(4) 本地提权攻击

　　在上传ASP木马后门程序之后，我们已经获得了C校分校高招网站上的受限用户权限，但真正黑客并不满足于此，他们还会期望通过本地提权攻击获得系统管理员帐户权限。渗透测试小组使用了Met asploi t 开源项目中的Meterpreter本地攻击程序包，利用ASP木马上传至Web目录中，并使用CMD Shell命令功能进行执行，激活上传的met erpr et e r 后门程序，提供反向连接的sh el l。通过Meterpreter的getsystem命令，利用其集成的MS10-015内核Trap处理提权漏洞就可以轻易地获取到目标服务器的系统管理员帐号权限，即获得了完全控制权，可以进一步使用meterpreter本地攻击程序包中的截屏、键击记录、文件读写等各种功能。

　　渗透测试结果分析与安全防护措施建议

　　CCERT小组只是用了两周的时间，对取得授权的3所高校的4个高招网站进行了渗透测试，其中获取了3个高招网站的控制权，并发现其中1个网站可以被完全控制并已遭攻击者“潜伏”。虽然本次渗透测试的样本范围很小，但是仍然能够反映出一些国内高招网站普遍存在的安全问题，也揭示了现在高校高招网站的安全防护水平仍不够充分，面临着严峻的实际安全风险。渗透测试过程中发现的主要安全问题包括：

　　(1) 缺乏专业安全技术人员持续负责任的安全检查、加固和响应；

　　(2) 大量开放无必要的网络服务，一些网站管理后台未经限制直接向互联网开放；

　　(3) 提供了大量的远程口令猜测/嗅探点，一些管理后台设置了缺省口令与弱口令；

　　(4) Web应用服务器未经安全配置和漏洞扫描评估，未部署Web应用防火墙进行防护；

　　(5) 没有及时更新系统补丁。

　　当然，在这个过程中，我们也发现一些比较好的安全防护措施，这值得其他高校招生网站落实安全策略时进行参考与借鉴。

　　首先，应使用专门的服务器来架设高校招生网站，这样系统的安全性将会比较高，招生网站可以跟其他的Web应用分离，从而实现安全的隔离控制。

　　其次，防火墙部署严格的访问控制措施，对外仅开放必要的HTTP和HTTPS服务；或者像C校本校，在招生网站前部署实施Web应用防火墙，这样就使得我们的渗透测试很难发现和利用Web应用层上存在的安全漏洞。

　　第三，设置完善的口令，这样将增加攻击者远程对这个网络服务进行口令猜测的难度。同时系统应尽量减少或者不是用明文协议来进行口令传输，以保障用户口令的安全。

　　第四，对Web应用服务器需要进行完善的安全配置和漏洞扫描。网站的服务器系统需要及时地更新系统补丁，以保障系统本身的安全。

　　(作者单位为CCERT安全应急响应组)