针对Linux网络服务器的渗透测试实例解析
前一段时间接了一个渗透测试的任务,过程有点意思,所以简单写一下,以供参考。
我们检测的三台主机中两台为Linux系统,一台为AIX系统。还有一台是边界路由器。
目标网络的主机通过地址转换来提供对外访问,内部使用172.16.*.*地址段(这些信息是测试之后才得到的,开始并不知道)。在边界路由器后面还有一台Cisco PIX 525
(515?)对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80, 25,110等等。
根据我们的检测,Cisco PIX防火墙的过滤规则设置还是比较严密的,基本上没有多余端口允许外部用户访问。
在对xx.xx.xx.2和xx.xx.xx.3进行了端口扫描之后,发现只有通过xx.xx.xx.3的WEB服务进行进行间接攻击。首先检查TCP/80端口的服务,我们发现新闻搜索的功能是在另外一个端口8070提供的。直接输入:http://yyy.yyy.yyy:8070/
之后,得到了一个系统管理登录页面,简单地测试了一下,输入test/test作为用户名/口令,似乎认证成功,但最后并不能进入下一个页面。我们发现这个端口正在运行
Tomcat 3.1,而这个版本存在一个安全漏洞,缺省/admin目录是可以访问的。在输入:http://yyy.yyy.yyy:8070/admin 之后,我们果然看到了”Tomcat Administration Tools”的页面,通过点击”Context Admin”这个链接,我们可以对 Tomcat的Context进行管理,例如查看、增加、删除Context。这个Context有点类似虚拟目录,于是我们可以增加一个 context, 例如”/tt”,将它的文档根目录设置为”/”,这样当我们访问http://yyy.yyy.yyy:8070/tt时看到的就是系统根目录的列表了!进一步可以查看任意目录里面的任意文件。由于Tomcat是以root身份运行的,所以可以查看任意系统文件,例如 /etc/passwd和/etc/shadow。根据口令文件进行密码破解后发现系统中的两个用户test和root都使用了非常简单的口令: 123456。尽管外部用户无法直接访问telnet服务,这些口令还是应当被重设为更为强壮的字符串