反向代理在Web渗透测试中的运用

在 一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单, 经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目 标、网络、路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在 国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事。)

也许在渗透测试遇到这种情况时大多会选择放弃,在绝望的时候,我将目标临时转移到该网站域名注册商,因为拥有域名注册商网站权限,至少可以修改目标网站 的域名解析。一般情况入侵域名注册网站难度比较大,但并不是没有希望,在09年的时候,国内很多域名注册商的网站都存在漏洞。渗透那个域名注册商网站,过 程比较繁杂,也没有新的技术点,靠的就是细心和耐心,但最终还是获取到目标网站域名的管理账号和密码,那么此时我们已知和已有的条件如下:

目标域名: www.91ri.org (当然不是真的)
网站IP:1.1.1.1

环境:Win+Apache+PHP+MYSQL

已有权限:域名解析权限,可以将 www.91ri.org 解析到任何一个IP上

特别说明下,目标网站使用的服务器,并不是在域名注册商租用的,而是放置在公司机房中,所以通过域名注册商网站,是不能管理到Web源码的,只能进行域名解析。

当拥有域名解析权限后,如何才获取目标网站的权限呢?

A:构造一个和目标非常相似的网站?然后将域名解析到构造的网站?

B:使用iis重定向?

这些方法都非常容易被发现,并且也无法获取到权限,所以遇到这种场景的时候我们可以使用反向代理,也是本文的重点。了解反向代理之前,我做一个关于HTTP 代理的简单介绍, 代理常用的是普通代理和反向代理:

普通代理: 为用户(客户端)提供代理,需要在客户端设置,比如在客户端浏览器中设置代理服务器IP和端口,完成配置后,用户可以通过代理服务器访问互联网,代理服务 器相当于中间人的作用。根据代理服务器配置不同,又可以将普通代理分为,几种不同安全级别的代理,代理软件比较多,不同的厂商有不同的称谓和分级,一般情 况都包括以下三个级别,透明代理、普通匿名代理和高匿名代理。

透明代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 真实 IP

说明:使用透明代理,可以进行信息交互,但不能隐藏自己真实IP,安全性越差,所以黑客一般不会使用此类代理。

普通匿名代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 代理服务器 IP

说明:隐藏了真实的IP,但通过HTTP_VIA可以判断出你使用了代理。

高匿名代理:

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 没数值

HTTP_X_FORWARDED_FOR = 没数值

说明:可以隐藏真实IP,同时不会泄露你是否使用了代理,这类代理黑客往往比较喜欢。

用户通过普通代理访问Web,实际上用户并没有直接访问Web服务器,而是通过代理服务器作为中转,的示意图如下:

反向代理:是 为服务器提供代理和缓存,不需要在客户端。用户访问网站,实际上并不是直接访问Web服务器,而是首先访问反向代理服务器,如果请求的是html/htm /gif/jpg等这些静态文件时,反向代理服务器直接返回结果,如果用户请求是脚本如asp/php/jsp等内容时,反向代理服务器会将请求转发给 Web服务器处理,再把结果返回给用户,从而通过缓存实现加速的效果。示意图如下:

Squid和Nginx是非常优秀的反向代理软件,本文主要介绍Squid,它支持Windows和Linux,由于目标网站环境是win,我这里使用Win下的squid(使用Linux也可以),配置方法如下:

复制并改名为:

2.用文本编辑器打开squid.conf,需要修改的地方:

查找http_port 3128在后面增加一行

查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在后面增加一行

1.1.1.1为目标网站真实IP,80为端口

查找# TAG: visible_hostname在后面增加一行

查找http_access deny all 在其前面加#将这一行注释掉,然后增加一行

3.使用squid/sbin/squid.exe执行以下命令

测试squid是否正常:

访问http://squid服务器ip

实际指向http://web服务器IP

完成测试后,将目标域名解析到squid服务器IP,网站以及功能完全正常,唯一差别就是ping返回的IP是squid服务器的IP,并不是真正的Web服务器IP,只要网站正常访问,管理员也不会时时去ping。

经过几个小时等待后,目标网站管理员登陆后台,在日志squid\var\logs\access.log就可以找到后台地址,后台目录文件名非常地长, 同时收获了很多敏感的URL,准备研究如何截取Cookie或者后台账号密码时,后台xx_adduser.php存在本地验证漏洞,直接添加管理员成 功,管理员和后台地址都有了,登陆后顺利拿到WebShell。

当然,如果后台不存在这个漏洞,应该还是有办法可以弄到权限的,毕竟用户/管理员访问的数据包都会经过这台squid服务器,只不过会麻烦许多……

91ri.org:很多人拿到了域名权限后更喜欢直接挂黑页,本文作者并没有这么做,而是深入研究,做了一个反向代理并通过此来继续了他的渗透之路。本文思路挺赞的,这种通过反向代理来拿权限的文章还是比较少见的。文中讲的是后台的添加管理员的文件存在本地验证漏洞,通过此漏洞拿到了管理员权限。

其实我个人之前也有像研究过如何截取cookie或账号密码,不过没研究出来,在这篇文章中也没有看到,还是有点失望啊:( 不过还是很感谢作者为大家提供了这么一个挺好的思路,虽然这种方法的利用情况并不多(因为域名权限不是那么好拿的,特别是国外的域名权限),不过还是可以作为一个思路mark一下的:)

参考:http://www.007hack.com/?p=770

http://lcx.cc/?i=3443

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。