對某網站的一次掃描及滲 透測試

　　對某網站的一次掃描及滲 透測試

　　1.1對某網站的一次滲 透

　　1.1.1後臺人弱口令登陸系統

　　1.登錄CMS後臺

　　由於前期已經對目標網站進行過摸排，獲取了目標網站類似演示系統的測試賬號admin/123456，因此直接在目標網站http://c.t.com/m.php進行登錄，如圖1所示，成功登錄該CMS系統。該CMS網站帶有一定的安全意識，修改了admin.php爲m.php，雖然admin.php頁面存在，但不發揮作用。

　　圖1 登錄CMS後臺

　　2.對後臺逐個功能進行分析和研究

　　登錄後臺後對系統設置、文件上傳、數據備份、項目管理、訂單管理、會員管理、計劃任務、移動平臺等進行查看，分析該系統是自主開發還是採用公開模板開發。通過對該系統分析發現該系統是獨立開發，在互聯網上未有公開源代碼，無法對其進行源代碼審計。

　　1.1.2漏洞初步挖掘

　　1.文件上傳模塊分析

　　(1)系統所有上傳模塊都採用同一個上傳編輯器Kindeditor，經過實際測試，所有文件上傳的漏洞及相關方法失效。

　　(2)文件上傳模塊採用Kindeditor編輯器，通過尋找圖片或者文件上傳的地方，如圖2所示，選擇“網絡上的圖片”，然後單擊瀏覽即可對該CMS所在服務器上的上傳文件夾進行查看。

　　圖2測試上傳模塊

　　(3)Kindeditor編輯器文件瀏覽漏洞

　　Kindeditor編輯器file_manager_json.php的path參數存在過濾不嚴格漏洞，可以通過修改該參數來瀏覽磁盤文件，早期版本Kindeditor編輯器不需要帶後續參數即可瀏覽目錄，新版本對漏洞進行修復過，但仍然存在漏洞，只是需要加上“&order=NAME&1546003143021”類似值，這個值是系統自動生成的。可以通過BurpSuite抓包獲取，如圖3所示。在權限限制不嚴格的情況下，可以通過修改path參數值對磁盤文件進行查看，原始的值path中無“/”，在BurpSuite中的Repeater中修改其值後，單擊“Go”提交，則可以在右邊窗口獲取文件列表等相關信息。

　　圖3測試文件目錄瀏覽漏洞

　　當然也可以在瀏覽器中訪問以下地址來獲取BurpSuite抓包提交一樣的效果：

　　http://c*****.t*****.com/admin/public/kindeditor/php/file_manager_json.php?path=&order=NAME&1546003143021。通過BurpSuite再次對path參數進行修改，但由於權限問題，如圖4所示，無法獲取上級目錄中的文件信息。

　　圖4無法獲取上級目錄文件信息

　　關鍵知識點：kindeditor/php/file_manager_json.php?path=&order=NAME&1546003143021

　　2.數據庫備份及還原

　　(1)可以對數據庫進行備份。但不知道數據備份文件的位置及其文件名稱。

　　(2)數據庫查詢。網站提供了直接對數據庫查詢接口，可以在其中輸入語句來進行查詢，http://c****.t*****.com/m.php?m=Database&a=sql&，通過執行MySQL相關命令來獲取獲取數據庫中用戶及密碼等信息，例如執行select * from mysql.user，如圖5所示，獲取數據庫用戶及密碼等有用信息，其中MySQL密碼可以直接在cmd5.com等網站進行破解。

　　圖5獲取數據庫用戶等信息

　　3.其它功能模塊測試

　　由於在實際系統上，因此不能進行有可能導致系統崩潰及出現問題的測試。在實際系統未備份時執行危險操作可能導致數據庫等刪除後無法恢復。

　　1.1.3對服務器進行信息收集

　　1.服務器IP地址信息收集

　　(1)直接ping 域名，獲取IP地址爲：1.1.3*.**4。

　　(2)網站https://www.yougetsignal.com/tools/web-sites-on-web-server/域名反查獲取IP地址。

　　2.對服務器IP地址進行端口掃描

　　通過Nmap對該IP地址進行掃描，掃描結果顯示該IP開放21、22、80及3306端口。

　　3.分別對21、22及80端口進行測試

　　(1)21端口爲Ftp端口，該服務存在Ftp服務器。

　　(2)對80端口進行訪問，也即直接IP地址訪問，如圖6所示，可以看出系統採用開源架構OneinStack安裝Web服務器，在頁面上可以查看本地環境信息，包括phpinfo、phpMyAdmin等信息。

　　圖6獲取Web服務器架構

　　(3)破解前面的MySQL密碼並登錄phpMyAdmin

　　在瀏覽器中打開http://1.1.3*.**4/phpMyAdmin/，輸入前面獲取的賬號和密碼root/w*****888，進行登錄，如圖7所示，成功獲取該MySQL數據庫Root權限。

　　圖7獲取數據庫管理權限

　　(4)對數據庫中各個庫的表信息進行整理，獲取真實物理地址信息如下：

　　/data/wwwroot/**ud.****s.cn/admin/public/robot/robot_0029.jpg

　　**ud.****s.cn/admin/public/robot/robot_0029.jpg

　　/data/wwwroot/www.s **.com/admin/public/robot/robot_0026.jpg

　　/data/wwwroot/**ud.****s.cn/admin/public/robot/robot_0052.jpg

　　/data/wwwroot/ajg.t*****.com/admin/public/robot/robot_0596.jpg

　　(5)獲取數據庫對應網站地址

　　通過對數據庫中的表分析，獲取數據庫對應的網站URL信息，其中shop數據庫對應網站a.t.com，管理員密碼admin/dd****09。

瀋陽包皮醫院××× http://www.25259999.com/

　瀋陽×××醫院哪家比較好 http://www.024sysdnk.com/
　瀋陽那家醫院看×××比較好 http://www.sysdnk.com/