渗透测试案例分析-B校高招网站

　　(1) 信息收集

　　通过访问给定的B校招生网站域名，可以确认该高招网站是以虚拟站点方式架设在该校门户网站上，而该门户网站上同时架设了十多个其他虚拟站点，这种在一台网站服务器上同时部署大量站点的方式为攻击者留下了“旁注”的安全风险，即通过攻击其他站点漏洞或其他站点后台管理程序，从而获得对该站点的控制权。

　　我们在使用nmap对该网站服务器进行端口扫描时，发现一个非常令人意外的结果，整个服务器上开放的TCP端口达到了28个之多，其中还开放着TELNET、FTP、SMTP、rlogin、HP SMH、samba_swat等使用明文传输身份认证信息的不安全网络服务端口，通过端口扫描与服务辨识结果，我们可以认定该网站的前端并没有部署防火墙，而是直接暴露在互联网上。通过对操作系统的辨识，我们确定了这台服务器的型号和系统版本，为一台比较高端的64位HP-UX系统服务器，简单地通过服务查点与分析后发现，它基本上从2007年左右部署之后就没有进行过任何对操作系统、网络服务的升级和更新工作。

　　(2) 系统层漏洞扫描与渗透攻击

　　在确定出目标网站服务器的版本之后，我们通过系统层漏洞扫描工具OpenVAS对远程服务器进行扫描之后，发现了4个高危漏洞、18个中危漏洞以及56个低危漏洞，其中的4个高危漏洞分别存在于Apache服务、Sendmail服务、Samba_SWAT服务上。然而由于该服务器安装的是非常少见的64位HP-UX操作系统，渗透测试小组尝试搜索了针对这些漏洞的渗透测试代码，第一个漏洞未有公开的渗透测试代码，后3个漏洞则没有针对HP-UX平台的渗透测试代码，因此未能成功进行进一步的系统高危漏洞服务渗透测试，但这些存在的中高危安全漏洞仍然存在着被利用攻击的可能性，而其他拥有更多渗透攻击代码资源的攻击者或许可以通过这些漏洞来远程获得目标服务器的访问权甚至控制权。

　　由于该服务器开放着可以进行远程口令猜测的服务点，包括TELNET、FTP、HTTP、Samba_swat、rlogin/rsh和HP SMH服务等，渗透测试小组进一步使用了Brutus和Hydra工具尝试采用字典攻击对采用系统用户的TELNET、FTP、HP SMH等服务进行了远程口令猜测，但由于网络访问速度较慢，以及为避免对目标网站造成持久性的访问负载，并没有持续性的进行猜测攻击，也尚未有成功猜测出系统用户帐号口令。但可以肯定的是，耐心的攻击者可以通过长时间的远程口令猜测，来猜测出字典文件中存在的弱口令与强度不够的口令。此外，攻击者还可以结合对目标服务器管理员的社会工程学攻击获取到管理员的更多个人信息，并结合这些信息产生出针对性的猜测字典文件，从而提高口令猜测的效率。

　　(3) Web应用层漏洞扫描与渗透攻击

　　在系统层漏洞扫描与渗透攻击没有得到显著成果时，渗透测试小组转入了Web应用层，而事实上Web应用层是目前网站系统最为薄弱的安全环节，针对B校高招网站的渗透测试又验证了这一点。

　　为了提升检测覆盖面，综合使用目前业界流行的Web应用漏洞扫描器AppScan和NetSpaker进行扫描，并对扫描结果进行了手工验证，此外，渗透测试小组还针对性地对目标网站上的敏感目录和扫描出的漏洞进行手工的发掘与分析。通过扫描与探测，我们除了发现网站Web应用程序存在着一些反射型跨站脚本漏洞可被利用攻击客户端浏览器之外，最严重的安全风险在于多个Web后台管理系统直接对网络用户直接开放，并设置了缺省口令和弱口令。其中，我们发现了 Oracle Application Server Control后台管理系统使用了缺省口令，通过缺省口令进入后可获得对网站应用服务的停止、启动等控制权限，以及可以修改网站应用服务的安全配置，从而打开允许目录浏览和代码源码查看等，此外我们可以从源码中获取SQL数据库位置与登录用户名口令等敏感信息。

　　至此，我们通过一个非常简单的后台管理系统缺省口令配置弱点，就获得了B校网站服务器的部分控制权。

　　(4) 本地提权攻击

　　由于我们未能获得在网站服务器上传文件和执行shell的权限，因此未进行进一步的本地提权攻击。

　　综合分析，这台服务器除了存在大量公开暴露并设置缺省口令与弱口令的后台管理系统，从而导致被渗透攻击获得部分控制权之外，还存在一些其他的安全弱点，包括开放大量的端口，并且没有部署网络防火墙与Web防火墙。

　　由于该网站服务器操作系统类型比较罕见，所以我们在比较短的渗透测试时间里，没能实现更进一步的攻击，但是它存在大量远程口令猜测点，以及使用了大量的明文传输协议来进行身份验证，这很容易遭受远程攻击者的口令猜测，以及在同一网段里受到口令嗅探攻击。