Transcript 高考招生网站渗透测试案例分析 - 清华大学网络与信息安全实验室

诸葛建伟
清华大学信息网络工程研究中心
CCERT紧急响应组

渗透测试（ Penetration Test ）
◦ 以攻击者角度
◦ 使用各种可能漏洞发现和攻击技术，对目标系统安全进行
深入探测
◦ 以攻破系统，取得目标完全控制权为终极目标

一类专业性的安全服务
◦
◦
◦
◦
Red Team/Tiger Team
利用渗透小组能力和技术
帮助目标客户了解网络或系统的真实安全风险
提供渗透测试报告：修补漏洞和增强安全性建议

渗透测试目标
◦ 以实际案例深入了解目前高招网站的安全水平与防范情况
◦ 了解高招网站主要的安全弱点与缺陷

取得了三所京内高校的授权，实施针对招生网站的外部
渗透测试
◦ 一所211全国重点理科院校 - A校
◦ 一所211全国重点文科院校 - B校
◦ 一所211部委重点理科院校 - C校

渗透测试时间
◦ 2011年5月20日——6月3日（两周）

渗透测试人员
◦ CCERT紧急响应组成员，网络中心学生

渗透测试类型
◦ 黑盒
◦ 有限范围、有限授权
◦ 外部渗透测试

渗透测试流程与方法
◦ 目标信息采集：DNS查询、主机/端口扫描、OS和服务辨
识、服务查点
◦ 系统层漏洞扫描与攻击：远程漏扫、远程渗透攻击尝试、
远程口令猜测
◦ Web应用层漏洞扫描与攻击：Web应用漏洞扫描、漏洞验
证、缺省/弱口令猜测、手工漏洞发掘与利用
◦ 本地攻击：特权提升、管理后台口令爆破

招生网站网址：gate.****.edu.cn/**zs
◦ 门户网站上链接的子站点
◦ 与门户网站和大量子站点均在同一台服务器上
◦ 对gate.****.edu.cn服务器与网站进行全面渗透测试

信息收集
◦
◦
◦
◦
DNS查询IP地址：***.48.***.163
端口扫描(nmap -sV)
操作系统类型辨识(nmap -O)
服务查点(telnet/ftp/…)
PORT
SERVICE
PORT
SERVICE
PORT
SERVICE
7/tcp
echo
512/tcp
exec
2121/tcp
ccproxy
9/tcp
discard
513/tcp
rlogin
2301/tcp
HP SMH
19/tcp
chargen
514/tcp
shell
2525/tcp
unknown
21/tcp
ftp
515/tcp
printer
5989/tcp
ssl/http
23/tcp
telnet
543/tcp
klogin
6000/tcp
X11 (deny)
25/tcp
smtp
544/tcp
kshell
6112/tcp
dtspc
37/tcp
time
587/tcp
submission
8181/tcp
ssl/unknown
80/tcp
http
901/tcp
samba-swat 8888/tcp
answerbook
111/tcp
rpcbind
999/tcp
garcon
rpcbind
113/tcp
auth
OSs: HP-UX, Linux, Unix
49152/tcp

Telnet服务

FTP服务

SMTP服务
◦ HP-UX hp3 B.11.23 U
◦ ia64
◦ wuftpd-2.6.1
◦ 2006-2007
◦ hp3 ESMTP Sendmail
8.11.1
◦ 2006年12月

使用OpenVAS开源漏洞扫描工具
主机
***.48.***.163

高危
4
中危
18
低危
50
日志
48
误报
0
高危安全漏洞 – 未找出对应HP-UX的渗透代码
漏洞存在服务
漏洞名称
（901端口）
Denial of Service Vulnerability
漏洞编号
修补措施
Apache服 务 （ 2381 端 Apache
'mod_proxy_ftp'
Module CVE-2009- 升级至Apache
HTTP Server
口的HP SMH）
Command Injection Vulnerability
3095
version 2.2.15 or
higher
SMTP 服 务 （ 25 端 口 ）Sendmail remote header buffer overflow
CVE-2002- 通过banner来判断，
可能为误报，更新
1337
至8.12.8以上版本
SMTP服务（587端口）Sendmail remote header buffer overflow
CVE-2002- 通过banner来判断，
可能为误报，更新
1337
至8.12.8以上版本
尚未有修补补丁
Samba_swat 服 务 Mongoose Webserver Content-Length N/A
服务
远程口令猜测点
用户帐号类型
TELNET（23端口）
telnet gate.cupl.edu.cn
系统用户帐号
SMTP服务（25/587端口）
nc gate.cupl.edu.cn -p 25
Sendmail用户帐号
FTP服务（21端口）
ftp gate.cupl.edu.cn
FTP用户帐号
HTTP服务 (80端口)
http://gate.cupl.edu.cn/portal Web管理用户帐户
Samba_swat服务（901端口）
http://gate.cupl.edu.cn:901/
rlogin/rsh服务（513/514端口）
nc gate.cupl.edu.cn -p 513
系统用户帐号
系统用户帐号
HP SMH服务（2301/2381端口） http://gate.cupl.edu.cn:2301 系统用户帐号
https://gate.cupl.edu.cn:2381
猜测速度：2xx tries/min 
弱口令字典：几十万-几百万
强口令字！
运行一段时间，但未成功猜测
“强口令字”也有安全风险！！！

Web漏洞扫描器

AppScan
◦ IBM AppScan
◦ NetSpaker
◦ 扫描42个URL，发现其中30%的URL包含安全性问题
◦ 主要安全问题
 未对用户输入正确执行危险字符清理!!!
 XSS跨站脚本注入
 SQL注入
 链接注入




未安装第三方产品的最新补丁或最新修订程序
Web 应用程序编程或配置不安全
Web 服务器或应用程序服务器是以不安全的方式配置的
在生产环境中留下临时文件
窃取Cookie/挂马/社会工程欺骗…
Oracle应用
服务器管理
Apache AXIS2
服务管理
Oracle Metadata
Navigator管理
Oracle BI
Publisher后台管理
CASWeb应用系统
后台管理

Oracle应用服务器管理后台
◦ 缺省口令：Google Hacking（GHDB）可直接搜索到



停止网站运行
敏感信息泄露
安全配置修改
◦ 允许目录浏览
◦ 代码审查分析

进一步漏洞发掘
◦ 文件上传漏洞?

B校招生网站安全情况
◦ 与门户网站和子站点均在同一台服务器上-“旁注风险”
◦ 服务器类型：HP-UX 64位/Oracle应用服务管理/大量第
三方或自主开发Web应用

安全弱点
◦ 大量Web后台管理系统直接对外开放，且使用缺省口令—
—渗透测试获得了网站的部分控制权
◦ 开放大量端口，未实施防火墙保护
◦ 开放网络服务存在安全漏洞，但系统类型罕见，较难利用
◦ 服务查点显示系统没有进行更新和升级维护
◦ 大量远程口令猜测点，以及大量使用明文传输协议，很容
易被网络口令嗅探

招生网站网址
◦ 本校招生网站(goto.****.edu.cn): 单独服务器
（**.50.***.250）
◦ 分校招生网站: ***.206.***.40/zs/（门户服务器子站点）

信息采集
◦ 本校招生网站
 80/tcp（新网站）；8080/tcp （旧网站） - 防火墙保护
 Windows/IIS 6.0/ ASP.NET
◦ 分校招生网站
 80/tcp – 防火墙保护
 Windows/IIS 6.0/ ASP.NET


OpenVAS的系统层漏洞扫描结果
Host
High
Medium
Low
Log
**.50.***.25
0（本校）
0
2
14
15
False
Positive
0
***.206.***.
40（分校）
0
0
7
13
0
中危安全漏洞
◦ Microsoft ASP.NET Information Disclosure Vulnerability
(2418042)
◦ CVE-2010-3332
◦ http://www.microsoft.com/technet/security/bulletin/MS
10-070.mspx
◦ 说明没有及时更新补丁，但该漏洞较难利用


本校网站没有发现可被利用的漏洞（Web应用防火墙）
分校网站上发现了几个高危漏洞
◦ Ewebeditor网页编辑器控件任意页面修改漏洞
◦ PUT方法文件上传漏洞

获取后台管理帐户口令

可随意修改数据库内容

ASP后门-受限用户权限
◦ 但可在网页目录上上传文件
◦ 可以受限权限运行CMD Shell

本地提权工具上传
◦ 上传Meterpreter本地攻击程序包


利用ASP后门程序的CMD shell命令执行功能
激活上传的meterpreter后门程序，反向连接shell

利用meterpreter后门程序强大的功能
◦ 提权工具：getsystem命令（综合利用多个内核漏洞）
◦ Technique 4：利用MS10-015内核Trap处理提权漏洞
◦ 后门程序功能：截屏、键击记录、文件、注册表、清除日志…

C校招生网站安全情况
◦ C校本校招生网站安全性较高(防火墙、漏洞利用防范)
◦ C校分校存在严重安全问题，通过渗透测试可以完全控制，并发
现已遭“潜伏”

C校分校招生网站安全弱点
◦ 招生网站和大量其他网站在同一服务器上-“旁注”
◦ 系统层防护到位（防火墙、严格控制开放端口）
◦ Web应用层存在严重漏洞
 Ewebeditor控件任意修改页面内容漏洞页面篡改
 IIS 6不安全配置：PUT/MOV上传和移动文件漏洞上传ASP后门，
取得部分控制权（后台管理，修改招生数据库…）
 Windows本地安全漏洞未及时修补（MS10-15）本地提权攻击，
完全本地控制
◦ 渗透测试意外发现：该网站已遭多个“黑客”团队“潜伏”

高招网站（3校4个服务器）渗透测试

Good

Bad
◦ 虽然是小样本集，但仍能反映出一些普遍问题
◦ 高招网站所面临的实际安全风险
◦ 目前高招网站的安全防范水平与状况
◦ 专门服务器（与其他Web应用分离）：安全隔离控制
◦ 防火墙部署与严格访问控制措施对外仅开放必要的HTTP/S服务（A校
/C校）
◦ 部署和实施Web应用防火墙（C校本校）
◦
◦
◦
◦
缺乏专业安全技术人员持续负责任的安全检查、加固和响应（B/C校）
大量开放无必要服务/管理后台（B校）
提供大量远程口令猜测/嗅探点，并设置缺省/弱口令（B校/C校分校）
Web应用服务器未经安全配置和漏洞扫描评估，未部署Web应用防火墙进
行防护（B校/C校分校）
◦ 没有及时更新系统补丁（B校/C校分校）
联系方式：[email protected]