对某网站的一次扫描及渗 透测试

　　对某网站的一次扫描及渗 透测试

　　1.1对某网站的一次渗 透

　　1.1.1后台人弱口令登陆系统

　　1.登录CMS后台

　　由于前期已经对目标网站进行过摸排，获取了目标网站类似演示系统的测试账号admin/123456，因此直接在目标网站http://c.t.com/m.php进行登录，如图1所示，成功登录该CMS系统。该CMS网站带有一定的安全意识，修改了admin.php为m.php，虽然admin.php页面存在，但不发挥作用。

　　图1 登录CMS后台

　　2.对后台逐个功能进行分析和研究

　　登录后台后对系统设置、文件上传、数据备份、项目管理、订单管理、会员管理、计划任务、移动平台等进行查看，分析该系统是自主开发还是采用公开模板开发。通过对该系统分析发现该系统是独立开发，在互联网上未有公开源代码，无法对其进行源代码审计。

　　1.1.2漏洞初步挖掘

　　1.文件上传模块分析

　　(1)系统所有上传模块都采用同一个上传编辑器Kindeditor，经过实际测试，所有文件上传的漏洞及相关方法失效。

　　(2)文件上传模块采用Kindeditor编辑器，通过寻找图片或者文件上传的地方，如图2所示，选择“网络上的图片”，然后单击浏览即可对该CMS所在服务器上的上传文件夹进行查看。

　　图2测试上传模块

　　(3)Kindeditor编辑器文件浏览漏洞

　　Kindeditor编辑器file_manager_json.php的path参数存在过滤不严格漏洞，可以通过修改该参数来浏览磁盘文件，早期版本Kindeditor编辑器不需要带后续参数即可浏览目录，新版本对漏洞进行修复过，但仍然存在漏洞，只是需要加上“&order=NAME&1546003143021”类似值，这个值是系统自动生成的。可以通过BurpSuite抓包获取，如图3所示。在权限限制不严格的情况下，可以通过修改path参数值对磁盘文件进行查看，原始的值path中无“/”，在BurpSuite中的Repeater中修改其值后，单击“Go”提交，则可以在右边窗口获取文件列表等相关信息。

　　图3测试文件目录浏览漏洞

　　当然也可以在浏览器中访问以下地址来获取BurpSuite抓包提交一样的效果：

　　http://c*****.t*****.com/admin/public/kindeditor/php/file_manager_json.php?path=&order=NAME&1546003143021。通过BurpSuite再次对path参数进行修改，但由于权限问题，如图4所示，无法获取上级目录中的文件信息。

　　图4无法获取上级目录文件信息

　　关键知识点：kindeditor/php/file_manager_json.php?path=&order=NAME&1546003143021

　　2.数据库备份及还原

　　(1)可以对数据库进行备份。但不知道数据备份文件的位置及其文件名称。

　　(2)数据库查询。网站提供了直接对数据库查询接口，可以在其中输入语句来进行查询，http://c****.t*****.com/m.php?m=Database&a=sql&，通过执行MySQL相关命令来获取获取数据库中用户及密码等信息，例如执行select * from mysql.user，如图5所示，获取数据库用户及密码等有用信息，其中MySQL密码可以直接在cmd5.com等网站进行破解。

　　图5获取数据库用户等信息

　　3.其它功能模块测试

　　由于在实际系统上，因此不能进行有可能导致系统崩溃及出现问题的测试。在实际系统未备份时执行危险操作可能导致数据库等删除后无法恢复。

　　1.1.3对服务器进行信息收集

　　1.服务器IP地址信息收集

　　(1)直接ping 域名，获取IP地址为：1.1.3*.**4。

　　(2)网站https://www.yougetsignal.com/tools/web-sites-on-web-server/域名反查获取IP地址。

　　2.对服务器IP地址进行端口扫描

　　通过Nmap对该IP地址进行扫描，扫描结果显示该IP开放21、22、80及3306端口。

　　3.分别对21、22及80端口进行测试

　　(1)21端口为Ftp端口，该服务存在Ftp服务器。

　　(2)对80端口进行访问，也即直接IP地址访问，如图6所示，可以看出系统采用开源架构OneinStack安装Web服务器，在页面上可以查看本地环境信息，包括phpinfo、phpMyAdmin等信息。

　　图6获取Web服务器架构

　　(3)破解前面的MySQL密码并登录phpMyAdmin

　　在浏览器中打开http://1.1.3*.**4/phpMyAdmin/，输入前面获取的账号和密码root/w*****888，进行登录，如图7所示，成功获取该MySQL数据库Root权限。

　　图7获取数据库管理权限

　　(4)对数据库中各个库的表信息进行整理，获取真实物理地址信息如下：

　　/data/wwwroot/**ud.****s.cn/admin/public/robot/robot_0029.jpg

　　**ud.****s.cn/admin/public/robot/robot_0029.jpg

　　/data/wwwroot/www.s **.com/admin/public/robot/robot_0026.jpg

　　/data/wwwroot/**ud.****s.cn/admin/public/robot/robot_0052.jpg

　　/data/wwwroot/ajg.t*****.com/admin/public/robot/robot_0596.jpg

　　(5)获取数据库对应网站地址

　　通过对数据库中的表分析，获取数据库对应的网站URL信息，其中shop数据库对应网站a.t.com，管理员密码admin/dd****09。

沈阳包皮医院××× http://www.25259999.com/

　沈阳×××医院哪家比较好 http://www.024sysdnk.com/
　沈阳那家医院看×××比较好 http://www.sysdnk.com/