高招網站滲透測試案例分析

文/諸葛建偉 魏克

高招網站滲透測試案例分析

文/諸葛建偉 魏克

COST論壇由CCERT、《中國教育網絡》雜志于2008年共同發起，采取會員制，面向個人，完全免費，以開放、平等、自由的互聯網精神運作。如需獲取COST技術論壇視頻、錄音等資料，請登錄：http://www.cost.edu.cn/。

每年高考招生前后，都是高校網站安全性最受關注的時候。由于訪問量的大量增加，以及高招錄取工作的敏感性，高校網站，尤其是招生網站，往往吸引著大量懷有惡意目的的攻擊者，實施網站掛馬、敏感信息竊取等非法行為。今年高考期間，就曾出現過北京、天津等地高考考生信息泄露并在網上公開叫賣的情況，雖然信息泄露渠道尚未有權威的認定，但這無疑已經為高招網站的網絡安全防護敲響了警鐘。正式的高招錄取工作一般都會在隔離的內網環境中進行操作，高考分數和錄取信息的安全性還是值得信賴的。但各高校的高招網站仍承擔著招生宣傳、考生交流平臺、錄取信息公示等關鍵任務，而一旦高招網站的安全存在問題，被惡意攻擊植入網頁木馬或釣魚頁面后，將會對考生的個人敏感信息構成泄露威脅。

為了能夠對目前高招網站的安全狀況和防護水平有一個更加實際的了解和掌握，中國教育與科研計算機網安全應急響應組（CCERT）在高招前夕對取得授權的3所高校的4個高招網站進行了全面深入的滲透測試，CCERT滲透測試小組對其中3所高校的3個高招網站都取得了不同程度的控制，其中1個網站已經遭遇“黑客潛伏”，實際滲透測試結果顯示當前高招網站的安全形勢仍然非常嚴峻，需要高校的網絡安全管理部門與招生管理部門切實有效地落實網絡安全防護責任、資源與措施，為廣大考生建立起更令人放心的高招網站環境。

滲透測試流程與方法

滲透測試（Penetration Test）對于國內的高校單位可能還比較陌生，而這種非常有效的安全評估機制已經廣泛用于金融等安全需求較高的行業，然而由于服務費用及所需專業技術能力等問題，還尚未在中國教育網中得到有效的應用。滲透測試并沒有一個標準的定義，目前的通用說法是：由資深安全工程師完全模擬黑客可能使用的攻擊和漏洞發現技術，對目標系統的安全做深入探測，發現系統最脆弱的環節，滲透測試能夠直觀地讓管理人員知道自己網絡所面臨的問題，以及安全隱患的危險程度。滲透測試又根據測試者對目標網絡和系統的信息了解程度，分為白盒測試、灰盒測試與黑盒測試，根據測試者發起攻擊嘗試的位置分為外部測試與內部測試。而CCERT小組針對高招網站的滲透測試是在僅知曉目標網站域名的情況下，從互聯網上遠程發起的測試，因此屬于外部黑盒測試，這也是與目前高招網站所主要面臨的攻擊威脅來源是一致的，因此能夠反映出這些網站所存在的典型安全弱點與風險。當然，我們在滲透測試過程中是要保證目標網站的正常運行，不會使用過度頻繁的掃描探測或可能導致拒絕服務的攻擊方式。

針對網站系統的外部滲透測試一般分為如下四個階段來進行：第一個階段是信息收集，主要通過DNS查詢、主機端口掃描等方式，對系統或服務進行辨識；第二個階段，我們會從系統層，也就是網絡服務這個層面上遠程對網站服務器進行漏洞掃描和攻擊，采用的技術包括遠程漏掃、遠程滲透攻擊以及遠程口令猜測；第三個階段，我們會對網站Web應用層的一些漏洞進行掃描和攻擊，包括對Web應用漏洞的掃描、驗證，對Web管理后臺中缺省和弱口令進行猜測和破譯；第四階段，我們將對之前發現的系統漏洞進行挖掘和利用，并嘗試獲取對網站的本地訪問權，當然這個權限往往是受限權限，所以我們還會嘗試對權限進行提升，以獲得更進一步的控制權限。在完成滲透測試后我們將完全細致地“清理現場”，并為目標網站管理人員提供詳細的滲透測試過程與結果報告文檔，以幫助他們修補所發現的漏洞并增強網站的安全防護能力。

表 高招網站滲透測試目標與總體結果

滲透測試目標與總體結果

CCERT小組在計劃本次針對高招網站的滲透測試時，曾期望能夠獲得一個稍具規模的測試目標樣本集合，我們與十多所北京的高校進行了聯系，以獲取到對這些高校高招網站進行滲透測試的授權。然而由于未能直接聯系到部分高校負責高招網站運行的部門負責人，以及部分高校對接受滲透測試此類較為新興的服務還心存疑慮，我們只取得了3所高校的授權，并對他們的4個高招網站進行了外部滲透測試。出于安全性與隱私權的考慮，我們對這3所高校的信息都進行匿名化處理，滲透測試目標和總體結果見表1所示。

針對這3所高校的4個高招網站，除了C校本校高招網站由于安全防護嚴密未能突破之外，CCERT小組獲得了3個高招網站的后臺管理權限，并進一步獲得了C校分校高招網站所在服務器的系統管理員權限，同時發現該網站已被植入多款ASP木馬程序，已被“黑客潛伏”。以下將對于B校與C校分校滲透測試案例進行詳細描述，并分析高招網站典型的薄弱安全環節與影響后果。

滲透測試案例分析－B校高招網站

（1) 信息收集

通過訪問給定的B校招生網站域名，可以確認該高招網站是以虛擬站點方式架設在該校門戶網站上，而該門戶網站上同時架設了十多個其他虛擬站點，這種在一臺網站服務器上同時部署大量站點的方式為攻擊者留下了“旁注”的安全風險，即通過攻擊其他站點漏洞或其他站點后臺管理程序，從而獲得對該站點的控制權。

我們在使用nmap對該網站服務器進行端口掃描時，發現一個非常令人意外的結果，整個服務器上開放的TCP端口達到了28個之多，其中還開放著TELNET、FTP、SMTP、rlogin、HP SMH、samba_swat等使用明文傳輸身份認證信息的不安全網絡服務端口，通過端口掃描與服務辨識結果，我們可以認定該網站的前端并沒有部署防火墻，而是直接暴露在互聯網上。通過對操作系統的辨識，我們確定了這臺服務器的型號和系統版本，為一臺比較高端的64位HP-UX系統服務器，簡單地通過服務查點與分析后發現，它基本上從2007年左右部署之后就沒有進行過任何對操作系統、網絡服務的升級和更新工作。

（2) 系統層漏洞掃描與滲透攻擊

在確定出目標網站服務器的版本之后，我們通過系統層漏洞掃描工具OpenVAS對遠程服務器進行掃描之后，發現了4個高危漏洞、18個中危漏洞以及56個低危漏洞，其中的4個高危漏洞分別存在于Apache服務、Sendmail服務、Samba_SWAT服務上。然而由于該服務器安裝的是非常少見的64位HP-UX操作系統，滲透測試小組嘗試搜索了針對這些漏洞的滲透測試代碼，第一個漏洞未有公開的滲透測試代碼，后3個漏洞則沒有針對HP-UX平臺的滲透測試代碼，因此未能成功進行進一步的系統高危漏洞服務滲透測試，但這些存在的中高危安全漏洞仍然存在著被利用攻擊的可能性，而其他擁有更多滲透攻擊代碼資源的攻擊者或許可以通過這些漏洞來遠程獲得目標服務器的訪問權甚至控制權。

由于該服務器開放著可以進行遠程口令猜測的服務點，包括TELNET、FTP、HTTP、Samba_swat、rlogin/rsh和HP SMH服務等，滲透測試小組進一步使用了Brutus和Hydra工具嘗試采用字典攻擊對采用系統用戶的TELNET、FTP、HP SMH等服務進行了遠程口令猜測，但由于網絡訪問速度較慢，以及為避免對目標網站造成持久性的訪問負載，并沒有持續性的進行猜測攻擊，也尚未有成功猜測出系統用戶帳號口令。但可以肯定的是，耐心的攻擊者可以通過長時間的遠程口令猜測，來猜測出字典文件中存在的弱口令與強度不夠的口令。此外，攻擊者還可以結合對目標服務器管理員的社會工程學攻擊獲取到管理員的更多個人信息，并結合這些信息產生出針對性的猜測字典文件，從而提高口令猜測的效率。

（3) Web應用層漏洞掃描與滲透攻擊

圖 1 通過Oracle Application Server Control后臺管理缺省口令獲得網站部分控制權

在系統層漏洞掃描與滲透攻擊沒有得到顯著成果時，滲透測試小組轉入了Web應用層，而事實上Web應用層是目前網站系統最為薄弱的安全環節，針對B校高招網站的滲透測試又驗證了這一點。

為了提升檢測覆蓋面，綜合使用目前業界流行的Web應用漏洞掃描器AppScan和NetSpaker進行掃描，并對掃描結果進行了手工驗證，此外，滲透測試小組還針對性地對目標網站上的敏感目錄和掃描出的漏洞進行手工的發掘與分析。通過掃描與探測，我們除了發現網站Web應用程序存在著一些反射型跨站腳本漏洞可被利用攻擊客戶端瀏覽器之外，最嚴重的安全風險在于多個Web后臺管理系統直接對網絡用戶直接開放，并設置了缺省口令和弱口令。其中，我們發現了 Oracle Application Server Control后臺管理系統使用了缺省口令，通過缺省口令進入后可獲得對網站應用服務的停止、啟動等控制權限，以及可以修改網站應用服務的安全配置，從而打開允許目錄瀏覽和代碼源碼查看等，此外我們可以從源碼中獲取SQL數據庫位置與登錄用戶名口令等敏感信息。

至此，我們通過一個非常簡單的后臺管理系統缺省口令配置弱點，就獲得了B校網站服務器的部分控制權。

（4) 本地提權攻擊

由于我們未能獲得在網站服務器上傳文件和執行shell的權限，因此未進行進一步的本地提權攻擊。

綜合分析，這臺服務器除了存在大量公開暴露并設置缺省口令與弱口令的后臺管理系統，從而導致被滲透攻擊獲得部分控制權之外，還存在一些其他的安全弱點，包括開放大量的端口，并且沒有部署網絡防火墻與Web防火墻。由于該網站服務器操作系統類型比較罕見，所以我們在比較短的滲透測試時間里，沒能實現更進一步的攻擊，但是它存在大量遠程口令猜測點，以及使用了大量的明文傳輸協議來進行身份驗證，這很容易遭受遠程攻擊者的口令猜測，以及在同一網段里受到口令嗅探攻擊。

滲透測試案例分析－C校分校高招網站

（1) 信息收集

與B校高招網站類似，C校分校高招網站也是以虛擬站點方式，和其他大量網站一起架設在一臺網站服務器上，同樣存在著被“旁注”的安全風險。但與B校不同的是，C校分校高招網站的前端設置了網絡防火墻的保護，使用端口掃描僅僅能夠探測到開放在TCP 80端口上的HTTP服務。通過服務類型的辨識，可以確認使用了國內網站服務器最常見的Windows Server 2003/IIS 6.0/ASP.NET平臺架構。

（2) 系統層漏洞掃描與滲透攻擊

使用OpenVAS進行系統層漏洞掃描，顯示C校分校網站服務器不存在任何高危和中危等級的安全漏洞，這說明網絡防火墻對端口的限制，以及Windows自動化更新機制對防御系統層漏洞滲透攻擊起到了應有的防御效果。

（3) Web應用層漏洞掃描與滲透攻擊

滲透測試小組使用了AppScan和NetSpaker對C校分校網站服務器進行了漏洞掃描，并發現了其中多個可以被利用的高危漏洞，包括反射型跨站腳本漏洞、Ewebeditor網頁編輯器任意網頁內容修改漏洞以及PUT方法安全配置不當漏洞。Ewebeditor是一款著名的Web編輯器，由于功能強大，因此很多網站都使用它來作為一款編輯器。Ewebeditor控件雖然有一個后臺管理員的會話認證過程，但是攻擊者只要通過后面的網頁編輯器鏈接地址，就可以繞過它的會話管理通道，任意修改網頁內容，從而可以實施網頁掛馬或釣魚等惡意攻擊。而IIS 6.0服務器允許通過PUT方法和MOV方法進行文件上傳和轉移更為攻擊者打開了滲透攻擊的大門。利用該漏洞，我們就可以使用一些Web滲透工具，來進行上傳ASP后門程序等攻擊。通過上傳的后門程序，滲透測試者就可以獲取到網站服務器中的文件、數據庫等敏感信息，并可以執行本地shell命令進行本地攻擊，以及進行一些與網頁木馬相關的攻擊。在本次測試中，我們通過上傳一段ASP后門程序，對文件系統中的后臺管理數據庫進行下載和口令爆破，獲得了后臺管理員的口令。而通過這個口令，我們可以訪問如圖2所示的招生網站后臺管理系統，在此就可以對招生網站內容進行任意的增加、修改和刪除。

利用ASP目錄，我們進一步獲取了其招生錄取數據庫的所有信息，并可以隨意修改數據庫內容。可以說，我們已經對該招生網站進行了一次具有嚴重后果的攻擊。

另外，在進行滲透測試的過程中，通過利用一些ASP木馬程序的“查找木馬”功能，我們發現了C校分校高招網站上，已經有大量的、可能分屬于不同攻擊團隊的多個ASP木馬后門程序。我們可以認定，這樣一個招生網站已經被攻擊者“潛伏”了，他們可以在任意時間，通過他們注入的ASP后門程序，去控制這個招生網站并實施攻擊。

（4) 本地提權攻擊

在上傳ASP木馬后門程序之后，我們已經獲得了C校分校高招網站上的受限用戶權限，但真正黑客并不滿足于此，他們還會期望通過本地提權攻擊獲得系統管理員帳戶權限。滲透測試小組使用了Metasploit開源項目中的Meterpreter本地攻擊程序包，利用ASP木馬上傳至Web目錄中，并使用CMD Shell命令功能進行執行，激活上傳的meterpreter后門程序，提供反向連接的shell。通過Meterpreter的getsystem命令，利用其集成的MS10-015內核Trap處理提權漏洞就可以輕易地獲取到目標服務器的系統管理員帳號權限，即獲得了完全控制權，可以進一步使用meterpreter本地攻擊程序包中的截屏、鍵擊記錄、文件讀寫等各種功能。

滲透測試結果分析與安全防護措施建議

CCERT小組只是用了兩周的時間，對取得授權的3所高校的4個高招網站進行了滲透測試，其中獲取了3個高招網站的控制權，并發現其中1個網站可以被完全控制并已遭攻擊者“潛伏”。雖然本次滲透測試的樣本范圍很小，但是仍然能夠反映出一些國內高招網站普遍存在的安全問題，也揭示了現在高校高招網站的安全防護水平仍不夠充分，面臨著嚴峻的實際安全風險。滲透測試過程中發現的主要安全問題包括：

（1) 缺乏專業安全技術人員持續負責任的安全檢查、加固和響應；

（2) 大量開放無必要的網絡服務，一些網站管理后臺未經限制直接向互聯網開放；

（3) 提供了大量的遠程口令猜測/嗅探點，一些管理后臺設置了缺省口令與弱口令；

（4) Web應用服務器未經安全配置和漏洞掃描評估，未部署Web應用防火墻進行防護；

（5) 沒有及時更新系統補丁。

當然，在這個過程中，我們也發現一些比較好的安全防護措施，這值得其他高校招生網站落實安全策略時進行參考與借鑒。

首先，應使用專門的服務器來架設高校招生網站，這樣系統的安全性將會比較高，招生網站可以跟其他的Web應用分離，從而實現安全的隔離控制。

其次，防火墻部署嚴格的訪問控制措施，對外僅開放必要的HTTP和HTTPS服務；或者像C校本校，在招生網站前部署實施Web應用防火墻，這樣就使得我們的滲透測試很難發現和利用Web應用層上存在的安全漏洞。

第三，設置完善的口令，這樣將增加攻擊者遠程對這個網絡服務進行口令猜測的難度。同時系統應盡量減少或者不是用明文協議來進行口令傳輸，以保障用戶口令的安全。

第四，對Web應用服務器需要進行完善的安全配置和漏洞掃描。網站的服務器系統需要及時地更新系統補丁，以保障系統本身的安全。

（作者單位為CCERT安全應急響應組）

天津大學與曙光公司共建云計算中心

6月30日下午，天津大學與曙光信息產業股份有限公司(以下簡稱曙光公司)合作共建“天津大學云計算中心”協議正式簽訂。“天津大學云計算中心”是曙光公司與天津高校合作共建的首個云計算中心。據悉，雙方在此次合作過程中還將進一步探討人才培養新模式，實現教學就業、企業發展的雙贏。天津大學副校長馮亞青、曙光公司副總裁張岳平一行、先特公司董事長李永東一行出席了會議。

馮亞青代表天津大學對與曙光公司達成共建協議表示肯定，并就合作的具體事宜提出了三點要求：一是要加強統籌規劃；二是要發揮比較優勢，形成合力，提高發展質量；三是要關注云安全，為云計算健康發展提供良好環境。

曙光公司副總裁張岳平表示，隨著曙光公司在云計算領域的不斷發展，教育行業云計算中心的開拓將成為曙光公司未來的工作重點，此次與天津大學共建云計算中心是助力教育信息化建設的又一起點。

根據合作協議，曙光公司將為天津大學提供曙光最為先進的高性能計算機集群系統，構建面向校內的教學管理、科研計算的“云計算中心”，并啟動“云計算中心”一期工程建設，建成后的云計算中心每秒運算速度達11萬億次。該項目計劃在2011年10月建成并投入運行，向各院系提供科研計算服務。

據悉，天津大學向來重視科學領域的教學與研究，依托于雄厚的科研實力，始終聚焦國家重大戰略需求、聚焦世界科技發展前沿，在科技研發方面取得了豐碩的成果。“十五”以來，共有25項成果獲國家科技獎勵，3項成果入選“中國高校十大科技進展”，329項成果獲省部級科技獎勵。天津大學科技園通過了教育部、科技部的驗收，成為我國首批15個國家級大學科技園試點之一。因此此次云計算中心的建設將助力天津大學在科學研究與教育信息化建設方面再上一個臺階。

曙光公司已經幫助國內近百所高等院校實現了教育信息化。為了更好地推進中國信息化的全面發展，促進區域經濟發展，全國區域的云計算中心建設已經成為曙光公司長遠的戰略目標，2011年曙光公司加快了區域云計算中心的全國布局，目前曙光公司已在成都、無錫、深圳等地投資建設云計算中心，為快速高效提升區域經濟建設、豐富人們日常生活所需的信息資源，提供了堅實的科技保障。