350 likes | 620 Views
高考招生网站渗透测试 案例 分析. 诸葛建伟 清华大学信息网络工程研究中心 CCERT 紧急响应组. 渗透测试. 渗透测试( Penetration Test ) 以攻击者角度 使用各种可能漏洞发现和攻击技术,对目标系统安全进行深入探测 以攻破系统,取得目标完全控制权为终极目标 一类专业性的安全服务 Red Team/Tiger Team 利用渗透小组能力和技术 帮助目标客户了解网络或系统的真实安全风险 提供渗透测试报告:修补漏洞和增强安全性建议. 高招网站渗透测试. 渗透测试目标 以实际案例深入了解目前高招网站的安全水平与防范情况
E N D
高考招生网站渗透测试案例分析 诸葛建伟 清华大学信息网络工程研究中心 CCERT紧急响应组
渗透测试 • 渗透测试( Penetration Test ) • 以攻击者角度 • 使用各种可能漏洞发现和攻击技术,对目标系统安全进行深入探测 • 以攻破系统,取得目标完全控制权为终极目标 • 一类专业性的安全服务 • Red Team/Tiger Team • 利用渗透小组能力和技术 • 帮助目标客户了解网络或系统的真实安全风险 • 提供渗透测试报告:修补漏洞和增强安全性建议
高招网站渗透测试 • 渗透测试目标 • 以实际案例深入了解目前高招网站的安全水平与防范情况 • 了解高招网站主要的安全弱点与缺陷 • 取得了三所京内高校的授权,实施针对招生网站的外部渗透测试 • 一所211全国重点理科院校 - A校 • 一所211全国重点文科院校 - B校 • 一所211部委重点理科院校 - C校 • 渗透测试时间 • 2011年5月20日——6月3日(两周) • 渗透测试人员 • CCERT紧急响应组成员,网络中心学生
渗透测试流程和方法 • 渗透测试类型 • 黑盒 • 有限范围、有限授权 • 外部渗透测试 • 渗透测试流程与方法 • 目标信息采集:DNS查询、主机/端口扫描、OS和服务辨识、服务查点 • 系统层漏洞扫描与攻击:远程漏扫、远程渗透攻击尝试、远程口令猜测 • Web应用层漏洞扫描与攻击:Web应用漏洞扫描、漏洞验证、缺省/弱口令猜测、手工漏洞发掘与利用 • 本地攻击:特权提升、管理后台口令爆破
B校案例分析 • 招生网站网址:gate.****.edu.cn/**zs • 门户网站上链接的子站点 • 与门户网站和大量子站点均在同一台服务器上 • 对gate.****.edu.cn服务器与网站进行全面渗透测试 • 信息收集 • DNS查询IP地址:***.48.***.163 • 端口扫描(nmap -sV) • 操作系统类型辨识(nmap -O) • 服务查点(telnet/ftp/…)
Nmap端口扫描与OS辨识结果 OSs: HP-UX, Linux, Unix
部分敏感服务的查点 • Telnet服务 • HP-UX hp3 B.11.23 U • ia64 • FTP服务 • wuftpd-2.6.1 • 2006-2007 • SMTP服务 • hp3 ESMTP Sendmail 8.11.1 • 2006年12月
系统层漏洞扫描 • 使用OpenVAS开源漏洞扫描工具 • 高危安全漏洞 – 未找出对应HP-UX的渗透代码
远程口令猜测-Brutus/Hydra 猜测速度:2xx tries/min 弱口令字典:几十万-几百万 强口令字! 运行一段时间,但未成功猜测
社会工程学口令字典 “强口令字”也有安全风险!!!
Web漏洞扫描与验证 • Web漏洞扫描器 • IBM AppScan • NetSpaker • AppScan • 扫描42个URL,发现其中30%的URL包含安全性问题 • 主要安全问题 • 未对用户输入正确执行危险字符清理!!! • XSS跨站脚本注入 • SQL注入 • 链接注入 • 未安装第三方产品的最新补丁或最新修订程序 • Web 应用程序编程或配置不安全 • Web 服务器或应用程序服务器是以不安全的方式配置的 • 在生产环境中留下临时文件
目标网站XSS跨站脚本漏洞验证 窃取Cookie/挂马/社会工程欺骗…
Web后台管理系统大发现 Oracle应用服务器管理 Apache AXIS2服务管理 Oracle Metadata Navigator管理 Oracle BI Publisher后台管理 CASWeb应用系统后台管理
后台管理系统的缺省口令 • Oracle应用服务器管理后台 • 缺省口令:Google Hacking(GHDB)可直接搜索到
危害后果? • 停止网站运行 • 敏感信息泄露 • 安全配置修改 • 允许目录浏览 • 代码审查分析 • 进一步漏洞发掘 • 文件上传漏洞?
B校渗透测试结果回顾 • B校招生网站安全情况 • 与门户网站和子站点均在同一台服务器上-“旁注风险” • 服务器类型:HP-UX 64位/Oracle应用服务管理/大量第三方或自主开发Web应用 • 安全弱点 • 大量Web后台管理系统直接对外开放,且使用缺省口令——渗透测试获得了网站的部分控制权 • 开放大量端口,未实施防火墙保护 • 开放网络服务存在安全漏洞,但系统类型罕见,较难利用 • 服务查点显示系统没有进行更新和升级维护 • 大量远程口令猜测点,以及大量使用明文传输协议,很容易被网络口令嗅探
C校渗透测试案例分析 • 招生网站网址 • 本校招生网站(goto.****.edu.cn): 单独服务器(**.50.***.250) • 分校招生网站: ***.206.***.40/zs/(门户服务器子站点) • 信息采集 • 本校招生网站 • 80/tcp(新网站);8080/tcp(旧网站) - 防火墙保护 • Windows/IIS 6.0/ ASP.NET • 分校招生网站 • 80/tcp – 防火墙保护 • Windows/IIS 6.0/ ASP.NET
系统层漏洞扫描 • OpenVAS的系统层漏洞扫描结果 • 中危安全漏洞 • Microsoft ASP.NET Information Disclosure Vulnerability (2418042) • CVE-2010-3332 • http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx • 说明没有及时更新补丁,但该漏洞较难利用
Web应用层漏洞扫描 • 本校网站没有发现可被利用的漏洞(Web应用防火墙) • 分校网站上发现了几个高危漏洞 • Ewebeditor网页编辑器控件任意页面修改漏洞 • PUT方法文件上传漏洞
上传ASP后门程序之后的攻击 • 获取后台管理帐户口令
C校分校录取(2010)学生数据库 • 可随意修改数据库内容
本地提权攻击 • ASP后门-受限用户权限 • 但可在网页目录上上传文件 • 可以受限权限运行CMD Shell • 本地提权工具上传 • 上传Meterpreter本地攻击程序包
本地提权攻击(2) • 利用ASP后门程序的CMD shell命令执行功能 • 激活上传的meterpreter后门程序,反向连接shell
本地提权攻击(3) • 利用meterpreter后门程序强大的功能 • 提权工具:getsystem命令(综合利用多个内核漏洞) • Technique 4:利用MS10-015内核Trap处理提权漏洞 • 后门程序功能:截屏、键击记录、文件、注册表、清除日志…
C校渗透测试结果回顾 • C校招生网站安全情况 • C校本校招生网站安全性较高(防火墙、漏洞利用防范) • C校分校存在严重安全问题,通过渗透测试可以完全控制,并发现已遭“潜伏” • C校分校招生网站安全弱点 • 招生网站和大量其他网站在同一服务器上-“旁注” • 系统层防护到位(防火墙、严格控制开放端口) • Web应用层存在严重漏洞 • Ewebeditor控件任意修改页面内容漏洞页面篡改 • IIS 6不安全配置:PUT/MOV上传和移动文件漏洞上传ASP后门,取得部分控制权(后台管理,修改招生数据库…) • Windows本地安全漏洞未及时修补(MS10-15)本地提权攻击,完全本地控制 • 渗透测试意外发现:该网站已遭多个“黑客”团队“潜伏”
高招网站渗透测试案例分析总结 • 高招网站(3校4个服务器)渗透测试 • 虽然是小样本集,但仍能反映出一些普遍问题 • 高招网站所面临的实际安全风险 • 目前高招网站的安全防范水平与状况 • Good • 专门服务器(与其他Web应用分离):安全隔离控制 • 防火墙部署与严格访问控制措施对外仅开放必要的HTTP/S服务(A校/C校) • 部署和实施Web应用防火墙(C校本校) • Bad • 缺乏专业安全技术人员持续负责任的安全检查、加固和响应(B/C校) • 大量开放无必要服务/管理后台(B校) • 提供大量远程口令猜测/嗅探点,并设置缺省/弱口令(B校/C校分校) • Web应用服务器未经安全配置和漏洞扫描评估,未部署Web应用防火墙进行防护(B校/C校分校) • 没有及时更新系统补丁(B校/C校分校)
Thanks 联系方式:zhugejw@cernet.edu.cn