作品一次简单的授权渗透测试作者杨凡来自法客论坛–F4ckTeam.PDFVIP

作品：一次简单的授权渗透测试 作者：杨凡 来自：法客论坛 –F4ckTeam 网址：/ 大家都不想看文档，虽然图有点多，我还是直接传上来吧。 文章没什么亮点，博君一笑吧，最后提权部分，aspx 的shell 权限直接是system，这个一般 人遇不到，哈哈。 下面是正文。 4 网络安全实例解析 在分析了xxxxxx 之后，笔者在这里引入一个实例案例，进行更具备针对性的阐述。 4.1 测试范围 经过与相关人员的讨论，现决定将测试范围定在XXXX 网站上，即燕京人文XXXX 官方网 站： 。 4.2 测试手法 经过与相关人员的讨论，现决定使用常规渗透测试手法对测试范围内的应用系统进行风险评 估测试。 4.3 测试过程 确定了测试范围和测试手法之后，下面开始具体的测试过程。 4.3.1 基本信息探测 在测试的最初阶段，笔者对测试目标一无所知，所以需要对测试目标进行一下基本信息的探 测工作，以了解测试目标的架构等信息，方便下一步的继续测试。 在这里的信息探测阶段，笔者使用网络上的一款目录探测小工具来实现对测试目标的目录结 构的探测，探测结果如图4- 1 所示。 图4- 1 测试目标的基本目录结构 从扫描出的结果来看，没有发现可利用的敏感文件或目录，但是从网站的错误页面中可以看 到测试目标的一点基本信息，比如从如图4-2 所示的页面中可以发现目标采用windows2003 操作系统，搭配IIS6.0 的中间件。 如图 4-2 所示，这是 IIS6.0 的经典错误页面，以此可以推断出测试目标使用的网站容器是 IIS6.0 版本，而IIS6.0 版本是默认安装运行于windows2003 系统的，所以进一步推断出网站 服务器所使用的操作系统为windows2003 。 4.3.2 寻找思路 简单观察了下网站，发现是.net 架构，使用的是整型CMS 搭建的，但是前台CMS 版权被修 改掉了，无法通过CMS 版权信息寻找0day 渗透。 该CMS 安全性做的比较好，前台没有发现可利用的漏洞，看到网站开放会员注册，于是注 册了一个用户，登录进去看看是否可以发现有价值的信息。 网站的登录后界面如图4-3 所示。 如图4-3 所示，注册会员后登录，在页面底部，可以看到网站CMS 的版本。 4.3.3 简单源码分析 得到了网站使用的CMS 的名字和版本等信息后，笔者到该CMS 的官网上下载了一套CMS 下来研究，因为做所有的源码分析的话太浪费时间，所以笔者只研究了一下CMS 的架构组 成，发现了fckeditor 编辑器，如图4-4 所示。 根据笔者的经验，fckeditor 编辑器是存在可利用的漏洞的，但是测试了之后发现该fckeditor 编辑器被修改过，并不是官方原版，根据笔者已知的漏洞来看，此编辑器无法利用，如图 4-5 所示。 图4-5 无法利用的fckeditor 编辑器 4.3.4 粗心的管理员 这次测试进行到这里，主站不存在可利用的漏洞，无奈之下只好进行同服旁注，因为对于一 般的大学网站来说，二级域名等分站肯定不会少的，简单DNS 反向查询了下，找到46 个二 级域名，如图4-5 所示。 如此多的二级域名分站，肯定会有一些分站安全措施做的不够好的，笔者这里就先用 wwwscan 进行一下敏感目录和敏感文件批量扫描，如图4-6 所示。 扫描结束后，扫描到一个记录管理员密码的敏感文件，如图4-7 所示。 得到密码之后，顺利登入后台，如图4-8 所示。 4.3.5 获得同服旁站控制权 登入后台后，接下来的渗透工作就是获得 webshell 了，但是网站服务器上装了安全狗，导 致上传的利用IIS6.0 解析漏洞的webshell 的get 请求被拦截，如图4-9 所示。 后来发现后台带的有在线文件管理的功能，如图4- 10 所示。 顺利将一句话木马扩展名改为jpg 后上传，上传完毕后利用后台带的在线文件管理功能将一 句话木马的jpg 扩展名恢复为aspx，然后用一句话木马客户端连接上该webshell，如图4- 11 所示。 4.3.6 获得测试目标控制权 拿到 webshell 之后，发现服务器目录权限设置的很宽松，一个简单的一句话木马就可以遍 历整个服务器所有目录，简单翻一下，就找到了测试目标站点所在的文件夹，然后上传一个 webshell 大马，就获得了测试目标的控制权，如图4- 12 所示。 为了方便取证，笔者找到了测试目标站点上的web.config 文件，