内网建Web服务器的安全问题

　　很多公司或企业将其Web服务器放在内网，并在防火墙上做映射，将来自80端口的请求转向一台内网Web服务器的Web端口。

　　这样做安全性是提高了不少，但并不代表将Web服务器隐藏在内网就一定安全了，因为Web服务器本身还是存在很多问题的，特别是一些CG，程序，往往这是人们最容易忽视的地方。下面就以一台80端口的Web服务器为例，来测试其存在的安全隐患问题，并且对存在问题做测试描述，指出问题的症结所在并给出防范错施。

　　这是某大学的娱乐休闲网站，进去看了看，页面做得不错，先看一看是什么Web服务器吧。

　　是IIS5.0，看看能不能直接溢出。用最新的IIS的WebDav溢出试试。个人感觉isno写的那个溢出比较好用，但因为它是在内网，这个工具导致溢出后会直接在7788端口绑定一个cmd，这对我们的这次入侵来说肯定是不行的。所以，我将它修改了一下，使它可以反向连接，但最终还是不行，看来对方是打了补丁的。

　　又逛了一下其他版面，看到有个BBS，是动网的论坛而且版本还比较低(5.00320)。不错，这往往是我们的突破口(第一大失败)。很早以前我和我的好友pskey曾发现一个它的cookie变量未过滤漏洞，他还写了一个Exploit(程序放在光盘中)。通过这个漏洞，我可以随意更改任意用户(包括总版主)的用户密码。我用这个ID进去，进到后台管理，修改设置，允许上传exe、asp等文件。再看看有没有禁用FSO，结果没有禁用(第二大失败)。我通过它上传了一个aspcmdshell。这个aspcmdshell可以使我以guests组权限的用户在Web服务器上执行命令，当然，前题是它没有丢掉guests组对%systemroot%winntcdm.exe的访问执行权限。试试dirc:看看，果然没有运行(第三大失败)。其实，如果它了cmd.exe的运行权限也不要紧的，我们可以自已上传一个上去，再改一下这个aspcmdshell就可以了。有了这个aspcmdshell，我们可以做很多事情。当然这还不够，我的目的是拿到最高权限。此时我就准备提升权限了。先看一理员给了guests组哪些权限，看一下ipconfig的返回结果:

　　哟，在内网，不错，再试试C:可不可写，答案是不可写(不错)。再试试其他目录，整个C.盘都不可写，只给了Web目录的可写权限。再看一看跑了哪些服务，用netstat-an命令来查看一下。

　　TCP127.0.0.1:14330.0.0.0:0LISTENING哟!还跑了MSSQL的，不错。这时候第一个想做的就是看看哪些程序使用了MSSQL数据库。再到主页上逛逛，看到有一个新闻系统，很有可能就是它。用刚才那个aspcmdshell去查看一下这个news/目录里面的ASP程序，看到很多文件第一行都有，基本上这个就是数据库的链接程序了。查看一下:

　　http 192.168.1.1打果然不出我所料(第四大失败，将MSSQL的用户名和密码以形式存放在ASP文件里)，拿到了MSSQL数据库的密码，而且还是sa用户的，权限比较大哦。本来想看看能不能查找一下新闻系统ASP程序的漏洞，利用一下sqlinjection的。看来现在完全没有必要了。自己写一个可以用MSSQL扩展xp一cmdshell来执行系统命令的ASP程序，这里有可能管理员删了这个扩展，或直接删掉了xplog70.dll这个文件。不管它，先试试再说。写sql.asp内容如下:

　　自己先开防火墙，记录icmp数据包，然后在IE里执行:

　　这个ASP是通过动网论坛自己的上传程序上传机程序设定把上传文件都上传到up1Oad土mageS/这个目录里面，根据当前时间将文件重命名，所以文件名为439587438739・aSp这样的全数字组成。

　　防火墙没反应，晕!看来是删了Xp--CmdSheI1这个扩展，或直接删掉了Xp1Og70・d11这个文件。如果没有直接删掉Xp1Og70・d11，而只是删了这个扩展的话，我来试一下恢复这个扩展。再写个ASP:

　　然后再提交请求:

　　呵呵，我们的防火墙有反应了。来自www.target.com的icmp数据包被记录。看来没有问题了，通过这个ASP我们可以执行很多命令(第五大失败)，都是system权限，只不过没有回显，不是很完美。于是想得到一个交互式的she1l。写个反连的程序吧:

　　编译成a.exe然后上传上去先在本机用nc一个端口53，然后在IE里执行:

　　好了，到此为止，入侵基本上完成了，现在我们已经拿到了一个system权限的交互式shell，我们可以了。这个时候我们可以装一个后门，使得我们萄次进来不用这么麻烦，我以前写了一个US-BACKDOOR。使我们可以通过80端口来得到一个交互式的shell，且不影响，IIS程序本身的。正常运行。这个backdoor可以在我的主页上下载到。的几大失败使得我们每避一步人侵都取得了更多的权限，其实一个优秀的管理员完全可以避免这些。所以，一个小小的ASP程序错误都可以使你的服务器被Cracker。程序员们，该注意一下你们的程序了。针对前面我提到的几大失败，我稍稍总绪一下管理基本应该做到的地方:

　　(1)、不要使用已知漏洞非常多的ASP程序，特别是像动网比较低的版本这类，即使使用了，也要经常去论坛看看比较新的漏洞信息，及时打补丁或升级程序。

　　(2)、如果没有必要用到FSO，可以禁用。

　　(4)、尽量不要将数据库的密码以的形式放在ASP程序里面，可以使用数据源的形式来连接数据库。

　　(5)、一般用户应该用不到xp_crndshell这个扩展的，那么最好删掉xplog70.dll;尽量不要用sa这个用户。将sa的密码设复杂一些，可以另建一个用户，把权限调到最低。

　　后记

　　文中所提到的被的网站主并非一台在外面的裸机，而是通过防火墙映射的放置在内网的服务

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。