高考招生網站滲透測試案例分析諸葛建偉清華大學信息網絡工程研究中心CCERT緊急響應組滲透測試〔PenetrationTest〕以攻擊者角度使用各種可能漏洞發現和攻擊技術，對目標系統平安進行深入探測以攻破系統，取得目標完全控制權為終極目標一類專業性的平安效勞RedTeam/TigerTeam利用滲透小組能力和技術幫助目標客戶了解網絡或系統的真實平安風險提供滲透測試報告：修補漏洞和增強平安性建議滲透測試滲透測試目標以實際案例深入了解目前高招網站的平安水平與防范情況了解高招網站主要的平安弱點與缺陷取得了三所京內高校的授權，實施針對招生網站的外部滲透測試一所211全國重點理科院校-A校一所211全國重點文科院校-B校一所211部委重點理科院校-C校滲透測試時間2021年5月20日——6月3日〔兩周〕滲透測試人員CCERT緊急響應組成員，網絡中心學生高招網站滲透測試滲透測試類型黑盒有限范圍、有限授權外部滲透測試滲透測試流程與方法目標信息采集：DNS查詢、主機/端口掃描、OS和效勞辨識、效勞查點系統層漏洞掃描與攻擊：遠程漏掃、遠程滲透攻擊嘗試、遠程口令猜測Web應用層漏洞掃描與攻擊：Web應用漏洞掃描、漏洞驗證、缺省/弱口令猜測、手工漏洞開掘與利用本地攻擊：特權提升、管理后臺口令爆破滲透測試流程和方法招生網站gate.****.edu/**zs門戶網站上鏈接的子站點與門戶網站和大量子站點均在同一臺效勞器上對gate.****.edu效勞器與網站進行全面滲透測試信息收集DNS查詢IP地址：***.48.***.163端口掃描(nmap-sV)操作系統類型辨識(nmap-O)效勞查點(telnet/ftp/…)B校案例分析PORTSERVICEPORTSERVICEPORTSERVICE7/tcpecho512/tcpexec2121/tcpccproxy9/tcpdiscard513/tcprlogin2301/tcpHPSMH19/tcpchargen514/tcpshell2525/tcpunknown21/tcpftp515/tcpprinter5989/tcpssl/http23/tcptelnet543/tcpklogin6000/tcpX11(deny)25/tcpsmtp544/tcpkshell6112/tcpdtspc37/tcptime587/tcpsubmission8181/tcpssl/unknown80/tcphttp901/tcpsamba-swat8888/tcpanswerbook111/tcprpcbind999/tcpgarcon49152/tcprpcbind113/tcpauthNmap端口掃描與OS辨識結果OSs:HP-UX,Linux,UnixTelnet效勞HP-UXhp3B.11.23Uia64FTP效勞2006-2007SMTP效勞2006年12月局部敏感效勞的查點使用OpenVAS開源漏洞掃描工具高危平安漏洞–未找出對應HP-UX的滲透代碼系統層漏洞掃描主機高危中危

低危日志誤報***.48.***.16341850480漏洞存在服務漏洞名稱漏洞編號修補措施Apache服務（2381端口的HPSMH）Apache'mod_proxy_ftp'ModuleCommandInjectionVulnerabilityCVE-2009-3095升級至ApacheHTTPServerversion2.2.15orhigherSMTP服務（25端口）SendmailremoteheaderbufferoverflowCVE-2002-1337通過banner來判斷，可能為誤報，更新至8.12.8以上版本SMTP服務（587端口）SendmailremoteheaderbufferoverflowCVE-2002-1337通過banner來判斷，可能為誤報，更新至8.12.8以上版本Samba_swat服務（901端口）MongooseWebserverContent-LengthDenialofServiceVulnerabilityN/A尚未有修補補丁服務遠程口令猜測點用戶帳號類型TELNET（23端口）telnet系統用戶帳號SMTP服務（25/587端口）nc-p25Sendmail用戶帳號FTP服務（21端口）ftpFTP用戶帳號HTTP服務

(80端口)/portalWeb管理用戶帳戶Samba_swat服務（901端口）:901/系統用戶帳號rlogin/rsh服務（513/514端口）nc-p513系統用戶帳號HPSMH服務（2301/2381端口）:2301:2381系統用戶帳號遠程口令猜測點遠程口令猜測-Brutus/Hydra猜測速度：2xxtries/min弱口令字典：幾十萬-幾百萬強口令字！運行一段時間，但未成功猜測社會工程學口令字典“強口令字〞也有平安風險！！！Web漏洞掃描器IBMAppScanNetSpakerAppScan掃描42個URL，發現其中30%的URL包含平安性問題主要平安問題未對用戶輸入正確執行危險字符清理!!!XSS跨站腳本注入SQL注入鏈接注入未安裝第三方產品的最新補丁或最新修訂程序Web應用程序編程或配置不平安Web效勞器或應用程序效勞器是以不平安的方式配置的在生產環境中留下臨時文件Web漏洞掃描與驗證目標網站XSS跨站腳本漏洞驗證竊取Cookie/掛馬/社會工程欺騙…Oracle應用服務器管理Web后臺管理系統大發現ApacheAXIS2效勞管理OracleMetadataNavigator管理OracleBIPublisher后臺管理CASWeb應用系統后臺管理Oracle應用效勞器管理后臺缺省口令：GoogleHacking〔GHDB〕可直接搜索到后臺管理系統的缺省口令停止網站運行敏感信息泄露平安配置修改允許目錄瀏覽代碼審查分析進一步漏洞開掘文件上傳漏洞?危害后果？B校招生網站平安情況與門戶網站和子站點均在同一臺效勞器上-“旁注風險〞效勞器類型：HP-UX64位/Oracle應用效勞管理/大量第三方或自主開發Web應用平安弱點大量Web后臺管理系統直接對外開放，且使用缺省口令——滲透測試獲得了網站的局部控制權開放大量端口，未實施防火墻保護開放網絡效勞存在平安漏洞，但系統類型罕見，較難利用效勞查點顯示系統沒有進行更新和升級維護大量遠程口令猜測點，以及大量使用明文傳輸協議，很容易被網絡口令嗅探B校滲透測試結果回憶招生網站網址本校招生網站(goto.****.edu):單獨效勞器〔**.50.***.250〕分校招生網站:***.206.***.40/zs/〔門戶效勞器子站點〕信息采集本校招生網站80/tcp〔新網站〕；8080/tcp〔舊網站〕-防火墻保護Windows/IIS6.0/ASP.NET分校招生網站80/tcp–防火墻保護Windows/IIS6.0/ASP.NETC校滲透測試案例分析OpenVAS的系統層漏洞掃描結果中危平安漏洞MicrosoftASP.NETInformationDisclosureVulnerability(2418042) CVE-2021-3332說明沒有及時更新補丁，但該漏洞較難利用系統層漏洞掃描HostHighMediumLowLogFalsePositive**.50.***.250（本校）0214150***.206.***.40（分校）007130本校網站沒有發現可被利用的漏洞〔Web應用防火墻〕分校網站上發現了幾個高危漏洞Ewebeditor網頁編輯器控件任意頁面修改漏洞PUT方法文件上傳漏洞Web應用層漏洞掃描利用PUT漏洞進行ASP后門上傳攻擊獲取后臺管理帳戶口令上傳ASP后門程序之后的攻擊C校分校高招網站后臺管理系統可隨意修改數據庫內容C校分校錄取(2021)學生數據庫“查找木馬〞意外大發現ASP后門-受限用戶權限但可在網頁目錄上上傳文件可以受限權限運行CMDShell本地提權工具上傳上傳Meterpreter本地攻擊程序包本地提權攻擊利用ASP后門程序的CMDshell命令執行功能激活上傳的meterpreter后門程序，反向連接shell本地提權攻擊(2)利用meterpreter后門程序強大的功能提權工具：getsystem命令〔綜合利用多個內核漏洞〕Technique4：利用MS10-015內核Trap處理提權漏洞后門程序功能：截屏、鍵擊記錄、文件、注冊表、去除日志…本地提權攻擊(3)C校招生網站平安情況C校本校招生網站平安性較高(防火墻、漏洞利用防范)C校分校存在嚴重平安問題，通過滲透測試可以完全控制，并發現已遭“潛伏〞C校分校招生網站平安弱點招生網站和大量其他網站在同一效勞器上-“旁注〞系統層防護到位〔防火墻、嚴格控制開放端口〕Web應用層存在嚴重漏洞Ewebeditor控件任意修改頁面內容漏洞頁面篡改IIS6不平安配置：PUT/MOV上傳和移動文件漏洞上傳ASP后門，取得局部控制權〔后臺管理，修改招生數據庫…〕Windows本地平安漏洞未及時修補〔MS10-15〕本地提權攻擊，完全本地控制滲透測試意外發現：該網站已遭多個“黑客〞團隊“潛伏〞C校滲透測試結果回憶高招網站〔3校4個效勞器〕滲透測試雖然是小樣本集，但仍能反映出一些普遍問題高招網站所面臨的實際平安風險目前高招網站的平安防范水平與狀況Good專門效勞器〔與其他Web應用別離〕：平安隔離控制防火墻部署與嚴格