,
见自己家产品被人爆出某某洞,搓到极点,把手下的程序员好一顿骂......结果.....
(XX 影防火墙程序员如是说)
当然会有别的 ARP 防火墙也会拦截我们的欺骗就不再一一举例了,毕竟我们 不是故意来 ARP 欺骗弄到服务器密码所以还是先回到正题 IMC Portal 上来。
来看一下 IMC 的认证吧
认证地址是这个 jsp">http://202.118.208.125:8080/portal/index_default.jsp
当然由于防火墙外网的朋友肯定访问不到的,很明显没有用 SSL 加密,而且 是无线的局域网。

先看一下在这个无线局域网里都有哪些同学和我在一个网段见图 8。

图 8 看来上网的人不少啊,很快就会有收获了。 进行 ARP 欺骗的截图如下。见图 9。

图 9
很短的时间内拿到了两个同学的账号和密码
密码分别为 0TU4MzAz , YWFh0Dg5MDk40A==。 很明显一看密码肯定是用 HASH 做过散列的说,后面的那个貌似还用 Base64
编过码,SQL 注入的时候拿到后台管理员密码肯定都是加密的,运气好的话 MD5
加密的找个网站可以查表查出管理员密码来,呵呵。而 H3C ImcPortal 的加密我曾 经花了一个下午鼓捣,没有成果,应该是 H3C 家自己的私钥,本来我就应该就此 放弃了,即使用 ARP 欺骗,出来的也只是加密之后的密文,让不懂加解密的小白 www.2cto.com
无甚作为,说明人家即使不用 SSL,也足够小心,把防范做的很到位,呵呵,可是
让我大跌眼镜的是,直接拿到的 hash 填入密码栏竟然认证通过。见图 10。





图 10
这个如果不是程序员故意留的后门,就是程序在代码实现上有着致命的逻辑 性错误。密码存入数据库之所以要加密不就是为了避免直接被拿到明文认证通过 嘛。这个 hash 验证的漏洞必须要搭配上 ARP 欺骗,两者缺一不可啊,当然如果有
能力直接把数据库的那台服务器拿下就不用这么低效率的 ARP 欺骗了哈。

相关文章
最新文章
热点推荐