一次完整的安全渗透测试

wanghui887799

网络渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户;客户根据渗透人员提供的渗透测试报告对系统存在漏洞和问题的地方进行修复和修补，本次渗透测试算是针对aspx类型的网站系统的一个补充。下面是整个渗透过程和一些渗透思路，写出来跟大家一起探讨和分享，不到之处请指正。
　　(一)初步的安全渗透测试
1.漏洞扫描
直接打开JSky Web漏洞扫描器，新建一个扫描任务，输入要扫描的地址http://www.*****.com，然后开始扫描，扫描结果如图1所示，没有任何高危漏洞，通过分析扫描结果，我们知道该网站采用的是Asp.net编写的，无注入漏洞，在扫描结果中存在“admin”和“upload”目录。难道该系统就没有可渗透之处?一般网站非常安全的可能性非常低，只有绝对不安全的系统，没有绝对安全的系统。
1.jpg (48.51 KB)
2011-11-7 16:50


图1 使用Jsky扫描网站的扫描结果
2.网站目录访问测试
复制http://www.xxxxxxx.com/admin地址到IE浏览器中，进行测试看看能否实际打开该地址，如图2所示，可以打开而且为管理员后台地址。

2.jpg (17.27 KB)
2011-11-7 16:50


图2 测试扫描出路径的页面是否存在
说明：
对存在目录进行实际访问主要是看系统是否存在一些报错等提示信息，然后根据这些信息再次进行分析和利用，为渗透提供一些判断和支持。
3.使用社工进行登陆测试
在图2的用户名中输入admin，密码中输入一些常见的密码进行测试，人品好，没有办法，还愣是进去了，如图3所示，页面比较简洁。

3.jpg (46.51 KB)
2011-11-7 16:50


成功进入后台
说明：
本次的成功渗透就来自于本次的成功进入后台，实际上如果社工猜测到密码，拿到该服务器的权限还是比较难的，所以在实际渗透测试过程中，各种想法和思路都可以进行测试，只要能够进入系统，能够获取一定的权限的方法都是好方法。
4.寻找突破点
整个系统一共就6个模块，对各个功能模块进行了查看，发现很多模块功能都是一样的，均是简单的数据添加、删除和修改。
5.修改管理员
在本网站系统中，无用户管理，仅仅一个修改管理员密码，考虑到该密码非常简单，出于安全考虑，直接将其修改为一个复杂的密码，然后将修改的密码告诉管理员。
[img]file:///C:/Documents%20and%20Settings/Administrator/Application%20Data/Tencent/Users/408046319/QQ/WinTemp/RichOle/8D102OJY)S%B[]$~R~{(MVJ.jpg[/img]
(二)旁注渗透测试
渗透测试时如果正面不行，那么就采用一些迂回战术，从侧面来进行。也就是采用一些间接的方法，例如旁注。
1.获取该网站所在服务中的所有其它域名
直接在IE地址栏输入：“http://www.ip866.com/reverse.aspx?domain=www.rain**.com”，打开“反查域名”页面，单击“点这里反查全部相关域名”，如图6所示，在该服务器中一共有9个域名。

查询域名绑定情况
2.扫描漏洞
任选一个域名，在Jsky中进行扫描，如图7所示，出现了8个SQL注入点，心中一顿狂喜，看来有戏，对于渗透测试人员没有什么比发现有漏洞更为高兴的事情了。

4.jpg (52.62 KB)
2011-11-7 16:50


获取SQL注入点
3.SQL注入手工测试
在扫描结果的SQL注入点列表中选中一个地址，然后在浏览器中打开，并手工加入一些测试SQL注入点的东东，结果出现了防注入提示和记录信息。
4.系统使用了Flashack防注入系统。
http://file:///C:/Documents%20and%20Settings/Administrator/Application%20Data/Tencent/Users/408046319/QQ/WinTemp/RichOle/IAU6_A`)FJM%QK2LC9_]R]5.jpg
4.获取数据库类型
继续测试，将ID值换成一个数字+字母类型的值，结果就爆出数据库出错提示，如图10所示，数据库类型是MS SQL Server，由此可以判断该服务器的操作系统也是Windows的，极有可能是Windows2003.
通过出错获取网站数据的类型
说明：
在很多防注入系统都对and、exe等关键字进行过滤，对于传入的值的范围并没有进行严格的限制，因此可以通过变换值出错来获取一些信息。
5.使用pangolin进行SQL注入测试
在Jsky扫描窗口选中存在SQL注入点的地址，然后选择渗透测试，如图11所示，先对SQL注入点进行检测，然后获取数据库等信息，在本次检测中很明显由于有SQL防注入系统的存在，所以无法猜测出任何有用的信息。

使用pangolin进行SQL注入测试
看来旁注等方法均不可行，无法进一步获取权限，看来只能通过前面获取的权限来想办法了。　　(三)通过CuteEditor上传而获得突破
由于微软的IIS6存在着一个文件解析路径的漏洞，当文件夹名为类似“xxx.asp”的时候(即文件夹名看起来像一个ASP文件的文件名)，此时此文件夹下的文本类型的文件都可以在IIS中被当作ASP程序来执行。这样可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。
通过分析和观察，发现本网站系统是采用的CuteEditor器。该器本身的安全还做的可以，分为管理员/user/guest三种权限，其配置文件位于“CuteEditor"Configuration"Security”目录，通过分析Admin.config文件，其涉及安全核心关键代码如下：

<configuration>     <security name="RestrictUploadedImageDimension">false</security>     <security name="OverWriteExistingUploadedFile">false</security>     <security name="AutoResizeUploadedImages">true</security>     <security name="MaxImageWidth">1024</security>     <security name="MaxImageHeight">768</security>     <security name="MaxImageSize">1000</security>     <security name="MaxMediaSize">100</security>     <security name="MaxFlashSize">100</security>     <security name="MaxDocumentSize">10000</security>     <security name="MaxTemplateSize">1000</security>     <security name="ImageGalleryPath">~/uploads</security>     <security name="MediaGalleryPath">~/uploads</security>     <security name="FlashGalleryPath">~/uploads</security>     <security name="TemplateGalleryPath">~/templates</security>     <security name="FilesGalleryPath">~/uploads</security>     <security name="MaxImageFolderSize">102400</security>     <security name="MaxMediaFolderSize">102400</security>     <security name="MaxFlashFolderSize">102400</security>     <security name="MaxDocumentFolderSize">102400</security>     <security name="MaxTemplateFolderSize">102400</security>     <security name="ThumbnailWidth">80</security>     <security name="ThumbnailHeight">80</security>     <security name="ThumbnailColumns">5</security>     <security name="ThumbnailRows">3</security>     <security name="AllowUpload">true</security>     <security name="AllowModify">true</security>     <security name="AllowRename">true</security>     <security name="AllowDelete">true</security>     <security name="AllowCopy">true</security>     <security name="AllowMove">true</security>       <security name="AllowCreateFolder">true</security>     <security name="AllowDeleteFolder">true</security>     </configuration>

在上面的代码中可以看到如果具有管理员权限，那么是可以在网站建立目录，也就是说在某种情况下，完全可以利用IIS文件目录解析漏洞来获的Webshell。
1.打开媒体上传窗口
直接在使用该器的网页中单击插入媒体的按钮，出现如图所示的界面。
http://file:///C:/Documents%20and%20Settings/Administrator/Application%20Data/Tencent/Users/408046319/QQ/WinTemp/RichOle/O4GI]_}LWH%CZ%K39{N8JVB.jpg