针对某厂商的一次渗透性测试

1、  安装某商客户端,启动客户端可以看到有两个默认安装好的摄像机,一个设备的设备编号是局域网地址,另外一个设备编号是个摄像机名称。

2、  启动wireshark,并打开抓包功能。

3、  打开某商客户端,此时客户端会自动连接安装好的摄像机,通过抓包分析,可以看到当设备编号为局域网地址时,某商的客户端会通过发信令自动去连接IP为该局域网地址(比如192.168.0.100)的摄像头,当设备编号为普通的名称时,它会通过发信令到一个具有公网IP的服务器(地址为123.196.113.18),此处猜测某商利用自己或第三方的平台去连接挂在互联网的摄像机。

4、  对该IP进行whois查询,发现某商服务器是托管在北京市电信通苏州桥IDC机房的,并且在该服务器上部署了3个域名的站点,除了www.某商.com以外,另外一个站点的域名是xxx.com。

5、  访问www.xxx.com发现是一个电信系统(xxx),或许某商可能用到该系统的技术支撑,也或者可能只是共用一台服务器而已。

6、  访问www.某商.com,上面是推销某商的,并且发现里面有一个BBS,全站浏览了一下看不出是使用业界流行的网站模板的(有的话可以使用现成已发布的漏洞),整个站点应该是自己开发的。

7、  对某商站点进行漏洞扫描,只发现了一个反射型XSS,这个需要结合社工才可以利用,故对本人来说是个鸡肋漏洞。

8、  仔细浏览了一下,发现有人发帖,并且帖子里面有附件,立马想到可以利用这个来上传木马拿下站点,但是发帖需要注册,所以马上注册了一个某商论坛的账户并进行登录。

9、  点击“发表新文章”发表一个新贴,里面果然有上传附件的功能,看了一下前台的下拉列表,只支持rar、txt和html等无危害的静态文件,紧接着使用burp对该功能进行了如下测试:

9.1、直接上传一句话PHP木马(webshell.php);失败。看来后台会对上传的文件后缀名进行判断。

9.2、利用文件名截断的方式进行上传。Burp拦截到上传请求后,将webshell.php改名为webshell.php_.rar,其中”_”为截断字符”\00”;结果还是失败,估计后台修复了此bug。漏洞解释:一般后台检测后缀会从后往前检测,如果存在漏洞,发现后缀为rar,就认为该文件是合法的,然后将webshell.php_.rar进行保存,但是因为存在截断字符”\00”的缘故,”rar”会被截断掉,最终保存为webshell.php。

9.3、利用Windows的特性,将webshell.php改名为webshell.php.和webshell.php_(“_”为空格),结果还是失败。

9.4、重新查看了访问过的http请求和响应,发现在http响应中携带了web服务器信息,使用的是比较老的apache 2.xx,而该版本是存在文件解析漏洞的,利用该漏洞,Burp拦截到上传请求后,将webshell.php改名为webshell.php.rar,上传成功!(此处还是不明白为什么有截断字符的会被检测到而不能上传成功)。

漏洞解释:低版本的apache在解析xxx.php.yyy时,如果yyy后缀是不可识别的文件类型,那么该文件就会被当成php来解析。

10、              返回帖子列表,可以看到上传的附件webshell.php.rar,点击右键可以查看到该附件的完整路径(明显被重命名)。

11、              使用菜刀连接该一句话php木马,成功登录目标服务器获得webshell!

12、              在菜刀上执行虚拟命令行,查看连接的账户类型为系统账户,说明拥有系统最高权限,这样说明了apache是以管理员账户运行的。

13、              使用netstat命令发现目标对外开放了3389端口,因此我们只要有账户就可以通过公网进行连接登录,由于我们手头已经拥有系统账户权限,可以通过虚拟命令行的net user命令添加一个新账户。

14、              使用新建的账户连接远程主机3389成功,目标机器已被完全控制。由于用户连接摄像机时都需要向目标机发送信令,因此,完全可以在目标机上嗅探某商的通信端口数据,进而获取用户的敏感信息。

15、              登录www.xxx.com,发现里面也有一个BBS,目测框架是一样的,也存在同样的漏洞,说明用的是同一个模板。

16、              通过菜刀可以看到有多个站点的数据库都在这台主机上,其中有多个数据库存有用户名和密码,发现有很多口令是用明文来存储的!只有少部分使用sha1的哈希算法来进行存储,但是sha1已被证明是不安全的,在线破解其存储的sha1的哈希值基本上都可以破解出来,更离谱的是连接数据库的账户和口令都是空!默认的root数据库账户的口令则被设置为123456的弱密码。

17、              【内网渗透】在目标机器上执行netview命令,可以看到和目标机有通信的机器只有8台,ping每一台机器获取其IP,可以看到这些机器都在一个网段内,因此,应该为IDC机房内同一个网段的主机。

18、              对这些内网机主机进行探测,发现有几台主机对外开放了http 80端口,尝试使用外网IP进行访问,发现这些主机部署了完全独立的业务系统,并设立了对外的portal,比如包括远程电梯管理系统、物流系统和试题阅读系统,由此看来,如果其它独立业务系统有漏洞地话,IDC的服务器托管环境反而增加了某商服务器被攻击的风险。

19、              上传PwDump到目标主机并读取NTLM hash,尝试在线破解出管理员密码,但未能成功。注:通常机房管理员在不同主机使用同一个密码,在得到账号后尝试连接同一网段的其它主机。

20、              在目标机器上安装WinlogonHack,当管理员登录时会自动记录登录密码,经过几天的等待终于截取到管理员的密码,并登录成功!

某商渗透测试总结:

1、  结合以上渗透测试过程,基本确定某商服务器平台安全性比较弱。

2、  从apache的版本来看,应该是建站比较早,但建站之后应用本身估计就没有再更新维护过,故使用的软件补丁版本都比较低,所以也很容易被利用,因此,定时更新系统和第三方软件或库的补丁显得非常重要。

3、  莫忽视任何低级别的漏洞,比如信息泄漏,不同水平的人对同一个漏洞的利用方法可能差异会很大。

4、  纵深防御是做好安全的关键,一次渗透过程可以分为多个阶段,应始终在每个阶段都设立防御机制,并总是假设某个阶段的防御失效时如何在后面的阶段最大化的减少损失。比如我们应该在应用程序对用户数据进行校验,在系统上对权限和端口等设置最小化,对账户实施强口令策略等等,总之,只有系统地进行防范才能最大化降低风险。

时间: 2024-11-01 03:38:14

针对某厂商的一次渗透性测试的相关文章

安全测试-渗透性测试

安全测试-渗透性测试 明文传输/存储 越权访问 上传/下载漏洞 xss攻击 1.最常见的最经典的XSS bug检测语句必然是<script>alert(/XSS/)</script> <script>alert(document.cookie)</script><script>window.location.href="http://www.baidu.com";</script> 2.利用IMG图片标记属性跨站&

XPON测试解决方案

摘要FTTx由于使用XPON(无源光网络)技术,在网络中消除了放大器和有源器件的使用,大大降低了网络安装和设备开通.维护的费用,正成为颇有竞争力的接入系统.随着基于以太网的无源光网络(EPON)商用规模的逐步扩大,如何对XPON系统进行合理地测试,已越来越成为许多设备厂商非常关注的问题.本文旨在对生产及研发阶段XPON系统的测试提供完善的测试解决方案. 作为国内主要的通信测试设备供应商,信而泰科技(TELETEST)可为用户提供全面的XPON测试解决方案,以帮助客户快速.低成本地部署产品生产并从

月活8.89亿背后:微信工程师细数兼容测试经验

作者:曾夏,微信客户端测试开发商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处. 原文链接:http://wetest.qq.com/lab/view/306.html 2017年4月,企鹅智酷公布了最新的<2017微信用户&生态研究报告>.报告数据显示,截止到2016年12月微信全球共计8.89亿月活用户,新兴的公众号平台拥有1000万个.微信这一年来直接带动了信息消费1742.5亿元,相当于2016年中国信息消费总规模的4.54%. 坐拥如此量级的用户,也意味着,微信发

关于适配性测试的问题--------【感谢搜狗团队整理】

一.为什么要进行适配测试呢? 因为目前分辨率.系统.厂商众多,如果不去做适配会出现某些分辨率UI不正确,某些系统或厂商手机上功能错误或不可用的情况,所以针对此情况我们要进行适配测试,适配主要分为分辨率适配.系统适配. 二.分辨率适配 1.手机选取规则 1)需要覆盖全部分辨率 目前常见分辨率为: 480X800.480X854.540X960.720X1280.800X1280.1080X1920.1440X2560: 2)同一分辨率有多个手机时,尽量选用主流机型和系统: 3)多个分辨率都有多个手

转: 测试云服务器的工具相关

from: http://cloud.51cto.com/art/201611/520693.htm 首份云计算产品评测曝光,腾讯云.阿里云到底谁更高一筹? 阿里云作为名副其实的国内业界第一,名声非常大,不过最近IT之家的事闹出来之后,我有点庆幸最终没有选择它.腾讯云算是业界老二,而且有着腾讯这个强大的靠山,云服务产品的种类和质量都不错. 作者:佚名来源:科技新视觉|2016-11-07 16:26 收藏 分享 大约一年前,我在某国外云厂商上部署了自己的第一个网站,从此成为一名云计算用户.由于国

Metasploit 渗透测试魔鬼训练营读书笔记(连续更新一)

1.1 什么是渗透测试 1.1.1 渗透测试的起源与定义 如果大家对军事感兴趣,会知道各国军队每年都会组织一些军事演习来锻炼军队的攻防战术与作战能力.在信息科技的发源地--美国的军事演习中,将美军称为"蓝军",将假想敌称为"红军",而这种军事演习的方式也在20世纪90年代时,由美国军方与国家安全局引入到对信息网络与信息安全基础设施的实际攻防测试过程中.由一群受过职业训练的安全专家作为"红队"(Red Team),对接受测试的防御方"蓝队

测试小白必备基础知识总结

什么是软件测试 软件测试是使用人工操作或者软件自动运行的方式来检验它是否满足规定的需求或弄清预期结果与实际结果之间的差别的过程. 本质:软件测试是为发现软件错误而执行程序的过程. 例如场景:淘宝网用户登陆 大家都有在淘宝购物的经历吧,如果想要在淘宝进行购物,就必须登陆后才能进行. 那么能够登陆的前提是什么呢?必须是淘宝网的注册用户. 登陆的步骤是什么呢?在下图1中输入已经注册的用户名>输入已设定的密码>点击“登陆”按钮,步骤非常简单. 大家也一定会遇到过用户名和密码输入错误而无法登陆的情况,此

使用Proxmark3进行MIFARE Classic卡的安全测试

Proxmark3的MIFARE安全测试是很多朋友都非常重视的一部分,所以我们特地以这个部分进行介绍,告诉大家如何当你完成前期操作之后,进行MIFARE CLassic卡类的安全测试操作. 首先,我们要把高频天线连接到Proxmark3的天线接口.当我们连接完成之后,我们就需要查看一下天线与Proxmark3是否连接正常并且正常电压为多少? 命令:hw tune 这个命令大概需要几秒的时间进行回显 有些朋友会问,当我输入完hw tune之后,是不是接下来就是输入hf tune呢? 我个人认为当你

谈谈龙之谷手游兼容测试的一百个坑

一.项目背景 1. 高价值IP 龙之谷 ,一款优秀的端游移植到手游平台,凭借的丰富的游戏内容和优秀的游戏品质,公测首日便在畅销榜登顶,取得了巨大的成功.  游戏内容不仅继承了端游的内容,还根据手游操作方式以及平台特性进行了改进,使之更适合移动用户操作,界面分部也更加合理.  2.初期兼容性问题较多 龙之谷与其他游戏产品一样,版本初期暴露的兼容性问题很多,类似无法安装以及必现的CRASH等致命问题多次出现外,还存在着大量UI错位.资源加载异常.屏幕分辨率适应差等严重级别的兼容性问题.  二.定制测