高考招生网站渗透测试案例分析诸葛建伟

清华大学信息网络工程研究中心CCERT 紧急响应组

渗透测试（ Penetration Test ）◦ 以攻击者角度◦ 使用各种可能漏洞发现和攻击技术，对目标系统安全进行

深入探测◦ 以攻破系统，取得目标完全控制权为终极目标

一类专业性的安全服务◦ Red Team/Tiger Team◦ 利用渗透小组能力和技术◦ 帮助目标客户了解网络或系统的真实安全风险◦ 提供渗透测试报告：修补漏洞和增强安全性建议

渗透测试

渗透测试目标◦ 以实际案例深入了解目前高招网站的安全水平与防范情况◦ 了解高招网站主要的安全弱点与缺陷

取得了三所京内高校的授权，实施针对招生网站的外部渗透测试◦ 一所 211 全国重点理科院校 - A 校◦ 一所 211 全国重点文科院校 - B 校◦ 一所 211 部委重点理科院校 - C 校

渗透测试时间◦ 2011 年 5 月 20 日—— 6 月 3 日（两周）

渗透测试人员◦ CCERT 紧急响应组成员，网络中心学生

高招网站渗透测试

渗透测试类型◦ 黑盒◦ 有限范围、有限授权◦ 外部渗透测试

渗透测试流程与方法◦ 目标信息采集： DNS 查询、主机 / 端口扫描、 OS 和服务辨识、

服务查点◦ 系统层漏洞扫描与攻击：远程漏扫、远程渗透攻击尝试、远程

口令猜测◦ Web 应用层漏洞扫描与攻击： Web 应用漏洞扫描、漏洞验证、

缺省 / 弱口令猜测、手工漏洞发掘与利用◦ 本地攻击：特权提升、管理后台口令爆破

渗透测试流程和方法

招生网站网址： gate.****.edu.cn/**zs◦ 门户网站上链接的子站点◦ 与门户网站和大量子站点均在同一台服务器上◦ 对 gate.****.edu.cn 服务器与网站进行全面渗透测试

信息收集◦ DNS 查询 IP 地址： ***.48.***.163◦ 端口扫描 (nmap -sV)◦ 操作系统类型辨识 (nmap -O)◦ 服务查点 (telnet/ftp/…)

B 校案例分析

PORT SERVICE

PORT SERVICE PORT SERVICE

7/tcp echo 512/tcp exec 2121/tcp ccproxy

9/tcp discard 513/tcp rlogin 2301/tcp HP SMH

19/tcp chargen 514/tcp shell 2525/tcp unknown

21/tcp ftp 515/tcp printer 5989/tcp ssl/http

23/tcp telnet 543/tcp klogin 6000/tcp X11 (deny)

25/tcp smtp 544/tcp kshell 6112/tcp dtspc

37/tcp time 587/tcp submission 8181/tcp ssl/unknown

80/tcp http 901/tcp samba-swat 8888/tcp answerbook

111/tcp rpcbind 999/tcp garcon 49152/tcp rpcbind

113/tcp auth

Nmap 端口扫描与 OS 辨识结果

OSs: HP-UX, Linux, Unix

Telnet 服务◦ HP-UX hp3 B.11.23 U◦ ia64

FTP 服务◦ wuftpd-2.6.1◦ 2006-2007

SMTP 服务◦ hp3 ESMTP Sendmail

8.11.1◦ 2006 年 12 月

部分敏感服务的查点

使用 OpenVAS 开源漏洞扫描工具

高危安全漏洞 – 未找出对应 HP-UX 的渗透代码

系统层漏洞扫描

主机 高危 中危 低危 日志 误报***.48.***.163 4 18 50 48 0

漏洞存在服务 漏洞名称 漏洞编号 修补措施

Apache 服 务 （ 2381

端口的 HP SMH ）

Apache 'mod_proxy_ftp' Module

Command Injection Vulnerability

CVE-2009-

3095

升级至 Apache HTTP Server version 2.2.15 or higher

SMTP 服 务 （ 25 端

口）

Sendmail remote header buffer overflow CVE-2002-

1337

通过 banner 来判断，可能为误报，更新至 8.12.8 以上版本

SMTP 服 务 （ 587 端

口）

Sendmail remote header buffer overflow CVE-2002-

1337

通过 banner 来判断，可能为误报，更新至 8.12.8 以上版本

Samba_swat 服 务

（ 901 端口）

Mongoose Webserver Content-Length

Denial of Service Vulnerability

N/A 尚未有修补补丁

服务 远程口令猜测点 用户帐号类型

TELNET （ 23 端口） telnet gate.cupl.edu.cn 系统用户帐号

SMTP 服务（ 25/587 端口） nc gate.cupl.edu.cn -p 25 Sendmail 用 户

帐号

FTP 服务（ 21 端口） ftp gate.cupl.edu.cn FTP 用户帐号

HTTP 服务 (80 端口 ) http://gate.cupl.edu.cn/

portalWeb 管 理 用 户 帐

户

Samba_swat 服 务 （ 901 端

口）

http://

gate.cupl.edu.cn:901/系统用户帐号

rlogin/rsh 服务（ 513/514 端

口）

nc gate.cupl.edu.cn -p 513 系统用户帐号

HP SMH 服 务 （ 2301/2381

端口）

http://gate.cupl.edu.cn:23

01

https://gate.cupl.edu.cn:2

381

系统用户帐号

远程口令猜测点

远程口令猜测 -Brutus/Hydra猜测速度： 2xx tries/min 弱口令字典：几十万 - 几百万强口令字！ 运行一段时间，但未成功猜测

社会工程学口令字典

“ 强口令字”也有安全风险！！！

Web 漏洞扫描器◦ IBM AppScan◦ NetSpaker

AppScan◦ 扫描 42 个 URL ，发现其中 30% 的 URL 包含安全性问题◦ 主要安全问题

未对用户输入正确执行危险字符清理 !!! XSS 跨站脚本注入 SQL 注入 链接注入

未安装第三方产品的最新补丁或最新修订程序 Web 应用程序编程或配置不安全 Web 服务器或应用程序服务器是以不安全的方式配置的 在生产环境中留下临时文件

Web 漏洞扫描与验证

目标网站 XSS 跨站脚本漏洞验证

窃取 Cookie/挂马 /社会工程欺骗…

Oracle 应用服务器管理

Web 后台管理系统大发现

Apache AXIS2 服务管

理

Oracle Metadata

Navigator 管理Oracle BI

Publisher 后台管理

CASWeb 应用系统后台管理

Oracle 应用服务器管理后台◦ 缺省口令： Google Hacking （ GHDB ）可直接搜索到

后台管理系统的缺省口令

停止网站运行敏感信息泄露 安全配置修改

◦允许目录浏览◦ 代码审查分析

进一步漏洞发掘◦ 文件上传漏洞 ?

危害后果？

B 校招生网站安全情况◦ 与门户网站和子站点均在同一台服务器上 -“旁注风险”◦ 服务器类型： HP-UX 64位 /Oracle 应用服务管理 / 大量第

三方或自主开发 Web 应用 安全弱点

◦ 大量 Web 后台管理系统直接对外开放，且使用缺省口令——渗透测试获得了网站的部分控制权

◦ 开放大量端口，未实施防火墙保护◦ 开放网络服务存在安全漏洞，但系统类型罕见，较难利用◦ 服务查点显示系统没有进行更新和升级维护◦ 大量远程口令猜测点，以及大量使用明文传输协议，很容易被网络口令嗅探

B 校渗透测试结果回顾

招生网站网址◦ 本校招生网站 (goto.****.edu.cn): 单独服务器

（ **.50.***.250 ）◦分校招生网站 : ***.206.***.40/zs/ （门户服务器子站点）

信息采集◦ 本校招生网站

80/tcp （新网站）； 8080/tcp （旧网站） - 防火墙保护 Windows/IIS 6.0/ ASP.NET

◦分校招生网站 80/tcp – 防火墙保护 Windows/IIS 6.0/ ASP.NET

C 校渗透测试案例分析

OpenVAS 的系统层漏洞扫描结果

中危安全漏洞◦ Microsoft ASP.NET Information Disclosure Vulnerability

(2418042)◦ CVE-2010-3332◦ http://www.microsoft.com/technet/security/bulletin/MS10-

070.mspx ◦说明没有及时更新补丁，但该漏洞较难利用

系统层漏洞扫描

Host High Medium Low Log False Positive

**.50.***.250 （本校）

0 2 14 15 0

***.206.***.40 （分校）

0 0 7 13 0

本校网站没有发现可被利用的漏洞（ Web 应用防火墙） 分校网站上发现了几个高危漏洞

◦ Ewebeditor 网页编辑器控件任意页面修改漏洞◦ PUT 方法文件上传漏洞

Web 应用层漏洞扫描

利用 PUT 漏洞进行 ASP 后门上传攻击

获取后台管理帐户口令

上传 ASP 后门程序之后的攻击

C 校分校高招网站后台管理系统

可随意修改数据库内容

C 校分校录取 (2010) 学生数据库

“ 查找木马”意外大发现

ASP 后门 -受限用户权限◦ 但可在网页目录上上传文件◦ 可以受限权限运行 CMD Shell

本地提权工具上传◦ 上传Meterpreter 本地攻击程序包

本地提权攻击

利用 ASP 后门程序的 CMD shell命令执行功能激活上传的 meterpreter 后门程序，反向连接

shell

本地提权攻击 (2)

利用 meterpreter 后门程序强大的功能◦ 提权工具： getsystem命令（综合利用多个内核漏洞）◦ Technique 4 ：利用 MS10-015 内核 Trap处理提权漏洞◦ 后门程序功能：截屏、键击记录、文件、注册表、清除日志…

本地提权攻击 (3)

C 校招生网站安全情况◦ C 校本校招生网站安全性较高 ( 防火墙、漏洞利用防范 )◦ C 校分校存在严重安全问题，通过渗透测试可以完全控制，并发

现已遭“潜伏” C 校分校招生网站安全弱点

◦ 招生网站和大量其他网站在同一服务器上 -“旁注”◦ 系统层防护到位（防火墙、严格控制开放端口）◦ Web 应用层存在严重漏洞

Ewebeditor 控件任意修改页面内容漏洞页面篡改 IIS 6不安全配置： PUT/MOV 上传和移动文件漏洞上传 ASP 后门，

取得部分控制权（后台管理，修改招生数据库…） Windows 本地安全漏洞未及时修补（ MS10-15 ）本地提权攻击，

完全本地控制◦ 渗透测试意外发现：该网站已遭多个“黑客”团队“潜伏”

C 校渗透测试结果回顾

高招网站（ 3 校 4 个服务器）渗透测试◦ 虽然是小样本集，但仍能反映出一些普遍问题◦ 高招网站所面临的实际安全风险◦ 目前高招网站的安全防范水平与状况

Good◦ 专门服务器（与其他Web 应用分离）：安全隔离控制◦ 防火墙部署与严格访问控制措施对外仅开放必要的 HTTP/S 服务（ A 校 /C 校）◦ 部署和实施 Web 应用防火墙（ C 校本校）

Bad◦ 缺乏专业安全技术人员持续负责任的安全检查、加固和响应（ B/C 校）◦ 大量开放无必要服务 / 管理后台（ B 校）◦ 提供大量远程口令猜测 /嗅探点，并设置缺省 / 弱口令（ B 校 /C 校分校）◦ Web 应用服务器未经安全配置和漏洞扫描评估，未部署Web 应用防火墙进行防护

（ B 校 /C 校分校）◦ 没有及时更新系统补丁（ B 校 /C 校分校）

高招网站渗透测试案例分析总结

Thanks

联系方式： zhugejw@cernet.edu.cn