一次WEB服務器滲透測試筆記

用IECookiesView找到名字為211.***.***.116的COOKIE，把其中的password和username分別替換為 19a7e9898008f09e和admin，當然在這一步之前要在論壇里注冊一個用戶。保存后再打開http://211.***.***.116，已經是管理員的身份了。

　　找到后臺的管理入口，http://211.***.***.116/admindefault.asp，進去看看有什么可以利用的。

　　該死，好像沒有可以直接上傳文件的功能，不過卻可以更改用戶在前臺上傳文件的類型。

　　我毫不猶豫地把asp給加上了。跑到論壇的主界面通過發貼的方式上傳了一個asp木馬，成功！

　　當然不要忘了把帖子刪了！其他的掃尾工作倒是可以稍后再做，先看看通過這個跳板我們能得到目標主機

　　211.***.***.114的什么信息吧！

　　在211.***.***.116上掃描211.***.***.114：nmap -v -sS -O 211.***.***.114

　　得到：

　　Port State Service

　　21/tcp open ftp

　　22/tcp open ssh

　　80/tcp open http

　　10000/tcp open snet-sensor-mgmt

　　這樣的結果是令人滿意的，至少說明211.***.***.114的防火墻對同網段的計算機開放了更多的服務，當然也意味著更多的滲透的機會！

　　首先進入視野的就是ftp服務，如果有弱口令，又有上傳的權限，那不就可以... ...

　　先看下ftp服務器的類型，在211.***.***.116上：

　　ftp 211.***.***.114

　　返回：

　　Connected to 211.***.***.114.

　　220 Free FTP server (Version 6.00LS) ready.

　　User (211.***.***.114:(none)):

　　看來是FreeBSD自帶的ftp服務器。

　　接著拿出Xscan進行針對ftp服務的掃描：

　　xscan -host 211.***.***.114 -ftp

　　可惜結果令人遺憾：沒有可以利用的帳號。

　　后面的22和80也沒有什么可以利用的，那就只剩下這個tcp10000的端口了，如果沒記錯，這應該是webmin的默認端口。連上去試試再說吧，在211.***.***.116上運行：

　　fpipe -l 8800 -s 8800 -r 10000 211.***.***.114

　　fpipe是一個端口重定向的工具，這條命令的大致意思就是把對本地8800端口的訪問重定向到211.***.***.114的10000端口上。所以我們訪問211.***.***.116:8800就等于訪問211.***.***.114:10000了。

　　在本地瀏覽器里輸入：http://211.***.***.116:8800

　　一個webmin的登陸界面出現了�，F在的問題就是：怎么進去。

　　還記得小組賽B組第一輪法國是怎樣戰勝英格蘭的么？答案是：運氣！

　　這個webmin問題的答案也是，當我一籌莫展的時候，DeMd5告訴了我一個好消息：211.***.***.116上的cpb論壇的admin的密碼為'77889900'，破解出了這個密碼算是運氣的一部分，而另一部分就是：這個密碼也是211.***.***.114上的webmin服務的。

　　登陸進入webmin以后就等于控制了目標主機211.***.***.114，安裝rootkit還是更換頁面只是一個選擇性的問題了。

　　至此，任務完成，后面就是要寫冗長的滲透測試報告了，但是在那之前我要寫幾個“如果”。

　　如果1：211.***.***.116主機上的測試論壇，在測試后就刪除了。

　　如果2：211.***.***.116上的論壇版本為最新的。

　　如果3：211.***.***.116主機安裝了防火強，并做了嚴格的限制。

　　如果4：211.***.***.114的ipfw的規則再嚴格些，只允許管理員的工作站登陸webmin。

　　如果5：cpb論壇的密碼與webmin的密碼不相同。

　　如果6：cpb論壇的密碼足夠強壯。

　　...

　　...

　　這些個“如果”你做到了么?

文章來源于領測軟件測試網 http://www.kjueaiud.com/