来源:自学PHP网 时间:2015-04-17 14:11 作者: 阅读:次
[导读] 在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,...
在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目标、网络、路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事。) 也许在渗透测试遇到这种情况时大多会选择放弃,在绝望的时候,我将目标临时转移到该网站域名注册商,因为拥有域名注册商网站权限,至少可以修改目标网站的域名解析。一般情况入侵域名注册网站难度比较大,但并不是没有希望,在09年的时候,国内很多域名注册商的网站都存在漏洞。渗透那个域名注册商网站,过程比较繁杂,也没有新的技术点,靠的就是细心和耐心,但最终还是获取到目标网站域名的管理账号和密码,那么此时我们已知和已有的条件如下: 目标域名: www.2cto.com (当然不是真的) 环境:Win+Apache+PHP+MYSQL 已有权限:域名解析权限,可以将 www.2cto.com 解析到任何一个IP上 特别说明下,目标网站使用的服务器,并不是在域名注册商租用的,而是放置在公司机房中,所以通过域名注册商网站,是不能管理到Web源码的,只能进行域名解析。 当拥有域名解析权限后,如何才获取目标网站的权限呢? A:构造一个和目标非常相似的网站?然后将域名解析到构造的网站? B:使用iis重定向? 这些方法都非常容易被发现,并且也无法获取到权限,所以遇到这种场景的时候我们可以使用反向代理,也是本文的重点。了解反向代理之前,我做一个关于HTTP 代理的简单介绍, 代理常用的是普通代理和反向代理: 普通代理:为用户(客户端)提供代理,需要在客户端设置,比如在客户端浏览器中设置代理服务器IP和端口,完成配置后,用户可以通过代理服务器访问互联网,代理服务器相当于中间人的作用。根据代理服务器配置不同,又可以将普通代理分为,几种不同安全级别的代理,代理软件比较多,不同的厂商有不同的称谓和分级,一般情况都包括以下三个级别,透明代理、普通匿名代理和高匿名代理。 透明代理: REMOTE_ADDR = 代理服务器 IP 说明:使用透明代理,可以进行信息交互,但不能隐藏自己真实IP,安全性越差,所以黑客一般不会使用此类代理。 普通匿名代理: REMOTE_ADDR = 代理服务器 IP 说明:隐藏了真实的IP,但通过HTTP_VIA可以判断出你使用了代理。 高匿名代理: REMOTE_ADDR = 代理服务器 IP HTTP_X_FORWARDED_FOR = 没数值 说明:可以隐藏真实IP,同时不会泄露你是否使用了代理,这类代理黑客往往比较喜欢。 用户通过普通代理访问Web,实际上用户并没有直接访问Web服务器,而是通过代理服务器作为中转,的示意图如下: 反向代理:是为服务器提供代理和缓存,不需要在客户端。用户访问网站,实际上并不是直接访问Web服务器,而是首先访问反向代理服务器,如果请求的是html/htm/gif/jpg等这些静态文件时,反向代理服务器直接返回结果,如果用户请求是脚本如asp/php/jsp等内容时,反向代理服务器会将请求转发给Web服务器处理,再把结果返回给用户,从而通过缓存实现加速的效果。示意图如下: Squid和Nginx是非常优秀的反向代理软件,本文主要介绍Squid,它支持Windows和Linux,由于目标网站环境是win,我这里使用Win下的squid(使用Linux也可以),配置方法如下: Squid版本:2.7 For Win 1、配置squid/etc目录 复制并改名为: cachemgr.conf 2.用文本编辑器打开squid.conf,需要修改的地方: 查找http_port 3128在后面增加一行 查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在后面增加一行 1.1.1.1为目标网站真实IP,80为端口 查找# TAG: visible_hostname在后面增加一行 visible_hostname volcano(任意命名) 查找http_access deny all 在其前面加#将这一行注释掉,然后增加一行 http_access allow all 3.使用squid/sbin/squid.exe执行以下命令 squid -i -n web_squid #命名squid服务的新名称 测试squid是否正常: 完成测试后,将目标域名解析到squid服务器IP,网站以及功能完全正常,唯一差别就是ping返回的IP是squid服务器的IP,并不是真正的Web服务器IP,只要网站正常访问,管理员也不会时时去ping。 经过几个小时等待后,目标网站管理员登陆后台,在日志squid\var\logs\access.log就可以找到后台地址,后台目录文件名非常地长,同时收获了很多敏感的URL,准备研究如何截取Cookie或者后台账号密码时,后台xx_adduser.php存在本地验证漏洞,直接添加管理员成功,管理员和后台地址都有了,登陆后顺利拿到WebShell。 当然,如果后台不存在这个漏洞,应该还是有办法可以弄到权限的,毕竟用户/管理员访问的数据包都会经过这台squid服务器,只不过会麻烦许多 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com