一次WEB服務器滲透測試筆記

滲透測試是最能直接的反映系統的安全性的一種手段了?，F整理了前段時間進行的一次滲透測試的筆記，整個過程中所使用的工具和思路都比較簡單，本文也正是為了您的系統不被這些“簡單”的東西所擊敗而作。

　　此次滲透測試的已知條件只有一個：目標IP地址211.***.***.114。

　　首先當然是常規的掃描nmap -v -sS -O 211.***.***.114，得到的結果如下：

　　(The 1641 ports scanned but not shown below are in state: filtered)

　　Port State Service

　　80/tcp open http

　　Device type: general purpose

　　Running: FreeBSD 4.X

　　OS details: FreeBSD 4.7-RELEASE

　?。ㄗ⒁猓簼B透測試需要有對方授權，任何未經許可的掃描和滲透都有可能受到起訴。）

　　這個結果讓人比較郁悶，只開了80一個端口，而且是freebsd的系統，并用IPFW或其他firewall進行了嚴格的過濾，看來這次的滲透要費點腦筋了。

　　但打開頁面看了一下，更加讓人喪氣情況出現了：所有的連接都是靜態的html頁面！這意味著沒有sql注入可利用，沒有腳本漏洞可發掘！只是通過指紋驗證httprint知道了web服務器是apache。

　　嗯，好吧，看來只能掃一下80端口試一下了。拿出RetinaApacheChunked... ...

　　當掃描結果出現在我眼前的時候，我想我有必要聯系一下拉登大叔了，直接把這服務器炸掉算了?。?！

　　放棄？！當然不！“一條鐵鏈的強度取決于其最薄弱的一環”，安全也從來都不是單點的安全，所以，擴大掃描的范圍說不定會有收獲。當然這個擴大也不是隨意的，最好先估算一下對方的地址段的長度，比如這個211.***.***.114，假設掩碼是240，則該段地址即為：211.***.***.112－211.***.***.127。這個不用解釋了吧！

　　拿出nmap，掃描從211.***.***.113－211.***.***.126的地址。得到的結果中最另人感興趣的是一臺開放了80端口的windows2000的主機211.***.***.116。一種直覺告訴我這臺主機就是突破口！

　　http://211.***.***.116

　　出現在我眼前的是一個asp論壇的首頁，但奇怪的是該論壇沒什么分論壇也沒幾個注冊用戶，很可能是一個用來測試的系統?？戳讼抡搲撞康陌姹拘畔ⅰ癙owered by China Power Board v1.2”，原來是CPB的論壇，而且印象里這個v1.2好像是有注入漏洞，（竊喜）。

　　用google搜索到一個cpbv1.2研究了一下，原來數據庫用的是ACCESS，儲存管理員用戶名和密碼的表名為admin，這是我們最關心的東西，該表有四列：a_id admin password a_grade，其中passoword是使用md5加密過的。好了知道了這些基本信息，就可以進行下一步了：

　　提交：

　　http://211.***.***.116/list.asp?l_id=1 and exists (select a_id from admin where a_id=2)

　　返回：

　　Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80004005'

　　[Microsoft][ODBC Microsoft Aclearcase/" target="_blank" >ccess Driver] 操作必須使用一個可更新的查詢。

　　/list.asp，行145

　　

原文轉自：http://www.anti-gravitydesign.com