能力值:
( LV13,RANK:460 )
|
-
-
174 楼
这是一篇3年前渗透任务的实记,虽然web安全技术日新月异,但是许多的渗透思路与手段在今天还是非常有用的.
就因为多数论坛,站点的维护者以及管理员没有空或者不愿意多花心思去了解这些几年前就已经成型的攻击手段,以及追踪学习这些手段的进化或变种.
(作者自从发布该贴后,就没有回过贴,跑去潜水了)
下面说说我阅读这篇文章的心得体会:
*****www.111.com 应该是个假域名,作者总不希望揭秘渗透手法后,让目标站点曝露,面临被大量"尝试"的危险.
*****robots.txt这个文件,多数小型站点对其不够重视,虽然它可以阻止web爬虫对某些目录做缓存,快照,但同时也告诉了攻击者敏感资源,文件的存储位置.
robots.txt 现在已经发展成了"陷阱","蜜罐",也就是说,在该文件中伪造一些实际不存在的目录或文件,并且这些名称通常会对攻击者而言极具诱惑性,只要web应用防火墙监控到这些文件被访问的事件,访问者的IP会立即被阻断.
*****猜测网站后台登录文件(改名前为admin.php)的比较效率的做法是使用
BurpSuite 渗透测试集成套件,来进行路径与名称枚举,一般而言,"弱名称"(类似弱口令)很容易爆破成功.
*****既然www.111.com禁止了注册成普通会员,那么即便该站点存在文件,图片上传漏洞,也是难以利用的,作者在文中有讲到.
*****有一点没有弄明白: 作者提到的要删贴的论坛域名是什么,我假设是:
bbs.111.com 好了(后文称之 "目标论坛"),该论坛使用的系统为discuz! X2
discuz! X2 是国产的优秀论坛建站,管理系统,同时也是0day高发的论坛系统之一,
如果你的站点用了discuz! X2 ,至少确保在站点的主页要屏蔽任何显示版本的信息,并且不定时访问discuz! X2的官方站点,获取最新的安全补丁,如果你是站长没有时间,则可以委任专门的安全管理员来进行.
*****使用NMAP扫描的时候,如果不用TCP SYN半开扫描,如果目标论坛的防火墙检测阀值设置的比较低,扫描行为很容易被探测到,一般而言,为了销声匿迹,应该使用VPN, 匿名网络(如Tor),代理服务器等技术来启动NMAP 扫描(包括后续所有的渗透活动,原则上都应该保持隐蔽,如果作者在自己的家里进行活动,并且不想被警察叔叔找上门或者请去喝茶,就应该这样做)
*****CDN技术的广泛应用,确实是旁注入侵的绊脚石之一,假设访问bbs.111.com,首先向本地首选的DNS服务器A提交查询请求,但是后者很可能仅仅保存了负责 111.com 的这个“父域“的DNS服务器B的IP,而B服务器会根据提交查询请求者的IP, 计算出距离该IP对应的物理地址最近的CDN缓存服务器的IP,然后返回这个IP,换言之,攻击者得到的结果不是bbs.111.com站点服务器的IP,而是某个距离攻击者最近的CDN缓存服务器的IP,这个CDN缓存服务器上有着与目标站点一模一样的内容,这就实现了就近加速访问的机制,我想这就是作者要科普的原因.
而作者也很聪明,他利用了不同VPN访问时,访问IP对应的物理地址都不一样这个原理,来验证目标网站是否真的使用了CDN技术,结果是肯定的.
这个时候,只有结合google hacking与旁注查询技术,来找到bbs.111.com的真实IP,
其实,作者遗忘了一个最简单的办法:
在www.cnnic.net.cn (中国互联网络信息中心)或者www.apnic.net (亚太互联网络信息中心)这两个站点上,进行WHOIS查询,真实结果很快会出现.
WHOIS不受CDN技术的影响,前者总会给出网站所有者的注册信息,包括IP地址,以及AS自治域号码 ,网段范围等等 ,这些信息对于旁注入侵简直就是甘泉!
除非网站所有者连物理机器都是租用IDC机房的,并且又租用了CDN加速服务,那么WHOIS查询只能返回IDC的所有者,通常是CNNIC分配给国内一线或二线ISP的某个IP或地址段.这个地址上确实有目标站点,但是运行目标站点的物理主机所有权很可能是ISP的,而不是站点站长的.
*****根据作者的描述,归纳如下:
bbs.111.com 与 www.222.com 是运行在同一个物理主机上,通过web服务器的
"虚拟主机"功能,实现的相同论坛,那么只要能穿透CDN找到这个物理主机的IP
(依赖 google hacking 以及 baidu hacking ,CNNIC, APNIC WHOIS查询等技术)
攻破这个web服务器,那么这两个论坛也就拿下了,要删除特定的帖子就很容易了.
虽然 www.222.com 存在 phpinfo.php 这个严重的信息泄露漏洞,但是作者利用它的文件上传漏洞后,发现一句话木马被保存到另外的物理主机上,且与目标论坛所在的物理主机不是相同内网,于是访问这个上传的webshell就变得没有意义了.
前面讲到,www.111.com禁止注册用户帐户(有cms系统),
而www.222.com 却可以,这说明了要多番尝试,不轻易放过任何可能性,就能找到突破口.
*****网站的内容过滤机制是很重要的,例如作者在文中提到,他通过http post 请求提交了带左右尖括号的一句话木马,如果网站没有在服务器前端的web服务器处理请求阶段,或者WAF(web应用防火墙)检测阶段,以"html编码"过滤掉左右尖括号,那么很可能被携带进后台的php以及mysql处理,并且向客户端返回php以及操作系统的版本,导致信息泄露.
现在部署在大型站点前端的WAF,比较成熟一点的产品,都会进行“双向”过滤,即阻挡来自客户端的恶意查询符号,如常用于 sql 注入中的撇号, select from 等危险字符,另外,当WAF 遗漏客户端提交的危险字符后,该字符将被后台web应用程序以及数据库程序进行处理,这时就要依赖这些应用本身的安全配置策略,看是否能够检测并过滤出这些字符,如果不行,恶意字符将达到攻击者的目的,返回由后台应用输出的敏感信息,但是这些敏感信息在返回给客户端前,会被WAF 拦截下来,后者用白名单或黑名单字串对其进行匹配并过滤。所以,适当部署这些7层防火墙,对于阻止入侵,还是非常有帮助。文中作者要是在今日遇到类似防护技术,恐怕没有那么轻松 。
先写到这里吧,作者原文比较长,以后继续阅读并总结
|