Fork me on GitHub

座位管理系统渗透

在学校图书馆更新座位管理系统之后,本着帮学校检查系统是否有漏洞的初衷,来对座位管理系统进行渗透测试。

不可做出违法和违反校规校纪的事情。

信息搜集

网站相关信息

Sameip.org 网站IP为 202.117.24.229 ,未注册域名,地点在西安。

1535429811079

DNS记录查询,采用Whois.comWho.is

发现是学校官方注册的服务器中的一个子服务器分配的IP,是我校张德运老教授名下在1994年注册的服务器,老师是电子与信息工程学院的教授。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '202.117.0.0 - 202.117.63.255'

% Abuse contact for '202.117.0.0 - 202.117.63.255' is '@net.edu.cn'

inetnum: 202.117.0.0 - 202.117.63.255
netname: XJTU-CN
descr: Xian Jiaotong University
descr: Xian
descr: Shanxi Province
country: CN
admin-c: DZ1-CN
tech-c: DZ1-CN
tech-c: CER-AP
remarks: origin AS4538
mnt-irt: IRT-CERNET-AP
mnt-by: MAINT-CERNET-AP
status: ASSIGNED NON-PORTABLE
last-modified: 2013-08-08T23:30:27Z
source: APNIC

irt: IRT-CERNET-AP
address: Network Research Center,
address: Main Bldg, Tsinghua Univ
address: Beijing 100084, China
phone: +86-10-62784301
fax-no: +86-10-62785933
e-mail: @net.edu.cn
abuse-mailbox: @net.edu.cn
admin-c: CER-AP
tech-c: CER-AP
auth: # Filtered
remarks: timezone GMT+8
remarks: http://www.ccert.edu.cn
mnt-by: MAINT-CERNET-AP
last-modified: 2010-11-26T03:14:01Z
source: APNIC

role: CERNET Helpdesk
address: Room 224, Main Building
address: Tsinghua University
address: Beijing 100084, China
country: CN
phone: +86-10-6278-4049
fax-no: +86-10-6278-5933
e-mail: @net.edu.cn
remarks: @net.edu.cn
admin-c: XL1-CN
tech-c: SZ2-AP
nic-hdl: CER-AP
remarks: Point of Contact for admin-c
mnt-by: MAINT-CERNET-AP
last-modified: 2011-12-06T00:10:30Z
source: APNIC

person: Deyun Zhang
address: Xian Jiaotong University
address: Xian
address: Shanxi Province
country: CN
phone: +86-029-326-8575
e-mail: @xjtu.edu.cn
nic-hdl: DZ1-CN
notify: @apnic.net
mnt-by: MAINT-NULL
last-modified: 2012-02-01T06:03:25Z
source: APNIC

% This query was served by the APNIC Whois Service version 1.88.15-46 (WHOIS-US4)

端口和系统的检测

采用nmap扫描,得知

该OS采用的是Windows Server 2008

采用了upupw的php服务器套件

开放了 80 ,1433(数据库) , 3389(远程桌面) , 49154 端口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
root@kali:~# nmap -O -sV 202.117.24.229
Starting Nmap 7.70 ( https://nmap.org ) at 2018-08-27 22:32 EDT
Nmap scan report for 24h229.xjtu.edu.cn (202.117.24.229)
Host is up (0.0044s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.12 (PHP 5.3.29)
1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.1600; RTM
3389/tcp open ms-wbt-server?
49154/tcp open msrpc Microsoft Windows RPC
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|firewall|storage-misc
Running (JUST GUESSING): Linux 2.6.X|3.X (89%), WatchGuard Fireware 11.X (89%), Synology DiskStation Manager 5.X (88%)
OS CPE: cpe:/o:linux:linux_kernel:2.6.32 cpe:/o:linux:linux_kernel:3.10 cpe:/o:watchguard:fireware:11.8 cpe:/o:linux:linux_kernel cpe:/a:synology:diskstation_manager:5.1
Aggressive OS guesses: Linux 2.6.32 (89%), Linux 2.6.32 or 3.10 (89%), Linux 3.10 (89%), WatchGuard Fireware 11.8 (89%), Synology DiskStation Manager 5.1 (88%), Linux 2.6.39 (88%), Linux 3.4 (87%), Linux 3.1 - 3.2 (87%), Linux 2.6.32 - 2.6.39 (85%)
No exact OS matches for host (test conditions non-ideal).
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 67.60 seconds

防火墙WAS的扫描

采用nmap扫描防火墙,发现该站点未安装防火墙

1
2
3
4
5
6
7
8
9
10
root@kali:~# nmap -p 80,1433 --script=http-waf-detect  202.117.24.229
Starting Nmap 7.70 ( https://nmap.org ) at 2018-08-27 22:39 EDT
Nmap scan report for 24h229.xjtu.edu.cn (202.117.24.229)
Host is up (0.0019s latency).

PORT STATE SERVICE
80/tcp open http
1433/tcp open ms-sql-s

Nmap done: 1 IP address (1 host up) scanned in 1.05 seconds

主机文件和文件夹信息的搜集

DirBuster扫描得到PHPinfo(),info页面

从而得知主机的服务器配置信息

运行的PHP版本为 5.3.29

服务器为 Apache2.0

同时可以知道php相关文件上传文件包含等漏洞是否有可能开启

1535428776869

漏洞的扫描和测试

采用OWASP ZAP及Nikto扫描

1535428322297

  • 点击劫持
  • cookie的可能被第三方利用
  • XSS漏洞的保护未开启
  • 文件上传头未开启保护

但是,前三点需要有真实的后台管理员参与时,才有可能渗透成功,现在这种情况不现实。最后一点,虽然看起来非常好,但是整个网站并没有上传文件的接口,这个漏洞也无法利用。

SQL Injection

经过检测,该网站有两种登录方式,且都采用了在js里写隐形表单的方式,一开始在network里找不到,后来审查源码且利用Burp Suite抓包发现源代码采用了隐形表单

普通用户登录时候有验证码的拦截,故很难绕过验证码来进行SQL注入,尝试另外后台登录

1535429129743

后台登录没有验证码,但是,在提交密码之前,将获取密码的md5值再提交,SQL注入尝试无果

1535429178735

框架的报错!!

输入一个不存在的地址,竟然出现了thinkphp3.2的报错信息,说明该开发者在开发完毕后并未关闭debug选项,有可能是突破点,但是尝试无果。

1535427828839

3389端口暴力破解

windows server 2008 开启了3389端口,这是后台管理服务器远程登录的端口

rdesktop 202.17.24.229远程连接,原先windows 2000的输入法漏洞被修复,现在只能尝试暴力破解,利用弱口令字典现在在正l利用 hydra 进行暴力破解……哎 ,黔驴技穷了。测试四万多个组合,,失败告终。

1535459015168

1535442617063

渗透思路

  • 利用系统版本的漏洞,在乌云库或国家信息安全漏洞库寻找相关的CVE,也许可以利用版本来利用
  • 利用php版本的漏洞
  • 常规漏洞的利用 XSS ,CSRF ,点击劫持, 文件上传等漏洞,也许可以利用

但是此时很难利用用户层面的漏洞,因为不知道网站的后台管理人员和使用的途径时间等。

一点收获

​ 在阅读源码的时候,发现这个网站基本用的都是jQuery,源码也都能读懂,但是这个代码写的很有问题,把很多接口都定义在前端了……于是sql注入之……无果……。

​ 发现了一个有意思的接口,查看返回结果是一个标准的http返回,然后。。

1535602289047

揣测,接口是符合RESTFUL接口规范的,于是乎……接口尝试 http://202.117.24.229/api.php/users?page=368 在后面加上page参数能够正常返回,尝试count参数也能正常运行,于是写了个爬虫把所有的数据爬下来,数据里有全校所有人的信息,应该是直接从CAS系统搬运过来的,但是有些信息并未给出,但是给出了

  • 姓名
  • netid
  • 部门
  • 职位
  • 图书馆卡号

写了个小爬虫把信息爬了下来

1535602546254

不可作为非法用途。。

总结

这次渗透测试失败了,但是尽力了,也没什么可惜的,如果有大佬能够有什么建议,欢迎交流,一起帮助学校检查系统是否有漏洞。