作者:不走的钟

来源:http://www.007hack.com/?p=770

在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目标、网络、路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事。)

也许在渗透测试遇到这种情况时大多会选择放弃,在绝望的时候,我将目标临时转移到该网站域名注册商,因为拥有域名注册商网站权限,至少可以修改目标网站的域名解析。一般情况入侵域名注册网站难度比较大,但并不是没有希望,在09年的时候,国内很多域名注册商的网站都存在漏洞。渗透那个域名注册商网站,过程比较繁杂,也没有新的技术点,靠的就是细心和耐心,但最终还是获取到目标网站域名的管理账号和密码,那么此时我们已知和已有的条件如下:

目标域名:www.007hack.com(当然不是真的,文章来源007安全)
  网站IP:1.1.1.1

环境:Win+Apache+PHP+MYSQL

已有权限:域名解析权限,可以将www.007hack.com解析到任何一个IP上

特别说明下,目标网站使用的服务器,并不是在域名注册商租用的,而是放置在公司机房中,所以通过域名注册商网站,是不能管理到Web源码的,只能进行域名解析。

当拥有域名解析权限后,如何才获取目标网站的权限呢?

A:构造一个和目标非常相似的网站?然后将域名解析到构造的网站?

B:使用iis重定向?

这些方法都非常容易被发现,并且也无法获取到权限,所以遇到这种场景的时候我们可以使用反向代理,也是本文的重点。了解反向代理之前,我做一个关于HTTP 代理的简单介绍, 代理常用的是普通代理和反向代理:

普通代理:为用户(客户端)提供代理,需要在客户端设置,比如在客户端浏览器中设置代理服务器IP和端口,完成配置后,用户可以通过代理服务器访问互联网,代理服务器相当于中间人的作用。根据代理服务器配置不同,又可以将普通代理分为,几种不同安全级别的代理,代理软件比较多,不同的厂商有不同的称谓和分级,一般情况都包括以下三个级别,透明代理、普通匿名代理和高匿名代理。

透明代理:

REMOTE_ADDR = 代理服务器 IP

HTTP_VIA = 代理服务器 IP

HTTP_X_FORWARDED_FOR = 真实 IP

说明:使用透明代理,可以进行信息交互,但不能隐藏自己真实IP,安全性越差,所以黑客一般不会使用此类代理。

普通匿名代理:

REMOTE_ADDR = 代理服务器 IP

HTTP_VIA = 代理服务器 IP

HTTP_X_FORWARDED_FOR = 代理服务器 IP

说明:隐藏了真实的IP,但通过HTTP_VIA可以判断出你使用了代理。

高匿名代理:

REMOTE_ADDR = 代理服务器 IP

HTTP_VIA = 没数值

HTTP_X_FORWARDED_FOR = 没数值

说明:可以隐藏真实IP,同时不会泄露你是否使用了代理,这类代理黑客往往比较喜欢。

用户通过普通代理访问Web,实际上用户并没有直接访问Web服务器,而是通过代理服务器作为中转,的示意图如下:

普通代理

反向代理:是为服务器提供代理和缓存,不需要在客户端。用户访问网站,实际上并不是直接访问Web服务器,而是首先访问反向代理服务器,如果请求的是html/htm/gif/jpg等这些静态文件时,反向代理服务器直接返回结果,如果用户请求是脚本如asp/php/jsp等内容时,反向代理服务器会将请求转发给Web服务器处理,再把结果返回给用户,从而通过缓存实现加速的效果。示意图如下:

反向代理

Squid和Nginx是非常优秀的反向代理软件,本文主要介绍Squid,它支持Windows和Linux,由于目标网站环境是win,我这里使用Win下的squid(使用Linux也可以),配置方法如下:

Squid版本:2.7 For Win

1、配置squid/etc目录

cachemgr.conf.default
mime.conf.default
squid.conf.default
squid_radius_auth.conf.default(可能低版本这个文件不存在,如果没有就不用修改)

复制并改名为:

cachemgr.conf
mime.conf
squid.conf
squid_radius_auth.conf

2.用文本编辑器打开squid.conf,需要修改的地方:

查找http_port 3128在后面增加一行

http_port 80 vhost

查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在后面增加一行

cache_peer 1.1.1.1         parent    80      0   no-query   originserver

1.1.1.1为目标网站真实IP,80为端口

查找# TAG: visible_hostname在后面增加一行

visible_hostname volcano(任意命名)

查找http_access deny all 在其前面加#将这一行注释掉,然后增加一行

http_access allow all

3.使用squid/sbin/squid.exe执行以下命令

squid -i -n web_squid  #命名squid服务的新名称
squid -i  #将squid服务加入到服务里面
squid -r -n web_squid  #删除指定名称的服务
squid -z  #创建缓存目录
squid -k parse  #检测配置是否有效
net start web_squid #启动
squid -dx #当服务不能启动时,进行调试

测试squid是否正常:

访问http://squid服务器ip

实际指向http://web服务器IP

完成测试后,将目标域名解析到squid服务器IP,网站以及功能完全正常,唯一差别就是ping返回的IP是squid服务器的IP,并不是真正的Web服务器IP,只要网站正常访问,管理员也不会时时去ping。

经过几个小时等待后,目标网站管理员登陆后台,在日志squid\var\logs\access.log就可以找到后台地址,后台目录文件名非常地长,同时收获了很多敏感的URL,准备研究如何截取Cookie或者后台账号密码时,后台xx_adduser.php存在本地验证漏洞,直接添加管理员成功,管理员和后台地址都有了,登陆后顺利拿到WebShell。

当然,如果后台不存在这个漏洞,应该还是有办法可以弄到权限的,毕竟用户/管理员访问的数据包都会经过这台squid服务器,只不过会麻烦许多……

留言评论(旧系统):

Gee @ 2013-04-25 13:11:54

来接受科普了。。

本站回复:

lol~~~

dashige @ 2013-04-25 13:38:15

我想说的是 为啥不用apache 或者nginx做反向代理呢。。

本站回复:

文中只是使用一种做例子,你当然可以使用其他的……

佚名 @ 2013-04-26 02:11:16

很早的文章了...关键的东西..你的劫持到域名才行... 实际上还有个简单的方法..放在以前的话应该可行但是现在貌似比较困难了.. 就是做dns投毒..在解析域名的时候就给解析到你的代理ip上... 比弄劫持好些...

本站回复:

比较古老的另类思路。

bean @ 2013-04-26 11:28:42

反向代理蛮普遍的,高校一般都用反向代理来优化服务器.不过怎么截取数据包,分析包获取管理员登陆账号密码,核总可以稍微讲点编程思路么?

本站回复:

编什么程?

虚心请教 @ 2013-04-27 10:02:18

核总,文中说到的是直接转发到域名原本指向的ip。如果一个ip也就是一台服务器,同时在给多个网站提供服务,就a.com、b.com、c.com都是指向该ip,我要搞个反向代理到b.com,怎么弄?虚心请教。。。

本站回复:

呵呵,这问题很白痴,你所担心的问题根本不存在,多了解点啥是域名、IP、反向代理,以及一些http协议知识……