![]()
出处:比特网 作者:Simeon
通过本案例可以学到:
(1)如何在线对站点进行安全检查
(2)对安全漏洞综合判断的一种思路
由于近两年来,安全站点如雨后春笋般冒出来,加上国内著名安全杂志“黑客手册”、“黑客在线”等推出,很容易下载一个安全攻击工具对站点或者网络进行攻击,而由于网站程序具有较大的移植性,因此某一个程序(论坛程序、blog程序)可能在网上广为流传和使用,一旦出现安全漏洞,将会造成安全事件。本案例主要对一个站点进行安全检测,查找系统存在漏洞,并进行了安全渗透测试,最终给出安全建议。
1漏洞踩点-寻找SQL注入点
“漏洞踩点”其本质就是获取信息。一个网站,当其文件数量巨大的时候,就要进行冷静的思考,对网站总体架构,网站目录结构,网站使用的脚本类型等等进行分析。网站目录可以通过下面三种方式获取:
(1)网站根目录robots.txt文件。大型网站一般都存在robots.txt文件,如果网站做了搜索限制,则网站文件目录结构可以通过robots.txt文件获取,robots.txt文件中包含很多内容,不懂的朋友可以去百度搜索一下,使用robots主要为了限制或者鼓励搜索引擎搜索,可以允许或者禁止对某些敏感的内容进行搜索,而文件往往位于这些目录中。
(2)flashget的资源管理器。在Flashget的资源管理器中输入网站的地址,然后双击地址,系统会自动将网站的目录以及文件显示出来。
(3)使用HDSI、Domain3.5的后台扫描,不过这种扫描主要是对存在文件的扫描。
在本例中,由于是一般公司站点,没有这么复杂,在浏览器中输入网站地址,然后看看那些地方存在诸如“*.asp?id=***”的网页,然后通过手工在其地址后面输入输入“and 1=1”等字样,看看程序是否出错,这个过程其实就是寻找SQL注入点,如图1所示,找到一个典型的SQL注入漏洞地址类型。
图1 寻找SQL注入点
2.获取其它信息
SQL注入点查找完成后,可以在看看网站是否存在Blog、BBS论坛等,这些也往往是存在安全漏洞的地方,凑巧的是该公司网站存在论坛,如果存在论坛或者Blog,则需要获取程序使用的是什么版本,该公司BBS使用的是BBSxp 5.00.SP1版本,如图2所示。
图2 获取论坛版本
3.在线寻找漏洞信息
如果站点存在blog或者bbs,获取其版本以后可以在google或者百度中输入“版本号 漏洞”获取目前对于该漏洞的利用方法,存在漏洞的描述,在本例中输入“BBSxp 5.00.SP1 漏洞”,单击出现的搜索结果,如图3所示。
图3 网上关于漏洞利用方法
关于BBSxp 5.00.SP1 漏洞描述为程序默认数据库文件位于database目录下,且默认文件名称为bbsxp.mdb,直接输入网站地址:,下载access数据库文件,如图4所示。
图4 下载Access数据库文件
4.数据库内容分析和获取
将数据库下载到本地以后,对直接打开看看数据库中的user、admin、config等等感觉跟管理员或者用户或者配置有关的表,从中获取一些可用的信息。如果是论坛,可以结合论坛管理员和版主的昵称从用户表中获取用户名和密码,如图5所示。
图5 查看数据库内容
&说明
(1)对于Access数据库,用户名一般情况下没有进行加密,对密码一般采用md5加密。将版主或者管理员跟其对应的密码值复制出来进行破解。
(2)BBSxp早期版本中,还存在一个漏洞,数据库表log会记录管理员的密码。
5获取管理员密码md5值
对本站点安全检查中,通过分析bbsxp.mdb数据库中的clubconfig表,我们获取网站管理员密码值为“4ED******3071562776D5C675606287C”,如图6所示。
图6 管理员密码md5值
6.查找后台地址和工具猜解
如果网站不存在blog或者bbs,或者其blog和bbs版本已经是最新版本,根本就不存在漏洞,这个时候又得回到第一步,进入sql注入猜解阶段。将存在sql注入点的地址输入sql注入工具明小子的Domain3.5或者教主的HDSI3.0。个人觉得教主的HDSI3.0对SQL Server注入型数据库比较好用,而对于Access数据库,则明小子的Domain3.5好用。SQL注入工具软件可以很好的猜解数据库中的敏感内容,比如admin表、user表等,如果数据库表中字段不太长,一般都能将表中字段值猜解出来,如图7所示
图7 使用Domain3.5猜解数据库中的值
&说明
(1)SQL注入最本质的东西就是猜解数据库中用户名称和密码,借助这个进入后台进而上传web设立了,达到提升权限否则挂马的目的。
在HDSI3.0和Domain3.5中的后台地址扫描功能非常好用,将sql注入点的地址输入其中,单击“扫描后台地址”即可,如果存在,选择直接直接访问即可,如图8所示。
图8 扫描后台地址
7.破解md5密码值
对于SQL注入点猜解出来的结果一般有两种情况,一种是明文,程序未对数据进行加密;另外一种情况就是对数据进行了加密。第二种情况还得小心,目前虽然md5加密比较普遍,而且md5存在冲撞,按照数学家王小云的理论,md5在理论上是可以破解的。但是如果作者采用password(y)=md5(X)+a,这种情况就比较麻烦了,所以稳妥一点的,可以注册一个用户名和已经密码进行核对,如果你自己的md5值跟网站的md5值不椅子,呵呵,劝你就不要去弄了。对于md5的破解工具有很多,例如md5crack3.0可以对md5进行爆破,本例中,对md5值在md5crack3.0进行了破解,跑了3天都没有破解出来,后面通过在线破解,在网站竟然破解成功,密码为“x015x33”,居然是数字与同一个字母的组合,如图9所示。
图9在线破解md5密码值
J技巧
本文在破解md5值,走了一些弯路,目前网上有很多站点提供在线破解,其原理是将密码值和密码放入数据库中,输入密码值查询密码。如果通过在线实在查找不到,再进行暴力破解,暴力破解时,要由简单到复杂。否则破解时间较长!
8.登陆后台并修改相应设置
bbsxp早期版本中,只要输入管理密码即可登陆后台,其后台登陆地址为admin.asp,输入后台地址进行登陆,登陆验证成功以后进入后台管理。
图10进入后台管理
进入后台以后,对后台的各个功能大致看看,需要设置管理、初始设置、上传文件管理等地方,看看是否存在上传文件类型限制,如果有则修改上传文件类型限制,在允许上传上传文件限制中加入asp/asa等,在本例中,在允许上传文件类型中添加一个“|asp”,如图11所示,并进行更新。
图11 添加允许上传文件类型
上传文件这个很简单,在论坛中发表一个帖子,输入主题和内容,然后上传一个asp的webshell,帖子发表成功以后,会显示附件,如图12所示。有的论坛可能不能修改文件上传类型,这个时候可以通过domain3.5中的辅助工具,看看能否进行上传方面的突破,或者直接加入管理用户。
图12 上传webshell文件
单击附件链接进入webshell登陆界面,输入正确密码后,进入webshell控制界面,如图13所示
图13 webshell控制
进入webshell控制界面以后,可以对网站文件进行查看,提升权限以及挂马等操作,由于是安全检查,因此需要看看网站文件时候进行了挂马。
9安全评估结果和补救措施
通过安全检查,我们发现网站bbs论坛未进行升级,其网站凡是存在id输入的地方均为sql注入点,网站网页文件中存在多大53处挂马地址,安全评估结果为极不安全,安全风险极高。其补救措施如下:
(1)升级bbsxp论坛程序到最新版本
(2)使用原备份程序替代现有程序,对存在sql注入点地方修改程序注入点。
(3)后台维护建议修改为指定ip地址或者ip段
小结
本案例是对一个公司站点进行了安全检查,对存在漏洞的地方进行了安全渗透,其渗透安全检查过程是成功的,可以成功进入后台程序,可以进行挂马等操作。通过漏洞检测最后给出了安全补救措施,虽然技术难度不高,当对于公司站点安全具有一定的参考意义。
阅读(2938) | 评论(1) | 转发(0) |
