記一次對php聊天室的攻擊
發言者:kent 發言時間:2001-09-10 15:17:56
摘自：晨風創意
原作者：eastdark

--------------------------------------------------------------------------------

網友“小好”給我了一個聊天室ip，讓我去看看。原本想入侵它的服務器，大概技術沒到家，搞了十幾分鐘，也沒有進去。于是，我就想找找這個聊天室有什么BUG。聊天室看得出是用PHP+MySQL組建的。欄目有：用戶注冊、 忘記密碼、 修改資料、 用戶自殺、 聊 神 榜、 聊天說明、 刷新列表 。接著就是聊天了。
我隨便注冊了一個用戶名，按照我的喜好，喜歡開xxxxxx用戶，這樣，我就用xxxxxx注冊了一個用戶。登陸進去。
從哪兒下手呢？我想還是先看看修改資料，一般聊天室這里總有這樣那樣的漏洞。點了一下修改資料，于是就進入下一畫面，需要輸入用戶名和秘密。輸好了后，下一步，進入資料修改。YES!資料修改中有用戶昵稱，其實就是用戶名，馬上查看源文件，看到如下的HMTL語句：
=================================================cut===========
<form name="ezchat" action="modifyed.php" method="post" enctype="multipart/form-data">

<input type="hidden" name="active" value="change">

<input type="hidden" name="user_name" value="xxxxxx">

<input type="hidden" name="user_passwd_t" value="xxxxx">

<table cellspacing=1 cellpadding=2 width="675" border=0 align=center bgcolor="#FFFFFF">

<tr align=center bgcolor="#FFD193">

<td colspan="4" height="22">用戶資料</td>

</tr>

<tr align=center bgcolor="#FFEACE">

<td width="20%" height="22">

<div align="left">用戶昵稱：<font color="#FF0000"><b>*</b></font></div>

</td>
<td width="30%" height="22">

<div align="left">

<input type="text" name="user_name_1" readonly class="input" value="xxxxxx">

</div>

</td>
==========================================end==================
很明顯，其中的兩個hidden是用來判斷你是否有修改資料的權限，可是，這個人沒想到的是放了一個readnly的輸入框并不安全，就像上一次一個asp論壇一樣，readonly并不能解決什么。按照慣例，我存了這個文件，并不修改兩個hidden，把readonly去掉。然后到聊神榜隨便看了個用戶名。修改form的action，記得要在前面加上url路徑，然后改掉這個用戶昵稱。按下“修改”命令，出現了什么？
=========================================
修改成功

恭喜您，您已經成功修改資料 \^_^/

==========================================
哈哈，這樣我就奪取了一個用戶名.雖然沒有入侵它的服務器，但卻也能搞到好的用戶名，這總算也不白費了功夫。總結一下，遇到提交表單的時候，我們可以想一下能否修改表單的值來達到管理員所想不到的目的。這也是培養我們觀察能力的好方法！：）