政府网站谨防因E创漏洞被攻击核心提示：“E创网站系统”是政府站点通用的建站模板系统，最近E创爆出新漏洞，采用该系统的政府网站将面临者攻击的危险。本文重在分析漏洞原因，解析攻击利用过程，并给出解决办法……“E创网站系统”是政府站点通用的建站模板系统，几乎成了政府建站首先模板系统，占了相当大的市场份额。最近，E创爆出新漏洞，采用该系统的政府网站将面临者攻击的危险。笔者写这篇文章重在分析漏洞原因，解析攻击利用过程，并给出解决办法。以期采用该系统的网站提高警惕，尽快修复漏洞。1、漏洞分析down.asp是E创系统的防盗链文件，其关键代码如图1：_REFERER是是header的一部分，当浏览器向web服务器发送请求的时候会带上Referer，告诉服务器该请求是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。Request.ServerVariables("_REFERER")的作用就是服务器获取链接---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---的，然后与Request.ServerVariables("SERVER_NAME")获得的服务器名进行比较看看去爱那个8个字符是否相同，从而判断该链接是否于本服务器，以确定是否是“盗链”。由于服务器对于_REFERER没有进行过滤，因此可以利用Microsoft.XML组件伪造Referer，绕过E创网站系统down.asp的防盗链限制，关键代码为：DimoXML,oStream,SourceCode,action,weburl,savefileaction=Request("action")weburl=Request("weburl")savefile=Request("savefile")FunctionE_0Day()SetoXML=Server.CreateObject("MSXML2.XML")WithoXML.Open"Get",weburl,False.setRequestHeader"Referer",mid(weburl,1,InStr(8,weburl,"/")-1)'Response.Writemid(weburl,1,InStr(8,weburl,"/")-1).SendEndWith核心代码.setRequestHeader"Referer",mid(weburl,1,InStr(8,weburl,"/")-1)对客户端提交的weburl进行切分构造Referer。最后把这个构造的Referer提交给down.asp文件可以实现下载任意文件。有了核心代码然后以此为基础构造一个提交页面。(图2)---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---当然攻击者最感兴趣的是Conn.asp文件，因为该文件是数据库连接文件。在该文件中记录了采用的数据库类型(ACCESS或者SQL)：对于ACCESS数据库可以看到数据库的路径及其名称，从而可以确定数据库的URL地址然后下载数据库;如果是SQL数据库，则可以看到数据库的连接用户和密码，然后利用类似SQL连接器的工具连接服务器。2、入侵解析(1).部署环境由于提交页面是asp代码，因此需要部署asp运行环境。一般情况下，攻击者会利用IIS部署一个Web站点然后启用“ActiveServerPages”扩展即可，当然攻击者也会利用支持asp的空间实施欺骗提交。(2).站点搜索在Google、百度等搜索引擎中输入“inurl:E_readnews.asp”进行搜索即可得到使用E创网站系统的网站。当然，还可以在后面加上其它的关键词进行更精确的搜索。笔者在Google中搜索结果有206,000个，将近有80%的是后缀为gov的政府网站，如果加上后缀的网站，政府网站的数量绝对超过85%。(图3)---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---(3).下载Conn.asp从搜索结果中复制类似ww***/wfqzf/E_ReadNews.asp?NewsID=914的网址，然后将“E_ReadNews.asp?NewsID=914”替换为“down.asp?filename=../conn.asp%20”通提交页面提交即可显示出conn.asp文件的内容。在此，站点的数据库信息一目了然。(图4)(4).下载数据库E创有Access和SQL两个版本，以Access数据库为例可以看到Conn.asp文件中有类似DB="DataBases/###sqq2008#.mdb"这样的语句，这就是数据库的路径和地址。然后结合网站地址确定数据库的URL地址，通过下载工具就可以将数据库下载下来。需要注意的是该数据库做了防下载措施，在数据名称中加了“#”。不过攻击者通过修改就可以简单突破，用“%23”代替“#”这样数据名称就变为23%23%23%sqq2008%23.mdb就可以下载了。(图5)---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---(5).破解密码用数据库工具打开刚才下载的E创数据库，在“E_Admin...