PJBlog2是PuterJam开发的一款免费的ASP + Access的个人blog系统,这几天偶想弄个blog来玩玩,经过比较选中了功能、界面都相对较好的PJBlog2。经过试用,感觉这blog还不错,也发现几个安全方面的小问题,就把我的一点点见解发出来。我分析的版本是05年12月11日发布的PJBlog2 v2.4.1211版本。

一、 密码加密算法
PJBlog2没有采用常用的MD5算法对用户密码加密,而是使用的SHA1算法。SHA1算法跟MD5类似,也是单向散列函数,不过它对任意长度的数据进行处理输出160位的数值。
PJBlog2在创建新用户的时候会随机生成一个6位的字符串Salt,用户的明文密码加上这个Salt值再进行hash才得到加密后的密码。即:Password = SHA1(user_pwd & Salt)。这样子做的好处是即使两个一样的密码hash后的结果也完全不同。这个稍微“另类”的算法给破解密码带来了点难度。
呵呵,有难度不等于不能破解,网上没有现成的程序,需要自己动手写个才是。因为.NET提供了SHA1的类所以最初用VB.Net写的,由于狂耗资源的问题一直解决不了,只好换C了。用C实现SHA1的源代码我找了好久才在一个老外的站找到,还不错,呵呵,有兴趣的可以看下老外的SHA1类:http://www.codeproject.com/cpp/csha1.asp
程序可以在这里( http://www.0x54.org/lake2/program/PJBlogCracker.exe )下载,是命令行下的,功能比较弱,单线程速度超级慢,可能还有bug,诸多问题以后再改咯。

二、 登陆认证
PJBlog2的认证方式是用的Cookies加IP。当用户登陆成功,系统随机产生一个Hashkey写入Cookies并记录到数据库中,然后通过Cookies里的Hashkey、Username还有IP来判断用户。Cookies好办,可以用跨站、下数据库等方式拿,可以这IP就难办了,看来进行Cookies欺骗的可能性很小啊。呵呵,那就不看这个咯。

三、 几个地方过滤不严
第一个就是统计访问的referer过滤不严。看:
 


保存文件的后缀是F_File.FileExt,而检查的是经过FixName()函数处理的后缀,那就看看fixname函数定义,在function.asp中:
 
复制代码 代码如下:

'*************************************
'过滤文件名字
'*************************************
Function FixName(UpFileExt)
         If IsEmpty(UpFileExt) Then Exit Function
         FixName = Ucase(UpFileExt)
         FixName = Replace(FixName,Chr(0),"")
         FixName = Replace(FixName,".","")
         FixName = Replace(FixName,"ASP","")
         FixName = Replace(FixName,"ASA","")
         FixName = Replace(FixName,"ASPX","")
         FixName = Replace(FixName,"CER","")
         FixName = Replace(FixName,"CDX","")
         FixName = Replace(FixName,"HTR","")
End Function
 


呵呵,它把危险后缀过滤了的,如果我的文件后缀是asp(0x00)gif,那么检查的时候过滤chr(0)和asp,后缀就成了gif,通过,保存的时候就是asp(0x00)gif。从理论上来说是对的啊,我搞了半天也不行,郁闷。有知道的大侠告诉我啊。
不过我们可以利用这个上传aspx格式。呵呵,我们上传aspx文件,fixname函数过滤asp,于是后缀就成了x。只要把x设为可以上传的格式,就可以传aspx文件了。

六、 附件管理问题
管理员登陆后有个附件管理功能,看他参数类似于http://localhost/blog/ConContent.asp?Fmenu=SQLFile&Smenu=Attachments&AttPath=attachments/month_0512,可以通过指定AttPath浏览web目录的哦。
但是系统限制了站外提交数据,所以不能直接改url,那就“曲线救国”吧。找到友情链接添加功能,url就填上我们构造的url,保存,然后点查看,就绕过站外的限制了。注意构造的AttPath的第一个字符不能是“.”和“/”哦,程序有检查的。我们这样构造就可以跳到blog根目录:http://localhost/blog/ConContent.asp?Fmenu=SQLFile&Smenu=Attachments&AttPath=attachments/..

 
呵呵,最后还是希望大家支持PJBlog2,真的是很好用的啊。希望作者再接再厉,把这套blog系统做得更好,造福众多网民J
PS:作者真是勤快啊,补丁已经出来了,呵呵

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部