[原创]全面剖析“收费网站VIP会员专区”
文章标题:[原创]全面剖析“收费网站VIP会员专区”顶部 魔女の条件 发布于:2006-03-3019:43 [楼主][原创]全面剖析“收费网站VIP会员专区”
文章作者:魔女の条件(自由战士无组织)
信息来源:邪恶八进制信息安全团队技术论坛(www.eviloctal)
注意:此为投稿文章文章首发于《黑客X档案》2005年05月刊(黑客研究院)转载请注明版权归《黑客X档案》所有
全面剖析“收费网站---VIP会员专区”
---魔女の条件
俗话说,天底下没有免费的午餐。各类网站都披上了为特殊需求的消费者服务的伪装外衣,打出了“收费网站---VIP会员专区”这张能大笔赚钱的“王牌”。正当网站经营者大赚特赚的时候,可苦了我们这些渴求学习更多知识,学习先进技术的穷学生。用辨证唯物主义的观点看问题,事物的发展都是相对的。“矛”和“盾”本身都是共同出现的。沿用到当代IT行业就出来了,搞“黑客的”和“网络安全的”、搞“软件编程的”和“软件破解的”,而相对“收费网站”就滋生出“网站破解”的一些网络爱好者。
这些“网站破解”的爱好者,也破解到的AB密码也公布到聚集着一些志同道合的人交流的网站“AB联盟网站”。而这些AB密码的破解,不外忽就是使用“AccessDiver”和“GoldenEye”这样的软件。使用国外的代理,在软件上挂上字典暴力破解,而字典的好坏和网站用户密码复杂度等很多客观因数有关。如果你的命够好,相信“功夫不辜有心人”一定能破解出来网站会员密码。
“收费网站”的会员登陆,一般能够分为两大类:
第一类:弹出式入口:弹出式入口是密码验证系统的一种方式,就是在进入会员区的时候弹出一个提示框让你输入用户名和密码进行登录。在“黑客基地”网站中点击“VIP会员专区”的连接中的某个教程,会弹出下图(图1-0)所示的一个用来输入用户名、密码的提示框,那就证明这个网站的入口是弹出式的。
第二类:表单式入口:表单式入口区别于弹出式入口,没有弹出式用户名、密码输入框,而是一个登录页面,采用form表单形式将用户输入的信息(用户名和密码)提交到一个验证地址去验证。
其实表单式入口的基本原理大致类似,也是要把你输入的信息发送到某个地址去验证。只不过表单式入口提供给你的输入方式不同,不像弹出式入口那样给你一个弹出式输入框,而是给你一个网页,里面有输入用户名和密码的地方。这个网页中输入用户名和密码的地方,在网页源文件中可以看到,是从&>开始到</form>结束的一段代码,在这段代码中定义了这
个表单的发送方式、发送地址、发送数据等等信息。当你在网页中填好用户名和密码,点击登录按钮后,你输入的信息就被发送到form中定义的地址去验证。如果通过验证,允许你进入会员区。如果没有通过验证,进入错误提示页面,并且显示一些错误提示信息,让你重新输入。
几个基本概念:
表单式入口――区别于弹出式入口,没有弹出式用户名、密码输入框,而是一个登录页面,采用form表单形式将用户输入的信息(用户名和密码)提交到一个验证地址去验证。
提交地址――在表单式入口的登录页面中定义的,用来验证登录信息的地址。
Postdata――发送数据,也就是发送到提交地址去验证的信息。
Keyword――关键字,是我们在验证返回信息中选择的,用来让AD进行识别的特殊信息。
因为表单式入口,可以使用动态网站编写代码实现,还可以使用某些后台管理网站程序,相对弹出式入口,浅显易懂。今天我就把弹出式入口网站服务的实现详细做下剖析,希望能对各位黑友和网管有所帮助。
经过偶长期的研究“弹出式入口”网站的服务搭建,经验总结可以分为Linux系统搭建的Apache服务器和Windows系统搭建的IIS服务器、Apache服务器、以及第三方软件服务器搭建的四个类别。
一、 Linux系统
Apache服务器的目录安全认证
Apache实现身份认证的基本原理是:当系统管理员启动身份认证功能后,可以在要限制的目录中添加一个默认名“.htaccess"的文件。当用户访问该路径下的资源时,系统就会弹出一个对话框,要求用户输入“用户名/口令"。也就是说,它的身份认证功能不是人为由程序控制,而是由系统直接控制的。这样就避免了用户记录需要认证的资源的超级链接,不会下次直接访问资源。这样可做为专门管理网页存放的目录或做为会员区等。
测试环境:
操作系统:RedHatLinux9.0
内核版本:2.4.20-8
IP地址:192.168.10.36
前期准备,必须已经安装Apache
第1步:
我们在/var/www/html(apache的主页根目录)下建立一个vip目录
#mkdir/var/www/html/vip
第2步
然后我们编辑f
添加
Alias/vip"/var/www/html/vip"
<Directory"/var/www/html/vip">
OptionsIndexesMultiViews
AllowOverrideAuthConfig
Orderallow,deny
Allowfromall
</Directory>
注释:AllowOverrideAuthConfig#表示进行身份验证这是关键的设置(图1-1)
第3步
在要限制的资源的目录内创建并编辑.htaccess文件
#vi/var/www/html/vip/.htaccess
AuthName″黑客X档案″
AuthTypeBasic
AuthUserFile/usr/local/apache/secrets/.htpasswd
AuthGroupFile/usr/local/apache/secrets/.htgroup
免费软件下载网站入口Requiregrouphackbase
Requirevalid-user
注释:
AuthName#描述信息,您想显示的“领域名称”
AuthUserFile/u
sr/local/apache/secrets/.htpasswd#存放可以访问受限制的资源的用户名和密码
AuthGroupFile/usr/local/apache/secrets/.htgroup#存放可以访问受限制的资源的组名以及其中的用户
repuiregrouphackbase、requirevalid-user或者requireuserfrank#限制资源的组名、所有合法用户还是指定用户
密码文件推荐使用.htpasswd,因为apache默认系统对“.ht”开头的文件默认不允许外部读取,安全系数会高一点哦。
参数requiregroup指定哪些组的用户可以访问认证资源,这样,当再次访问需要认证的资源存在的目录时,系统就会弹出对话框,要求输入“用户名/口令"。(图1-2)
小知识:
基于用户名和密码的认证只是方法之一,时常会有不需要知道来访者是谁,只需要知道来自哪里的情况。
Allow和Deny指令可以允许或拒绝来自特定主机名或主机地址的访问,同时,Order指令告诉Apache处理这两个指令的顺序,以改变过滤器。
这些指令的用法:
Allowfromaddress
这里的address可以是一个IP地址(或者IP地址的一部分),也可以是一个完整的域名(或者域名的一部分),还可以同时指定多个IP地址和域名。
比如,要拒绝兜售垃圾的站点:
Denyfrom205.252.46.165
如此,这个指令所管辖的区域将拒绝来自该地址的访问。除了指定IP地址,也可以指定域名,如:ample
另外,还可以指定地址或域名的一部分来阻止一个体:
Denyfrom192.101.205
Denyfromcyberthugsmoreidiots
Denyfromke
Order可以组合Deny和Allow指令,以保证在允许一个体访问的同时,对其中的一些又加以限制:
Orderdeny,allow
Denyfromall
上例首先拒绝任何人,然后允许来自特定主机的访问。
第4步
编辑认证用的组文件:主要用于存放可以访问受限制的资源的组名以及其中的用户,用Vi编辑组文件.htgroup如下
hackbase:Hacker
hackbase:Cracker
hackbase:Programmer
存放在/usr/local/apache/secrets/.htgroup路径下,其中hackbase是组名,Hacker、Cracker和Programmer分别是组中的用户名。(图1-3)
第5步
建立用户文件:主要用于存放某一组中的用户名和口令
#htpasswd-c/usr/local/apache/secrets/.htpasswdHacker
注释:htpasswd是Apache提供用于实现认证功能的程序,-c表示产生新的.htpasswd文件,如果存在同名旧文件,则覆盖旧文件。该程序将询问口令,键入“hello"然后重新确认口令。
第2次添加用户,就不用-c参数
如果你们想修改密码,可以如下
#htpasswd-m/usr/local/apache/secrets/.htpasswdHacker
第6步
重新启动Http服务
#servicehttpdrestart(图1-4)
至此,所有配置已经完成。访问Linux系统上的Http服务,查看实验效果。(图1-5)
在此提醒下读者朋友,请不要把.htgroup和.htp
asswd文件等敏感文件放在网站目录下。有的文章直接放其放在和.htaccess文件同一个目录下,这种做法是非常不明智的。想破解网站的朋友都不需要破解了,直接把这两个文件下载下来就搞定了,哪里还有安全性可言^_^
小技巧:防止用户访问指定的文件
系统中有一些文件是不适宜提供给WWW用户的,如:.htaccess、htpasswd、*.pl等,可以用<Files>达到这个目的:
<Files.htaccess>
orderallow,deny
denyfromall
</Files>
用户访问控制三个.htaccess文件、.htpasswd和.htgroup(用于用户授权),为了安全起见,应该防止用户浏览其中内容,可以在f中加入以下内容阻止用户对其进行访问:
<Files~”/.ht”>
Orderdeny,allow
Denyfromall
</Files>
这样这三个文件就不会被用户访问了。
二、 Windows系统
Ⅰ、基于IIS本身的目录安全认证
测试环境:
操作系统:Windows2000AdvancedServer
IIS版本:IIS5.0
IP地址:192.168.10.10
前期准备,必须已经安装IIS5.0
如果您是管理员级的用户,你可以用一种简单的方法来实现密码验证。假设你安装的WEB服务器是IIS,你就可以通过IIS所提供的“Internet信息服务”进行目录安全设置。假设我把/Software设置成安全目录,首先启动“Internet信息服务”,打开“默认web站点”,新建虚拟目录“Software”,接着右键"属性",接着在出现的“Software属性”窗口中,选取“目录安全性”选项,然后按下“匿名访问及验证控制”中的“编辑”按钮,将“匿名访问”按钮取消,选取“基本验证”,点击下方的“编辑”,输入“领域名称”(图2-0)。
接下来当上网者要浏览这个目录的网页时,浏览器就会显示"请输入用户名和密码"的窗口,要求用户输入用户名和密码,因为IIS验证的方法是与NT服务器结合在一起,只要是NT服务器的用户,就是IIS的用户,因此这里输入的用户名和密码是已经在NT服务器中建立的用户及对应的密码。用这种方法我
们可以轻松实现对Software目录网页的密码验证(图2-1)。
如果是在大型公司内部,还可以结合“活动目录ActiveDirectory”更好的分配“域”中的用户计算机。由于这种方法IIS用户既是NT服务器用户,管理员可以建立个该目录的“用户”统一分配权限、管理。可是这种方法就建立了太多的用户,虽然管理员能够把权限分配和密码复杂度都能得到很好,并且限制只有内网用户能够访问该服务器,但是还是有被使用系统漏洞本地提升权限的可能,所以我的意见是尽量不要使用这种方法。
Ⅱ、基于Windows系统的Apache服务器
根据在Linux系统下Apache服务器实现身份认证的基本原理,个人意愿把这种方法移植到Windows系统上。通过实验完全符
合要求,在此奉献给大家。
测试环境:
操作系统:Windows2000AdvancedServer
Apache版本:ApacheV2.0.48forWindows
IP地址:192.168.10.1
第1步:编辑f
加入
Alias/love/"E:/love/"
#设置虚拟目录love到根目录
<Directory"E:/love/">
OptionsIndexesMultiViews
AllowOverrideAuthConfig
OrderDeny,Allow
Allowfromall
OptionsAll
AllowOverrideAll
</Directory>
本机目录为C:\ProgramFiles\ApacheGroup\Apache2\f
第2步:在E:/love/下创建.htaccess文件
authtypebasic
authname"魔女の条件"
authuserfilee:/love/.htpasswd
requirevalid-user
第3步:在E:/love/下创建密码文件
1.明文密码:
创建
内容格式为:username:password
冒号前为用户名,后面为密码。如果放到其他目录,第2步中的authuserfile的目录也要相应的改动。
2.创建MD5加密的密码文件
在命令控制台Cmd下进入你的Apache目录下的bin目录,输入命令
htpasswd-cE:\love\.htpasswdhackxfiles
接下去要求输入两次密码
上面命令行的意思是在E:/love/下创建密码档.htpasswd。
好了,现在重启Apache,在IE里访问love就要求输入用户名和密码了!(图3-0)
小技巧:创建.htaccess文件的方法
1、可以创建文本文档,只要使里面的内容为
authtypebasic
authname"魔女の条件"
authuserfilee:/love/.htpasswd
requirevalid-user
然后下面就是把文件改为.htaccess
“文件”¬¬---“另存为”修改文件名为:.htaccess,保存类型为:所有文件。
2、方法同上,设置“文件夹选项”---“查看”---“隐藏已知文件类型的扩展名”的勾去掉,然后重命名为.htaccess也可以利用FTP客户端工具的方法,直接浏览本地目录,到,重命名为.htaccess
3、使用ultraedit32编辑内容
authtypebasic
authname"魔女の条件"
authuserfilee:/love/.htpasswd
requirevalid-user
保存为.htaccess
4、由于Cmd中的Edit命令对中文的支持不是很好,所以用Edit编辑.htpasswd的方法在这不适用。
Ⅲ、基于Windows系统的第三方软件服务器
第三方软件OmniHTTPdWeb服务器
oHTTPd有相当完备地进行目录安全性设置的功能。它可以将指定的浏览目录设为禁止所有用户使用;为不同的用户赋予不同的访问权限;仅禁止或仅允许某个目录或某些目录进行目录浏览等。
测试环境:
操作系统:Windows2000AdvancedServer
OmniHTTPd版本:OmniHTTPdV2.10
所属公司:OmnicronTechnologiesCorporation(加拿大)
IP地址:192.168.10.1
由于OmniHTTPd版本低的原因,需要把系统时间修改为2004年1月1Ri之前的任意时间。为了实验方便,我就不安装DNS服务了,直接修改C:\WINNT\system32\drivers\etc\hosts.sam文件,将“www.hackerxfiles对应到IP地址“192.168.10.1”上并保存修改。
设置方法:
第1步、运行“OmniHTTPdAdmi
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论