同济大学渗透测试报告.doc

同济大学渗透测试报告 评估人： Zvall 目标：同济大学 域名： 1.信息收集 收集 网站 子站 信息 为后续渗透做好铺垫 1.1 获取IP： 使用Ping得到IP address:上海 Ping 返回 Request timed out 不 排除有防火墙 WAF等包过滤的可能 1.2 Whois 查询得到： 网段: - 55 管理员联系: Cui , Zijun (ZC3-CN) +86-21-6598-9006 技术人员联系: Wang , Zhengping (ZW2-CN) +86 21ext. 2840 最后更新记录在 记录于 0 08 Mail:收集 Mail服务器： 采用是的：网易Coremail Java 写的 用xml的格式进行数据传递 利用xml解析漏洞 可能读取任意文件 邮箱收集： 碰过很多用邮箱前辍做密码的. qiche@ antli8899@163.com yangdyk@ xjzeng@ tousu@ rsc@ dxwg@ 100759@ xinxihua@ 3d@ wulirui@ xxgk@ helpdesk@ liushuyan@ gbt@ 092783@ 子域： 分布这个网段：-55 C段全部是WEB应用 同服网站： 2.IP 扫描 nmap -sS -sV -P0 -T4 -O -A -F -sC --version-light -v 80/tcp open http nginx 1.0.8 |_http-methods: No Allow or Public header in OPTIONS response (status code 405) |_http-title: \xE6\xAC\xA2\xE8\xBF\x8E\xE8\xAE\xBF\xE9\x97\xAE\xE5\x90\x8C\xE6\x B5\x8E\xE5\xA4\xA7\xE5\xAD\xA6\xE4\xB8\xBB\xE9\xA1\xB5 nix 只对外开放一个80 估计是Iptables策略 信息收集的差不多这后 由于主站只开放一个WEB应用 只好转战WEB上来： 1.3 Web服务评估： 1. 查找指纹 提交一个HEAD 返回： Request sent. 238 bytes HTTP/1.1 200 OK Server: nginx/1.0.8 Date: Fri, 10 Aug 2012 09:53:41 GMT Content-Type: text/html Connection: keep-alive Vary: Accept-Encoding 200 Request complete 用的nginx 存在一个解析漏洞 /images/logo_03.jpg/1.php jpg文件会当php代码执行 测试不存在 本以为主站服务器是Linux 当提交site: inurl:asp|php|jsp||aspx 发现居然是asp 看来服务器是Windows了 2.Web应用评估 首先使用Wet工具对镜点进行镜像 WGET　 -r -a ‘*.html,*htm’ 只包含html文件 因为方便查找HIDDEN字段 用findstr 找并没有找到HIDDEN字段 在SC目录下找到一个asp的网站 测试了也没存在漏洞 还调用了防注入程序 过滤GET POST COOKIE 提交过来的数据 主站无果 旁站也没有可拿到shell的漏洞 现在只好渗透分站了 Ip:: 此站服务器上只有一个站点 初步估计权限会很大 好提权 好吧 就它了 先测试注入 提交单引号：/clwww/shownews.asp?id=65’ 居然玩跳转： 爆露了所用WEB程序为：W78cms 如果直接跳转不用 Response.End 结束程序的话 我们仍可以注入 W78CMS存在一个上传漏洞： 分析下源码： Sub InitUpload() sType = UCase(Trim(Request.QueryString(type))) sStyleName = Trim(Request.QueryString(style)) sCusDir = Trim(Request.QueryString(c