1、对 web 系统的安全性分析专业:计算机网络技术摘要:随着计算机网络和 Internet的迅速普及,如今 Web应用服务已经成为非常流行的网络服务,而且 Web网站的内容已经涉及到现实世界的方方面面,因此 Web网站已经成为互联网最重要的资源之一。与此的同时,Web 网站也面临着巨大的安全威胁,各种各样的攻击方式,如 SQL注入、上传漏洞、Cookies 欺骗等,扰乱了无数正常网站的运行,给社会带来了巨大的经济损失和不利的政治影响。该文介绍了作者利用各种入侵技术对清远职业技术学院现用的 Web系统进行渗透测试并对此做出安全分析,说明了潜在的安全隐患,然后根据潜在的安全隐患制定相应的修复方案,避
2、免发生更严重的非法入侵事件。关键词:SQL 注入,上传漏洞,网络安全,入侵分析,渗透测试AbstractWith the rapid popularization of computer network and Internet, web application services has become a very popular network service and one of the most important resources in the internet. While its contents involve in all aspects of the real world,
3、 web application services face huge security threats, a variety of attacks, such as SQL injection、 upload holes、Cookies deception. All of these disrupt the normal operation of numerous websites which bring large economic losses and adverse political effects.This paper introduces that the author use
4、different kinds of invasive techniques to make the security analysis about Qingyuan Polytechnic College current Web system in order to find out its potential security risks. And then make the repair plan to avoid more serious illegal invasions.前言随着计算机网络和 Internet 的迅速普及,如今 Web 应用服务已经成为非常流行的网络服务,而且 We
5、b 网站的内容已经涉及到现实世界的方方面面,例如在线购物、在线看病、金融服务、银行服务等等。但是近年来,网站被攻 击的事件不断发生,Web 网站面临着前所未有的安全威胁,黑客的入侵、 病毒的蔓延扰乱了无数网站的正常运行。例如最近的全球最大的 IT 中文社区 CSDN 网站被黑客入侵,数据库被下载了,然后在网上公开了这份600 万用户的明文密码的数据库,被无数的网友下载。此事之后,网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K 等知名网站也采用明文密码,用户数据资料被放到网上公开下载,因此,众多网友的账号安全受到严重威胁。更之前的新浪微博遭遇到首次跨站攻
6、击蠕虫(CSRF)侵袭,微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。正因为 Web 与人们生活紧密相关着,所以 Web 系统的安全也就随着变得愈加重要了。作者所在的清远职业技术学院,是经广东省人民政府批准、国家教育部备案的综合性公办高等院校,现在校生 14000 多人。学校有各种的 Web 系统,如果这些 Web 系统遭受到黑客的入侵,就可能会造成各种学校机密文件和学生资料的外泄。所以作者就用一些入侵技术,对学校的 Web 系统检测存在的安全漏洞,以防止黑客的非法入侵。第一章 主站的安全清远职业技术学院的官方网站是 http:/ 作为学院的主站,其肯
7、定是黑客首先入侵的目标,也是黑客最终入侵的目标,所以其安全性就非常非常的重要。第一部分 信息收集 入侵首先得知道提供 web 服务器的网络操作系统,于是随便点一个新闻页,改下其中一个字母大小写,出现如下错误:Not FoundThe requested URL /Qingzhxw/2011-12-23/748.html was not found on this server.Apache/2.2.14 (Ubuntu) Server at Port 80然后执行命令 ping 得到了该网站的 IP 地址,将得到的信息整理如下表。外网 IP 58.253.222.6内网 IP 暂时未知网络
8、操作系统 Ubuntu应用服务器软件平台 Apache 2.2.14脚本语言 未知得到了这些信息之后然后就爬行一下网站的目录,大概对网站的结构有个了解。主站目录结构第二部分 信息分析目录中有个 /e 目录,根据作者对目前主流 Content Management System(简称 CMS)的了解,该网站应该是采用帝国 CMS 二次开发的。可以访问http:/ 验证一下。可以看到,网站底部还有版权信息,Powered by EmpireCMS 6.5。帝国 6.5 发布了差不多整整一年,都没爆出什么致命的漏洞,不排除有厉害的黑客找到了帝国 CMS 的漏洞并且没公布出来这种情况。不管怎么说,网站
9、程序的安全性算是非常的高的了。第三部分 入侵尝试既然程序没有漏洞,那就看看网站管理员有没有疏忽。然后就尝试下管理员账号密码的弱口令问题,作者试了几十个弱口令,如“admin” 、 “admin888”、 “admin123”、“123456”等等,都没有成功进入后台。然后利用社会工程学,结合改学校的域名,组合了一些密码,如“qypt” 、 “qypt123”、“”、 “qyptadmin”等,也是没有成功进入后台。第四部分 入侵结束分析服务器是采用 UBUNTU 操作系统的,用的是 linux 的内核,对于 linux 的提权,如果是没有及时打上补丁的,只要拿到网站的权限就可以通过溢出程序进行
10、提权,从以上的情况来看,只要是帝国 CMS 没爆出什么致命的漏洞的话,主站是相对安全的,只要网站管理员时刻留意最新的 linux 内核漏洞和 Web 程序漏洞的情况,出现漏洞马上修补,这样就能防止被入侵了。不过以上是针对单网段单服务器单网站的情况下的,就是说,一个网段里面就只有这台服务器,这台服务器里面就只有这一个网站。通常来说,单网段但服务器单网站这种情况是不可能存在的,如果不是这样的话,如果黑客拿下了其他同 C 段的服务器,就可以在服务器上进行 ARP 欺骗攻击,这是 TCP/IP 协议的缺陷,不过这种攻击方式只是让访问者浏览到他设定的网页上去,而且这种攻击方式比较周折,一般来说,作为一个
11、学校的网站,几乎不可能有人会这么做。所以,主站的安全性算是很可以的,一般不会被入侵。第二章 教务管理系统的安全一个大型 Web 网站的安全,不单单是主站的安全做好了就行了的,旁站的安全也是很重要的, Web 安全就是跟木桶原理的一样的,总体的安全性只取决于安全性最低的那一块。在学校的首页那里,有明显的教务管理系统的入口,而且可以从公网访问的。这样做,应该是为了放假之后,方便学生查询成绩吧。不过,任何事有利就必有弊的,这样就相当于给黑客多提供了一个入侵的入口,而且教务系统存放着学生信息、成绩等敏感的资料,如果被黑客入侵了的话,那就能任意修改学生的成绩和下载学生的信息了。第一部分 信息收集分析相应
12、相应的 HTTP 头信息Cache-Control privateConnection closeContent-Length 5524Content-Type text/html; charset=gb2312Date Wed, 18 Apr 2012 11:24:00 GMTServer Microsoft-IIS/6.0Set-Cookie ASP.NET_SessionId=pnjtxx55z5pvq2552qb5wl45; path=/X-AspNet-Version 1.1.4322X-Powered-By ASP.NET外网 IP 58.253.222.6:3040内网 IP 暂
13、时未知网络操作系统 Windows Server 2003应用服务器软件平台 IIS 6.0脚本语言 ASP.NET第二部分 信息分析打开教务系统的首页,出现登陆页面的布局,根据作者的经验,可以确定是正方教务管理系统的源码,而且不是最新版的源码。旧版本的正方教务系统有一个页面存在两个很严重的漏洞,可以直接拿到 webshell。在这里,作者模拟自己是学校外面的人来对其进行入侵的,所以这里作者没有用户名、密码,不过可以通过社会工程学等方法获取到可以登陆进去的用户名、密码,从而登陆进去检查漏洞。其实没有登陆的用户名、密码也可以入侵,这个老版本的正方教务管理系统有个上传页面是没有身份验证的,可以直接
14、访问,下面会说明的。旧版正方教务系统登陆布局新版正方教务系统登录布局第三部分 入侵尝试首先我们先以用户名、密码登陆的方式进去模拟入侵。登陆进去发现,这个教务系统有很多的功能。随便浏览下功能,然后在“个人信息”里面发现了有个“信息发送”的功能信息发送功能点进去发现有个编辑器,还有个上传图片的地方。其实这个上传图片的页面,并没有身份验证,可以直接用地址访问就可以上传图片,地址如下:http:/:3040/ftb.imagegallery.aspx 这个上传页面上传图片之后并没有重命名,也就是说,上传之前是怎么的文件名的,上传到服务器之后还是这样的文件名,而且是 IIS6.0 的缘故,存在着解析漏洞
15、。插入图片,点进去就是上传页面IIS6.0 的解析漏洞有两个,一个就是在网站下建立文件夹的名字为“*.asp” 、“*.asa” 的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。另外一个就是网站上传图片的时候,将网页木马文件的名字改成“*.asp;.jpg” ,也同样会被 IIS 当做 asp 文件来解析并执行。在这里我们可以利用第二个解析漏洞来拿到Webshell,上传个文件名为 “1.asp;.jpg”的 asp 网马上去,提示成功。然后就是得知道上传之后的地址了,可以随便插入一个图片,点 HTML 看源码,就知道了这里上传图片之后存在的路径了。然后构造地
16、址 http:/:3040/images/1.asp;.jpg 访问asp 网马,输入密码,Webshell 就拿到了。上传页面上传后的地址Webshell 界面第四部分 进一步入侵从 webshell 的头部信息可以看到内网的 IP,然后看能不能把这台服务器提权了,然后利用这台服务器作为跳板,就能突破防火墙入侵校园网里面了。进去 webshell 后利用目录浏览功能,浏览服务器上的文件信息,以查找可以利用的信息。然后在某个网站目录的网站配置信息里面发现,居然是用 “sa” 账户连接 SQL Server!而且还是弱口令! 众所周知,SQL Server 里面的“sa”账户就相当于系统里的 s
17、ystem 权限啊。所以利用“sa”账户连接 SQL Server 就可以直接执行命令加一个管理员,然后就用远程桌面连上去,这样黑客就像操作自己的电脑一样操作服务器了。通过执行添加用户的命令的时候,发现了“拒绝访问”的提示。这应该是“net.exe” 、“net1.exe”删除掉或者拒绝掉了“administrator”或者“system”的权限,不过有“sa”就有很大的可能提权,我们只需要把“net.exe” 、 “net1.exe”的权限修改就可以了。在 DOS 命令下的 cacls 命令是显示或者修改文件的访问列表的。执行命令 “cacls c:windowssystem32net.ex
18、e /e /c /g administrators:f”“cacls c:windowssystem32net1.exe /e /c /g administrators:f”、 “cacls c:windowssystem32net.exe /e /c /g system:f”、 “cacls c:windowssystem32net1.exe /e /c /g system:f” 。这几条命令的作用就是把“system”和“administrators”组的用户完全控制“net.exe”和“net1.exe”这两个文件,执行成功之后就可以直接用“net”命令直接添加用户,然后提升为管理员了。执行命令,出现拒绝访问错误
