高考招生网站渗透测试 案例 分析
DESCRIPTION
高考招生网站渗透测试 案例 分析. 诸葛建伟 清华大学信息网络工程研究中心 CCERT 紧急响应组. 渗透测试. 渗透测试( Penetration Test ) 以攻击者角度 使用各种可能漏洞发现和攻击技术,对目标系统安全进行深入探测 以攻破系统,取得目标完全控制权为终极目标 一类专业性的安全服务 Red Team/Tiger Team 利用渗透小组能力和技术 帮助目标客户了解网络或系统的真实安全风险 提供渗透测试报告:修补漏洞和增强安全性建议. 高招网站渗透测试. 渗透测试目标 以实际案例深入了解目前高招网站的安全水平与防范情况 - PowerPoint PPT PresentationTRANSCRIPT
高考招生网站渗透测试案例分析诸葛建伟
清华大学信息网络工程研究中心CCERT 紧急响应组
渗透测试( Penetration Test )◦ 以攻击者角度◦ 使用各种可能漏洞发现和攻击技术,对目标系统安全进行
深入探测◦ 以攻破系统,取得目标完全控制权为终极目标
一类专业性的安全服务◦ Red Team/Tiger Team◦ 利用渗透小组能力和技术◦ 帮助目标客户了解网络或系统的真实安全风险◦ 提供渗透测试报告:修补漏洞和增强安全性建议
渗透测试
渗透测试目标◦ 以实际案例深入了解目前高招网站的安全水平与防范情况◦ 了解高招网站主要的安全弱点与缺陷
取得了三所京内高校的授权,实施针对招生网站的外部渗透测试◦ 一所 211 全国重点理科院校 - A 校◦ 一所 211 全国重点文科院校 - B 校◦ 一所 211 部委重点理科院校 - C 校
渗透测试时间◦ 2011 年 5 月 20 日—— 6 月 3 日(两周)
渗透测试人员◦ CCERT 紧急响应组成员,网络中心学生
高招网站渗透测试
渗透测试类型◦ 黑盒◦ 有限范围、有限授权◦ 外部渗透测试
渗透测试流程与方法◦ 目标信息采集: DNS 查询、主机 / 端口扫描、 OS 和服务辨识、
服务查点◦ 系统层漏洞扫描与攻击:远程漏扫、远程渗透攻击尝试、远程
口令猜测◦ Web 应用层漏洞扫描与攻击: Web 应用漏洞扫描、漏洞验证、
缺省 / 弱口令猜测、手工漏洞发掘与利用◦ 本地攻击:特权提升、管理后台口令爆破
渗透测试流程和方法
招生网站网址: gate.****.edu.cn/**zs◦ 门户网站上链接的子站点◦ 与门户网站和大量子站点均在同一台服务器上◦ 对 gate.****.edu.cn 服务器与网站进行全面渗透测试
信息收集◦ DNS 查询 IP 地址: ***.48.***.163◦ 端口扫描 (nmap -sV)◦ 操作系统类型辨识 (nmap -O)◦ 服务查点 (telnet/ftp/…)
B 校案例分析
PORT SERVICE
PORT SERVICE PORT SERVICE
7/tcp echo 512/tcp exec 2121/tcp ccproxy
9/tcp discard 513/tcp rlogin 2301/tcp HP SMH
19/tcp chargen 514/tcp shell 2525/tcp unknown
21/tcp ftp 515/tcp printer 5989/tcp ssl/http
23/tcp telnet 543/tcp klogin 6000/tcp X11 (deny)
25/tcp smtp 544/tcp kshell 6112/tcp dtspc
37/tcp time 587/tcp submission 8181/tcp ssl/unknown
80/tcp http 901/tcp samba-swat 8888/tcp answerbook
111/tcp rpcbind 999/tcp garcon 49152/tcp rpcbind
113/tcp auth
Nmap 端口扫描与 OS 辨识结果
OSs: HP-UX, Linux, Unix
Telnet 服务◦ HP-UX hp3 B.11.23 U◦ ia64
FTP 服务◦ wuftpd-2.6.1◦ 2006-2007
SMTP 服务◦ hp3 ESMTP Sendmail
8.11.1◦ 2006 年 12 月
部分敏感服务的查点
使用 OpenVAS 开源漏洞扫描工具
高危安全漏洞 – 未找出对应 HP-UX 的渗透代码
系统层漏洞扫描
主机 高危 中危 低危 日志 误报***.48.***.163 4 18 50 48 0
漏洞存在服务 漏洞名称 漏洞编号 修补措施
Apache 服 务 ( 2381
端口的 HP SMH )
Apache 'mod_proxy_ftp' Module
Command Injection Vulnerability
CVE-2009-
3095
升级至 Apache HTTP Server version 2.2.15 or higher
SMTP 服 务 ( 25 端
口)
Sendmail remote header buffer overflow CVE-2002-
1337
通过 banner 来判断,可能为误报,更新至 8.12.8 以上版本
SMTP 服 务 ( 587 端
口)
Sendmail remote header buffer overflow CVE-2002-
1337
通过 banner 来判断,可能为误报,更新至 8.12.8 以上版本
Samba_swat 服 务
( 901 端口)
Mongoose Webserver Content-Length
Denial of Service Vulnerability
N/A 尚未有修补补丁
服务 远程口令猜测点 用户帐号类型
TELNET ( 23 端口) telnet gate.cupl.edu.cn 系统用户帐号
SMTP 服务( 25/587 端口) nc gate.cupl.edu.cn -p 25 Sendmail 用 户
帐号
FTP 服务( 21 端口) ftp gate.cupl.edu.cn FTP 用户帐号
HTTP 服务 (80 端口 ) http://gate.cupl.edu.cn/
portalWeb 管 理 用 户 帐
户
Samba_swat 服 务 ( 901 端
口)
http://
gate.cupl.edu.cn:901/系统用户帐号
rlogin/rsh 服务( 513/514 端
口)
nc gate.cupl.edu.cn -p 513 系统用户帐号
HP SMH 服 务 ( 2301/2381
端口)
http://gate.cupl.edu.cn:23
01
https://gate.cupl.edu.cn:2
381
系统用户帐号
远程口令猜测点
远程口令猜测 -Brutus/Hydra猜测速度: 2xx tries/min 弱口令字典:几十万 - 几百万强口令字! 运行一段时间,但未成功猜测
社会工程学口令字典
“ 强口令字”也有安全风险!!!
Web 漏洞扫描器◦ IBM AppScan◦ NetSpaker
AppScan◦ 扫描 42 个 URL ,发现其中 30% 的 URL 包含安全性问题◦ 主要安全问题
未对用户输入正确执行危险字符清理 !!! XSS 跨站脚本注入 SQL 注入 链接注入
未安装第三方产品的最新补丁或最新修订程序 Web 应用程序编程或配置不安全 Web 服务器或应用程序服务器是以不安全的方式配置的 在生产环境中留下临时文件
Web 漏洞扫描与验证
目标网站 XSS 跨站脚本漏洞验证
窃取 Cookie/挂马 /社会工程欺骗…
Oracle 应用服务器管理
Web 后台管理系统大发现
Apache AXIS2 服务管
理
Oracle Metadata
Navigator 管理Oracle BI
Publisher 后台管理
CASWeb 应用系统后台管理
Oracle 应用服务器管理后台◦ 缺省口令: Google Hacking ( GHDB )可直接搜索到
后台管理系统的缺省口令
停止网站运行敏感信息泄露 安全配置修改
◦允许目录浏览◦ 代码审查分析
进一步漏洞发掘◦ 文件上传漏洞 ?
危害后果?
B 校招生网站安全情况◦ 与门户网站和子站点均在同一台服务器上 -“旁注风险”◦ 服务器类型: HP-UX 64位 /Oracle 应用服务管理 / 大量第
三方或自主开发 Web 应用 安全弱点
◦ 大量 Web 后台管理系统直接对外开放,且使用缺省口令——渗透测试获得了网站的部分控制权
◦ 开放大量端口,未实施防火墙保护◦ 开放网络服务存在安全漏洞,但系统类型罕见,较难利用◦ 服务查点显示系统没有进行更新和升级维护◦ 大量远程口令猜测点,以及大量使用明文传输协议,很容易被网络口令嗅探
B 校渗透测试结果回顾
招生网站网址◦ 本校招生网站 (goto.****.edu.cn): 单独服务器
( **.50.***.250 )◦分校招生网站 : ***.206.***.40/zs/ (门户服务器子站点)
信息采集◦ 本校招生网站
80/tcp (新网站); 8080/tcp (旧网站) - 防火墙保护 Windows/IIS 6.0/ ASP.NET
◦分校招生网站 80/tcp – 防火墙保护 Windows/IIS 6.0/ ASP.NET
C 校渗透测试案例分析
OpenVAS 的系统层漏洞扫描结果
中危安全漏洞◦ Microsoft ASP.NET Information Disclosure Vulnerability
(2418042)◦ CVE-2010-3332◦ http://www.microsoft.com/technet/security/bulletin/MS10-
070.mspx ◦说明没有及时更新补丁,但该漏洞较难利用
系统层漏洞扫描
Host High Medium Low Log False Positive
**.50.***.250 (本校)
0 2 14 15 0
***.206.***.40 (分校)
0 0 7 13 0
本校网站没有发现可被利用的漏洞( Web 应用防火墙) 分校网站上发现了几个高危漏洞
◦ Ewebeditor 网页编辑器控件任意页面修改漏洞◦ PUT 方法文件上传漏洞
Web 应用层漏洞扫描
利用 PUT 漏洞进行 ASP 后门上传攻击
获取后台管理帐户口令
上传 ASP 后门程序之后的攻击
C 校分校高招网站后台管理系统
可随意修改数据库内容
C 校分校录取 (2010) 学生数据库
“ 查找木马”意外大发现
ASP 后门 -受限用户权限◦ 但可在网页目录上上传文件◦ 可以受限权限运行 CMD Shell
本地提权工具上传◦ 上传Meterpreter 本地攻击程序包
本地提权攻击
利用 ASP 后门程序的 CMD shell命令执行功能激活上传的 meterpreter 后门程序,反向连接
shell
本地提权攻击 (2)
利用 meterpreter 后门程序强大的功能◦ 提权工具: getsystem命令(综合利用多个内核漏洞)◦ Technique 4 :利用 MS10-015 内核 Trap处理提权漏洞◦ 后门程序功能:截屏、键击记录、文件、注册表、清除日志…
本地提权攻击 (3)
C 校招生网站安全情况◦ C 校本校招生网站安全性较高 ( 防火墙、漏洞利用防范 )◦ C 校分校存在严重安全问题,通过渗透测试可以完全控制,并发
现已遭“潜伏” C 校分校招生网站安全弱点
◦ 招生网站和大量其他网站在同一服务器上 -“旁注”◦ 系统层防护到位(防火墙、严格控制开放端口)◦ Web 应用层存在严重漏洞
Ewebeditor 控件任意修改页面内容漏洞页面篡改 IIS 6不安全配置: PUT/MOV 上传和移动文件漏洞上传 ASP 后门,
取得部分控制权(后台管理,修改招生数据库…) Windows 本地安全漏洞未及时修补( MS10-15 )本地提权攻击,
完全本地控制◦ 渗透测试意外发现:该网站已遭多个“黑客”团队“潜伏”
C 校渗透测试结果回顾
高招网站( 3 校 4 个服务器)渗透测试◦ 虽然是小样本集,但仍能反映出一些普遍问题◦ 高招网站所面临的实际安全风险◦ 目前高招网站的安全防范水平与状况
Good◦ 专门服务器(与其他Web 应用分离):安全隔离控制◦ 防火墙部署与严格访问控制措施对外仅开放必要的 HTTP/S 服务( A 校 /C 校)◦ 部署和实施 Web 应用防火墙( C 校本校)
Bad◦ 缺乏专业安全技术人员持续负责任的安全检查、加固和响应( B/C 校)◦ 大量开放无必要服务 / 管理后台( B 校)◦ 提供大量远程口令猜测 /嗅探点,并设置缺省 / 弱口令( B 校 /C 校分校)◦ Web 应用服务器未经安全配置和漏洞扫描评估,未部署Web 应用防火墙进行防护
( B 校 /C 校分校)◦ 没有及时更新系统补丁( B 校 /C 校分校)
高招网站渗透测试案例分析总结
Thanks
联系方式: [email protected]