RSS订阅
服安最新信息资讯
服安资讯热点推荐
服安资讯阅览排行
信息安全法律法规
- 信息安全等级保护管理办法
- 广东省计算机信息系统安全保护条
- 中国国家信息安全等级保护制度开
- 欧盟网络和信息安全法律规制及其
- 互联网电子公告服务管理规定
- 互联网上网服务营业场所管理条例
- 浪潮服务器安全技术要求成为国家
- 计算机信息网络国际联网安全保护
服务器安全技术资讯
- 深入挖掘Oracle内部SQL注入
- 什么是MPLS中的FEC?
- 如何让域控DC的AD更加安全
- 实例:Linux中如何查看服务及监听端
- 服务器安全检查十大要素
- 什么叫0day?0day是什么?
- Windows 2003下如何提高FSO安全性
- 计算机网络安全的六大指标详述
服安解决方案
一次渗透三台Unix主机中系统测试的过程
来源:服安资讯 时间:2009-11-30 作者:fuancn 点击:次 责任编辑:Flyfox
TAG:
Unix
渗透
测试
过程
服务器安全应急处理中心:让您的服务器更安全! 进入安全讨论社区
我们检测的三台主机中两台为Linux系统,一台为AIX系统。还有一台是边界路由器。目标网络的主机通过地址转换来提供对外访问,内部使用172.16.*.*地址段(这些信息是测试之后才得到的,开始并不知道)。在边界路由器后面还有一台 Cisco PIX 525(515?)对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80, 25,110等等。
根据我们的检测,Cisco PIX防火墙的过滤规则设置还是比较严密的,基本上没有多余端口允许外部用户访问。在对xx.xx.xx.2和xx.xx.xx.3进行了端口扫描之后,发现只有通过 xx.xx.xx.3的WEB服务进行进行间接攻击。首先检查TCP/80端口的服务,我们发现新闻搜索的功能是在另外一个端口8070提供的。直接输入:http://yyy.yyy.yyy:8070/之后,得到了一个系统管理登录页面,简单地测试了一下,输入test/test作为用户名/口令,似乎认证成功,但最后并不能进入下一个页面。我们发现这个端口正在运行Tomcat 3.1,而这个版本存在一个安全漏洞,缺省/admin目录是可以访问的。
在输入:http://yyy.yyy.yyy:8070/admin之后,我们果然看到了”Tomcat Administration Tools”的页面, 通过点击”Context Admin”这个链接,我们可以对Tomcat的Context进行管理,例如查看、增加、删除Context。这个Context有点类似虚拟目录,于是我们可以增加一个context, 例如”/tt”,将它的文档根目录设置为”/”,这样当我们访问http://yyy.yyy.yyy:8070/tt时看到的就是系统根目录的列表了! 进一步可以查看任意目录里面的任意文件。由于Tomcat是以root身份运行的,所以可以查看任意系统文件,例如/etc/passwd
和/etc/shadow。根据口令文件进行密码破解后发现系统中的两个用户test和root都使用了非常简单的口令:123456。尽管外部用户无法直接访问telnet服务,这些口令还是应当被重设为更为强壮的字符串
利用这个漏洞我们基本上可以查看整个系统,但是由于无法写入数据,威胁似乎还不
是很大。 于是我们将注意力转移到论坛和聊天室。这两个服务一个监听在8080,一个监听在8888
端口。直接输入http://yyy.yyy.yyy:8080/, 我们看到了Tomcat
4.1.10的欢迎页面,点击左边的管理链接:
http://yyy.yyy.yyy:8080/admin ,我们得到了一个登录页面,虽然
我们不知道口令,但是通过前面8070端口的漏洞,我们找到了Tomcat保存这些口令的
文件,得到了管理用户名为admin,口令为空。于是我们就可以对整个Tomcat服务器进
行管理了。
但这仍然不足以让我们在系统上运行命令。于是我们继续检查聊天室所在的8888端口。
这个端口运行的是apache 1.3.26 +php 4.1.2。开始没有发现什么问题,突然想
到前面发现的两个漏洞都与/admin有关,这个端口上会不会也有这个目录呢?在输入
这个目录之后我们惊奇地发现,我们进入了一个phpMyadmin的管理界面。我们可以对
整个数据库进行任意操作。由于数据库是MySQL,它支持从本地操作系统读入或者写入
数据。因此我们在test库中建立了一个简单的表,然后添加一条记录,记录的内容就
是一个php文件的内容,我们想写入一个php文件,然后利用php调用外部命令的方法
来执行命令。我们利用
select tt into outfile /path/test.php from kk
这样的命令来将数据库中的内容写到一个php文件里,但由于mysql是以mysql用户身
份运行的,无法写到apache的目录中。所以这次尝试失败了。
我们又想到了一个方法,利用8070端口的漏洞我们可以访问任意系统文件,而8070端
口是由tomcat提供服务的,如果我们可以设法在系统中创建一个.jsp文件,就可以远
程访问这个jsp文件,它将被tomcat处理并运行。如果这个.jsp文件中的内容是一段
执行系统命令代码,就可以运行系统命令了。
于是我们又重新编写了一段可以执行系统命令的jsp代码,将其输入测试表中,再次利
用into outfile方法将其内容写到/tmp/test.jsp文件中,然后访问下列链接:
http://yyy.yyy.yyy:8070/tt/tmp/test.jsp
我们发现我们指定的命令被执行了!而且是以root身份执行的。这意味着我们已经完全
控制了整个系统。
当然,通过cgi执行命令还是不如有一个shell来得方便。当然最简单的方法就是开一个
xterm连回到我们的Xwindows即可。但是我们是用的NAT,连不进来。听说工程部有
服务器安全资讯网(Fuancn.CN)登载此文仅为传递更多信息之目的,并不意味着赞同其观点或证实其描述。
上一篇:没有了 下一篇:没有了