高考招生网站渗透测试案例分析-清华大学信息工程中心

高考招生网站渗透测试案例分析诸葛建伟清华大学信息网络工程研究中心CCERT紧急响应组渗透测试〔PenetrationTest〕以攻击者角度使用各种可能漏洞发现和攻击技术，对目标系统平安进行深入探测以攻破系统，取得目标完全控制权为终极目标一类专业性的平安效劳RedTeam/TigerTeam利用渗透小组能力和技术帮助目标客户了解网络或系统的真实平安风险提供渗透测试报告：修补漏洞和增强平安性建议渗透测试渗透测试目标以实际案例深入了解目前高招网站的平安水平与防范情况了解高招网站主要的平安弱点与缺陷取得了三所京内高校的授权，实施针对招生网站的外部渗透测试一所211全国重点理科院校-A校一所211全国重点文科院校-B校一所211部委重点理科院校-C校渗透测试时间2021年5月20日——6月3日〔两周〕渗透测试人员CCERT紧急响应组成员，网络中心学生高招网站渗透测试渗透测试类型黑盒有限范围、有限授权外部渗透测试渗透测试流程与方法目标信息采集：DNS查询、主机/端口扫描、OS和效劳辨识、效劳查点系统层漏洞扫描与攻击：远程漏扫、远程渗透攻击尝试、远程口令猜测Web应用层漏洞扫描与攻击：Web应用漏洞扫描、漏洞验证、缺省/弱口令猜测、手工漏洞开掘与利用本地攻击：特权提升、管理后台口令爆破渗透测试流程和方法招生网站gate.****.edu/**zs门户网站上链接的子站点与门户网站和大量子站点均在同一台效劳器上对gate.****.edu效劳器与网站进行全面渗透测试信息收集DNS查询IP地址：***.48.***.163端口扫描(nmap-sV)操作系统类型辨识(nmap-O)效劳查点(telnet/ftp/…)B校案例分析PORTSERVICEPORTSERVICEPORTSERVICE7/tcpecho512/tcpexec2121/tcpccproxy9/tcpdiscard513/tcprlogin2301/tcpHPSMH19/tcpchargen514/tcpshell2525/tcpunknown21/tcpftp515/tcpprinter5989/tcpssl/http23/tcptelnet543/tcpklogin6000/tcpX11(deny)25/tcpsmtp544/tcpkshell6112/tcpdtspc37/tcptime587/tcpsubmission8181/tcpssl/unknown80/tcphttp901/tcpsamba-swat8888/tcpanswerbook111/tcprpcbind999/tcpgarcon49152/tcprpcbind113/tcpauthNmap端口扫描与OS辨识结果OSs:HP-UX,Linux,UnixTelnet效劳HP-UXhp3B.11.23Uia64FTP效劳2006-2007SMTP效劳2006年12月局部敏感效劳的查点使用OpenVAS开源漏洞扫描工具高危平安漏洞–未找出对应HP-UX的渗透代码系统层漏洞扫描主机高危中危

低危日志误报***.48.***.16341850480漏洞存在服务漏洞名称漏洞编号修补措施Apache服务（2381端口的HPSMH）Apache'mod_proxy_ftp'ModuleCommandInjectionVulnerabilityCVE-2009-3095升级至ApacheHTTPServerversion2.2.15orhigherSMTP服务（25端口）SendmailremoteheaderbufferoverflowCVE-2002-1337通过banner来判断，可能为误报，更新至8.12.8以上版本SMTP服务（587端口）SendmailremoteheaderbufferoverflowCVE-2002-1337通过banner来判断，可能为误报，更新至8.12.8以上版本Samba_swat服务（901端口）MongooseWebserverContent-LengthDenialofServiceVulnerabilityN/A尚未有修补补丁服务远程口令猜测点用户帐号类型TELNET（23端口）telnet系统用户帐号SMTP服务（25/587端口）nc-p25Sendmail用户帐号FTP服务（21端口）ftpFTP用户帐号HTTP服务

(80端口)/portalWeb管理用户帐户Samba_swat服务（901端口）:901/系统用户帐号rlogin/rsh服务（513/514端口）nc-p513系统用户帐号HPSMH服务（2301/2381端口）:2301:2381系统用户帐号远程口令猜测点远程口令猜测-Brutus/Hydra猜测速度：2xxtries/min弱口令字典：几十万-几百万强口令字！运行一段时间，但未成功猜测社会工程学口令字典“强口令字〞也有平安风险！！！Web漏洞扫描器IBMAppScanNetSpakerAppScan扫描42个URL，发现其中30%的URL包含平安性问题主要平安问题未对用户输入正确执行危险字符清理!!!XSS跨站脚本注入SQL注入链接注入未安装第三方产品的最新补丁或最新修订程序Web应用程序编程或配置不平安Web效劳器或应用程序效劳器是以不平安的方式配置的在生产环境中留下临时文件Web漏洞扫描与验证目标网站XSS跨站脚本漏洞验证窃取Cookie/挂马/社会工程欺骗…Oracle应用服务器管理Web后台管理系统大发现ApacheAXIS2效劳管理OracleMetadataNavigator管理OracleBIPublisher后台管理CASWeb应用系统后台管理Oracle应用效劳器管理后台缺省口令：GoogleHacking〔GHDB〕可直接搜索到后台管理系统的缺省口令停止网站运行敏感信息泄露平安配置修改允许目录浏览代码审查分析进一步漏洞开掘文件上传漏洞?危害后果？B校招生网站平安情况与门户网站和子站点均在同一台效劳器上-“旁注风险〞效劳器类型：HP-UX64位/Oracle应用效劳管理/大量第三方或自主开发Web应用平安弱点大量Web后台管理系统直接对外开放，且使用缺省口令——渗透测试获得了网站的局部控制权开放大量端口，未实施防火墙保护开放网络效劳存在平安漏洞，但系统类型罕见，较难利用效劳查点显示系统没有进行更新和升级维护大量远程口令猜测点，以及大量使用明文传输协议，很容易被网络口令嗅探B校渗透测试结果回忆招生网站网址本校招生网站(goto.****.edu):单独效劳器〔**.50.***.250〕分校招生网站:***.206.***.40/zs/〔门户效劳器子站点〕信息采集本校招生网站80/tcp〔新网站〕；8080/tcp〔旧网站〕-防火墙保护Windows/IIS6.0/ASP.NET分校招生网站80/tcp–防火墙保护Windows/IIS6.0/ASP.NETC校渗透测试案例分析OpenVAS的系统层漏洞扫描结果中危平安漏洞MicrosoftASP.NETInformationDisclosureVulnerability(2418042) CVE-2021-3332说明没有及时更新补丁，但该漏洞较难利用系统层漏洞扫描HostHighMediumLowLogFalsePositive**.50.***.250（本校）0214150***.206.***.40（分校）007130本校网站没有发现可被利用的漏洞〔Web应用防火墙〕分校网站上发现了几个高危漏洞Ewebeditor网页编辑器控件任意页面修改漏洞PUT方法文件上传漏洞Web应用层漏洞扫描利用PUT漏洞进行ASP后门上传攻击获取后台管理帐户口令上传ASP后门程序之后的攻击C校分校高招网站后台管理系统可随意修改数据库内容C校分校录取(2021)学生数据库“查找木马〞意外大发现ASP后门-受限用户权限但可在网页目录上上传文件可以受限权限运行CMDShell本地提权工具上传上传Meterpreter本地攻击程序包本地提权攻击利用ASP后门程序的CMDshell命令执行功能激活上传的meterpreter后门程序，反向连接shell本地提权攻击(2)利用meterpreter后门程序强大的功能提权工具：getsystem命令〔综合利用多个内核漏洞〕Technique4：利用MS10-015内核Trap处理提权漏洞后门程序功能：截屏、键击记录、文件、注册表、去除日志…本地提权攻击(3)C校招生网站平安情况C校本校招生网站平安性较高(防火墙、漏洞利用防范)C校分校存在严重平安问题，通过渗透测试可以完全控制，并发现已遭“潜伏〞C校分校招生网站平安弱点招生网站和大量其他网站在同一效劳器上-“旁注〞系统层防护到位〔防火墙、严格控制开放端口〕Web应用层存在严重漏洞Ewebeditor控件任意修改页面内容漏洞页面篡改IIS6不平安配置：PUT/MOV上传和移动文件漏洞上传ASP后门，取得局部控制权〔后台管理，修改招生数据库…〕Windows本地平安漏洞未及时修补〔MS10-15〕本地提权攻击，完全本地控制渗透测试意外发现：该网站已遭多个“黑客〞团队“潜伏〞C校渗透测试结果回忆高招网站〔3校4个效劳器〕渗透测试虽然是小样本集，但仍能反映出一些普遍问题高招网站所面临的实际平安风险目前高招网站的平安防范水平与状况Good专门效劳器〔与其他Web应用别离〕：平安隔离控制防火墙部署与严格