SOY CMSのフォーラムにインストーラを利用した方はインストール後にインストーラを削除してくださいと投稿されていたので、

インストーラを削除しなかった場合はどうなるのかを調べてみた。

SOY CMS フォーラム • トピックの表示 - インストーラー削除のお願い


とりあえず、MySQL版のインストーラをダウンロードしてきて試す。


インストーラは

/ルートディレクトリ/cms_installer

となるように配置し、


ブラウザで、http://example.com/cms_installerを指定して表示


soy_installer_1


インストーラーが表示されたので、

画面の指示に従い、SOY CMSのインストールを行う。


インストールの要件を確認したり、


soy_installer_2


データベースの設定を行ったり、


soy_installer_3


再度確認で、


soy_installer_4


インストールを実行する。

インストール終了後にインストール時に管理画面を開いてみると、


soy_installer_5


ログインフォームが表示されました。

初期管理者を作成してログインをしてみると、


soy_installer_6


いつものようこそSOY CMSへの画面が表示されました。

これでインストールは終了です。




さて、ここからが本番

ブラウザで、http://example.com/cms_installerを開いてみると、


soy_installer_1


この画面が表示された。

上のインストールの手順に従い、再度インストールを試してみる。


soy_installer_2


今回はデータベースの作成画面で、

悪意のある攻撃者になった気持ちで自身で用意したデータベースの情報を入力して、


soy_installer_4


インストールを実行してみる。

インストール後、管理画面を表示してみると、


soy_installer_5


初期ログインの画面が表示されました。

この時点で今まであったサイトが消えたことが確定です。

※サイトディレクトリが消えているわけではないので、うまくやれば復活できる


引き続き悪意のある攻撃者になった気持ちだとすると、

次は何をするかというと、

この画面のまま保留にして、本当の管理者が再度初期化するのを待つ。


そうすることで、

このサイトの管理者が初期管理者として登録するIDを得ることができた。


この後は、、

管理画面のURLもIDもわかっていることだし、

総当り攻撃でこのサイトの管理者のパスワードを盗む。

SOY CMSに総当り攻撃を仕掛けてみる。その4


こんなザルなことをする人だ。

おそらく他のサイトでもパスワードを使いまわしているだろうから、

他のWebサービスのログインを片っ端から試してみる。

サイバー攻撃の前にパスワードの管理を


訂正(2016年7月10日)

管理画面のURLを同じものにすると、初期化を行うか判定するためのcms.dbがすでに作られているため、


soy_installer_5


この画面は表示されないんだった。


というわけで、

初期化画面のまま保留にして新規登録するのを待つという手はなし




もしくは、

パスワードは他に用意したSOY CMSで作成してしまい、

それを今回のデータベースの初期管理者のパスワードとして挿入してログイン。

SOY ShopにEC CUBE2.4系のログインチェックを導入しました


速攻でサイトを復元して、

そこに踏み台用のコードを仕込んで他サイトをひたすら攻撃。

CMSに不正にログインした後、何をする?




とりあえずわかったことは、

使用しているCMSがSOY CMSであることがわかったら、

管理画面のURLを特定する前にインストーラーがあるか確認をする。

運営しているサイトがSOY CMSであるか調べてみる


インストーラーを使った方は十中八九、管理画面は

http://example.com/cms/admin

なので、


管理画面が表示されることを確認でき次第、

インストーラーを開き、再インストールを開始する。


ちなみに、

他CMSでもインストーラを使うものは同様のリスクがある。