反向代理在Web渗透测试中的运用
在 一次Web渗透测试中,指标是M国的一个Win+Apache+PHP+MYSQL的站点,独立处理器,对外仅开80端口,站点前真个业务琐屑斗劲复杂, 颠末几天的测试也没有找到缝隙,甚至连XSS都没有发明,也未找到站点背景,在征集静态的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目 标、Internet、路由和国家区域中缀解析和判断,假如不经思索和判断地去入侵C段办事器,当你费全心理拿到某台办事器权限时,屡屡发明毫无半点用处,十分又是在 国外,ARP基础上都没甚么盼望,虽然内网渗入中又是另一回事。)
或许在渗入测试碰着这种情况时大多会选择僵持,在绝望的时候,我将指标长久转移到该站点域名注册商,因为领有域名注册商站点权限,最多或者修改指标站点 的域名赏析。突出情况入侵域名注册站点难度斗劲大,但并非没有盼望,在09年的时候,海外许多域名注册商的站点都具备缝隙。渗入阿谁域名注册商站点,过 程斗劲复杂,也没有新的妙技点,靠的就是精心和火暴,但最终照样取得到指标站点域名的解决账号和暗码,那么此时我们已知和已有的前提如下:
指标域名: www.91ri.org (虽然不是真的)
站点IP:1.1.1.1
环境:Win+Apache+PHP+MYSQL
已有权限:域名赏析权限,或者将 www.91ri.org 赏析就任何一个IP上
十分说明下,指标站点独霸的办事器,并非在域名注册商租用的,而是陈列在公司机房中,所以经过域名注册商站点,是不克不及解决到Web源码的,只能中缀域名赏析。
当领有域名赏析权限后,如何才取得指标站点的权限呢?
A:布局一个和指标十分相同的站点?今后将域名赏析到布局的站点?
B:独霸iis重定向?
这些法子都十分复杂被发明,并且也无法取得到权限,所以碰着这种场景的时候我们或者独霸反向代理,也是本文的重点。相熟反向代理已往,我做一个关于HTTP 代理的复杂引见, 代理罕用的是泛泛代理和反向代理:
泛泛代理: 为用户(客户端)提供代理,需要在客户端设置,好比在客户端浏览器中设置代理办事器IP和端口,实现配置后,用户或者经过代理办事器拜访互联网,代理办事 器相当于中间人的熏染。遵照代理办事器配置分歧,又或者将泛泛代理分为,几种分歧平安级此外代理,代理软件斗劲多,分歧的厂商有分歧的称谓和分级,突出情 况都包含以下三个级别,透明朝理、泛泛匿名代理和高匿名代理。
透明朝理:
REMOTE_ADDR = 代理办事器 IP
HTTP_VIA = 代理办事器 IP
HTTP_X_FORWARDED_FOR = 切实 IP
说明:独霸透明朝理,或者中缀静态交互,但不克不及暗藏本人切实IP,平安性越差,所以黑客突出不会独霸此类代理。
泛泛匿名代理:
REMOTE_ADDR = 代理办事器 IP
HTTP_VIA = 代理办事器 IP
HTTP_X_FORWARDED_FOR = 代理办事器 IP
说明:暗藏了切实的IP,但经过HTTP_VIA或者判断出你独霸了代理。
高匿名代理:
REMOTE_ADDR = 代理办事器 IP
HTTP_VIA = 没数值
HTTP_X_FORWARDED_FOR = 没数值
说明:或者暗藏切实IP,同时不会泄漏你可否独霸了代理,这种代理黑客屡屡斗劲恋情。
用户经过泛泛代理拜访Web,理论上用户并无直接拜访Web办事器,而是经过代理办事器作为直达,的示希图如下:
反向代理:是 为办事器提供代理缓和存,不需要在客户端。用户拜访站点,理论上并非直接拜访Web办事器,而是首先拜访反向代理办事器,假如乞求的是html/htm /gif/jpg等这些静态文件时,反向代理办事器直接前往后果,假如用户乞求是脚本如asp/php/jsp等形式时,反向代理办事器会将乞求转发给 Web办事器处理,再把后果前往给用户,从而经过缓存实现加快的成果。示希图如下:
Squid和Nginx是十分优良的反向代理软件,本文首要引见Squid,它支持Windows和Linux,因为指标站点环境是win,我这里独霸Win下的squid(独霸Linux也或者),配置法子如下:
Default
| 1234 | cachemgr.conf.defaultmime.conf.defaultsquid.conf.defaultsquid_radius_auth.conf.default(大约低版本这个文件不具备,假如没有就不必修改) |
复制并改名为:
Default
| 1234 | cachemgr.confmime.confsquid.confsquid_radius_auth.conf |
2.用文本编辑器打开squid.conf,需要修改的中央:
查找http_port 3128在反面减少一行
Default
| 1 | http_port 80 vhost |
查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在反面减少一行
Default
| 1 | cache_peer 1.1.1.1 parent 80 0 no-query originserver |
1.1.1.1为指标站点切实IP,80为端口
查找# TAG: visible_hostname在反面减少一行
Default
| 1 | visible_hostname volcano(利便定名) |
查找http_access deny all 在其负面加#将这一行解释掉,今后减少一行
Default
| 1 | http_access allow all |
3.独霸squid/sbin/squid.exe执行以下号令
Default
| 1234567 | squid -i -n 网站_squid #定名squid办事的新称谓squid -i #将squid办事加入到办事外表squid -r -n 网站_squid #删除指定称谓的办事squid -z #成立缓存目录squid -k parse #检测配置可否有效net start 网站_squid #带动squid -dx #当办事不克不及带动时,中缀调试 |
测试squid可否畸形:
拜访http://squid办事器ip
理论指向http://网站办事器IP
实现测试后,将指标域名赏析到squid办事器IP,站点以及效用彻底畸形,独一分歧就是ping前往的IP是squid办事器的IP,并非真实的Web办事器IP,只有站点畸形拜访,解决员也不会每每去ping。
颠末几个小时等待后,指标站点解决员登陆背景,在日志squid\var\logs\access.log便或者找到背景地点,背景目录文件名十分地长, 同时收获了许多迟缓的URL,筹备研究如何截取Cookie大约背景账号暗码时,背景xx_adduser.php具备外埠考据缝隙,直接削减解决员成 功,解决员和背景地点都有了,登陆后得胜拿到WebShell。
虽然,假如背景不具备这个缝隙,理当照样有设施或者弄到权限的,毕竟后果用户/解决员拜访的数据包城市颠末这台squid办事器,只不过会省事许多……
91ri.org:许多人拿到了域名权限后更恋情直接挂黑页,本文作者并无这么做,而是粗浅研究,做了一个反向代理并经过此来持续了他的渗入之路。本文思路挺赞的,这种经过反向代理来拿权限的文章照样斗劲少见的。文中讲的是背景的削减解决员的文件具备外埠考据缝隙,经过此缝隙拿到相熟决员权限。
切实我团体私家已往也有像研究过如何截取cookie或账号暗码,不过没研究出来,在这篇文章中也没有看到,照样有点灰心啊:( 不过照样很感谢作者为大师提供了这么一个挺好的思路,虽然这种法子的独霸情况并不多(因为域名权限不是那么好拿的,十分是国外的域名权限),不过照样或者作为一个思路mark一下的:)
