文/诸葛建伟 魏克
高招网站渗透测试案例分析
文/诸葛建伟 魏克
COST论坛由CCERT、《中国教育网络》杂志于2008年共同发起,采取会员制,面向个人,完全免费,以开放、平等、自由的互联网精神运作。如需获取COST技术论坛视频、录音等资料,请登录:http://www.cost.edu.cn/。
每年高考招生前后,都是高校网站安全性最受关注的时候。由于访问量的大量增加,以及高招录取工作的敏感性,高校网站,尤其是招生网站,往往吸引着大量怀有恶意目的的攻击者,实施网站挂马、敏感信息窃取等非法行为。今年高考期间,就曾出现过北京、天津等地高考考生信息泄露并在网上公开叫卖的情况,虽然信息泄露渠道尚未有权威的认定,但这无疑已经为高招网站的网络安全防护敲响了警钟。正式的高招录取工作一般都会在隔离的内网环境中进行操作,高考分数和录取信息的安全性还是值得信赖的。但各高校的高招网站仍承担着招生宣传、考生交流平台、录取信息公示等关键任务,而一旦高招网站的安全存在问题,被恶意攻击植入网页木马或钓鱼页面后,将会对考生的个人敏感信息构成泄露威胁。
为了能够对目前高招网站的安全状况和防护水平有一个更加实际的了解和掌握,中国教育与科研计算机网安全应急响应组(CCERT)在高招前夕对取得授权的3所高校的4个高招网站进行了全面深入的渗透测试,CCERT渗透测试小组对其中3所高校的3个高招网站都取得了不同程度的控制,其中1个网站已经遭遇“黑客潜伏”,实际渗透测试结果显示当前高招网站的安全形势仍然非常严峻,需要高校的网络安全管理部门与招生管理部门切实有效地落实网络安全防护责任、资源与措施,为广大考生建立起更令人放心的高招网站环境。
渗透测试(Penetration Test)对于国内的高校单位可能还比较陌生,而这种非常有效的安全评估机制已经广泛用于金融等安全需求较高的行业,然而由于服务费用及所需专业技术能力等问题,还尚未在中国教育网中得到有效的应用。渗透测试并没有一个标准的定义,目前的通用说法是:由资深安全工程师完全模拟黑客可能使用的攻击和漏洞发现技术,对目标系统的安全做深入探测,发现系统最脆弱的环节,渗透测试能够直观地让管理人员知道自己网络所面临的问题,以及安全隐患的危险程度。渗透测试又根据测试者对目标网络和系统的信息了解程度,分为白盒测试、灰盒测试与黑盒测试,根据测试者发起攻击尝试的位置分为外部测试与内部测试。而CCERT小组针对高招网站的渗透测试是在仅知晓目标网站域名的情况下,从互联网上远程发起的测试,因此属于外部黑盒测试,这也是与目前高招网站所主要面临的攻击威胁来源是一致的,因此能够反映出这些网站所存在的典型安全弱点与风险。当然,我们在渗透测试过程中是要保证目标网站的正常运行,不会使用过度频繁的扫描探测或可能导致拒绝服务的攻击方式。
针对网站系统的外部渗透测试一般分为如下四个阶段来进行:第一个阶段是信息收集,主要通过DNS查询、主机端口扫描等方式,对系统或服务进行辨识;第二个阶段,我们会从系统层,也就是网络服务这个层面上远程对网站服务器进行漏洞扫描和攻击,采用的技术包括远程漏扫、远程渗透攻击以及远程口令猜测;第三个阶段,我们会对网站Web应用层的一些漏洞进行扫描和攻击,包括对Web应用漏洞的扫描、验证,对Web管理后台中缺省和弱口令进行猜测和破译;第四阶段,我们将对之前发现的系统漏洞进行挖掘和利用,并尝试获取对网站的本地访问权,当然这个权限往往是受限权限,所以我们还会尝试对权限进行提升,以获得更进一步的控制权限。在完成渗透测试后我们将完全细致地“清理现场”,并为目标网站管理人员提供详细的渗透测试过程与结果报告文档,以帮助他们修补所发现的漏洞并增强网站的安全防护能力。
表 高招网站渗透测试目标与总体结果
CCERT小组在计划本次针对高招网站的渗透测试时,曾期望能够获得一个稍具规模的测试目标样本集合,我们与十多所北京的高校进行了联系,以获取到对这些高校高招网站进行渗透测试的授权。然而由于未能直接联系到部分高校负责高招网站运行的部门负责人,以及部分高校对接受渗透测试此类较为新兴的服务还心存疑虑,我们只取得了3所高校的授权,并对他们的4个高招网站进行了外部渗透测试。出于安全性与隐私权的考虑,我们对这3所高校的信息都进行匿名化处理,渗透测试目标和总体结果见表1所示。
针对这3所高校的4个高招网站,除了C校本校高招网站由于安全防护严密未能突破之外,CCERT小组获得了3个高招网站的后台管理权限,并进一步获得了C校分校高招网站所在服务器的系统管理员权限,同时发现该网站已被植入多款ASP木马程序,已被“黑客潜伏”。以下将对于B校与C校分校渗透测试案例进行详细描述,并分析高招网站典型的薄弱安全环节与影响后果。
(1) 信息收集
通过访问给定的B校招生网站域名,可以确认该高招网站是以虚拟站点方式架设在该校门户网站上,而该门户网站上同时架设了十多个其他虚拟站点,这种在一台网站服务器上同时部署大量站点的方式为攻击者留下了“旁注”的安全风险,即通过攻击其他站点漏洞或其他站点后台管理程序,从而获得对该站点的控制权。
我们在使用nmap对该网站服务器进行端口扫描时,发现一个非常令人意外的结果,整个服务器上开放的TCP端口达到了28个之多,其中还开放着TELNET、FTP、SMTP、rlogin、HP SMH、samba_swat等使用明文传输身份认证信息的不安全网络服务端口,通过端口扫描与服务辨识结果,我们可以认定该网站的前端并没有部署防火墙,而是直接暴露在互联网上。通过对操作系统的辨识,我们确定了这台服务器的型号和系统版本,为一台比较高端的64位HP-UX系统服务器,简单地通过服务查点与分析后发现,它基本上从2007年左右部署之后就没有进行过任何对操作系统、网络服务的升级和更新工作。
(2) 系统层漏洞扫描与渗透攻击
在确定出目标网站服务器的版本之后,我们通过系统层漏洞扫描工具OpenVAS对远程服务器进行扫描之后,发现了4个高危漏洞、18个中危漏洞以及56个低危漏洞,其中的4个高危漏洞分别存在于Apache服务、Sendmail服务、Samba_SWAT服务上。然而由于该服务器安装的是非常少见的64位HP-UX操作系统,渗透测试小组尝试搜索了针对这些漏洞的渗透测试代码,第一个漏洞未有公开的渗透测试代码,后3个漏洞则没有针对HP-UX平台的渗透测试代码,因此未能成功进行进一步的系统高危漏洞服务渗透测试,但这些存在的中高危安全漏洞仍然存在着被利用攻击的可能性,而其他拥有更多渗透攻击代码资源的攻击者或许可以通过这些漏洞来远程获得目标服务器的访问权甚至控制权。
由于该服务器开放着可以进行远程口令猜测的服务点,包括TELNET、FTP、HTTP、Samba_swat、rlogin/rsh和HP SMH服务等,渗透测试小组进一步使用了Brutus和Hydra工具尝试采用字典攻击对采用系统用户的TELNET、FTP、HP SMH等服务进行了远程口令猜测,但由于网络访问速度较慢,以及为避免对目标网站造成持久性的访问负载,并没有持续性的进行猜测攻击,也尚未有成功猜测出系统用户帐号口令。但可以肯定的是,耐心的攻击者可以通过长时间的远程口令猜测,来猜测出字典文件中存在的弱口令与强度不够的口令。此外,攻击者还可以结合对目标服务器管理员的社会工程学攻击获取到管理员的更多个人信息,并结合这些信息产生出针对性的猜测字典文件,从而提高口令猜测的效率。
(3) Web应用层漏洞扫描与渗透攻击
图 1 通过Oracle Application Server Control后台管理缺省口令获得网站部分控制权
在系统层漏洞扫描与渗透攻击没有得到显著成果时,渗透测试小组转入了Web应用层,而事实上Web应用层是目前网站系统最为薄弱的安全环节,针对B校高招网站的渗透测试又验证了这一点。
为了提升检测覆盖面,综合使用目前业界流行的Web应用漏洞扫描器AppScan和NetSpaker进行扫描,并对扫描结果进行了手工验证,此外,渗透测试小组还针对性地对目标网站上的敏感目录和扫描出的漏洞进行手工的发掘与分析。通过扫描与探测,我们除了发现网站Web应用程序存在着一些反射型跨站脚本漏洞可被利用攻击客户端浏览器之外,最严重的安全风险在于多个Web后台管理系统直接对网络用户直接开放,并设置了缺省口令和弱口令。其中,我们发现了 Oracle Application Server Control后台管理系统使用了缺省口令,通过缺省口令进入后可获得对网站应用服务的停止、启动等控制权限,以及可以修改网站应用服务的安全配置,从而打开允许目录浏览和代码源码查看等,此外我们可以从源码中获取SQL数据库位置与登录用户名口令等敏感信息。
至此,我们通过一个非常简单的后台管理系统缺省口令配置弱点,就获得了B校网站服务器的部分控制权。
(4) 本地提权攻击
由于我们未能获得在网站服务器上传文件和执行shell的权限,因此未进行进一步的本地提权攻击。
综合分析,这台服务器除了存在大量公开暴露并设置缺省口令与弱口令的后台管理系统,从而导致被渗透攻击获得部分控制权之外,还存在一些其他的安全弱点,包括开放大量的端口,并且没有部署网络防火墙与Web防火墙。由于该网站服务器操作系统类型比较罕见,所以我们在比较短的渗透测试时间里,没能实现更进一步的攻击,但是它存在大量远程口令猜测点,以及使用了大量的明文传输协议来进行身份验证,这很容易遭受远程攻击者的口令猜测,以及在同一网段里受到口令嗅探攻击。
(1) 信息收集
与B校高招网站类似,C校分校高招网站也是以虚拟站点方式,和其他大量网站一起架设在一台网站服务器上,同样存在着被“旁注”的安全风险。但与B校不同的是,C校分校高招网站的前端设置了网络防火墙的保护,使用端口扫描仅仅能够探测到开放在TCP 80端口上的HTTP服务。通过服务类型的辨识,可以确认使用了国内网站服务器最常见的Windows Server 2003/IIS 6.0/ASP.NET平台架构。
(2) 系统层漏洞扫描与渗透攻击
使用OpenVAS进行系统层漏洞扫描,显示C校分校网站服务器不存在任何高危和中危等级的安全漏洞,这说明网络防火墙对端口的限制,以及Windows自动化更新机制对防御系统层漏洞渗透攻击起到了应有的防御效果。
(3) Web应用层漏洞扫描与渗透攻击
渗透测试小组使用了AppScan和NetSpaker对C校分校网站服务器进行了漏洞扫描,并发现了其中多个可以被利用的高危漏洞,包括反射型跨站脚本漏洞、Ewebeditor网页编辑器任意网页内容修改漏洞以及PUT方法安全配置不当漏洞。Ewebeditor是一款著名的Web编辑器,由于功能强大,因此很多网站都使用它来作为一款编辑器。Ewebeditor控件虽然有一个后台管理员的会话认证过程,但是攻击者只要通过后面的网页编辑器链接地址,就可以绕过它的会话管理通道,任意修改网页内容,从而可以实施网页挂马或钓鱼等恶意攻击。而IIS 6.0服务器允许通过PUT方法和MOV方法进行文件上传和转移更为攻击者打开了渗透攻击的大门。利用该漏洞,我们就可以使用一些Web渗透工具,来进行上传ASP后门程序等攻击。通过上传的后门程序,渗透测试者就可以获取到网站服务器中的文件、数据库等敏感信息,并可以执行本地shell命令进行本地攻击,以及进行一些与网页木马相关的攻击。在本次测试中,我们通过上传一段ASP后门程序,对文件系统中的后台管理数据库进行下载和口令爆破,获得了后台管理员的口令。而通过这个口令,我们可以访问如图2所示的招生网站后台管理系统,在此就可以对招生网站内容进行任意的增加、修改和删除。
利用ASP目录,我们进一步获取了其招生录取数据库的所有信息,并可以随意修改数据库内容。可以说,我们已经对该招生网站进行了一次具有严重后果的攻击。
另外,在进行渗透测试的过程中,通过利用一些ASP木马程序的“查找木马”功能,我们发现了C校分校高招网站上,已经有大量的、可能分属于不同攻击团队的多个ASP木马后门程序。我们可以认定,这样一个招生网站已经被攻击者“潜伏”了,他们可以在任意时间,通过他们注入的ASP后门程序,去控制这个招生网站并实施攻击。
(4) 本地提权攻击
在上传ASP木马后门程序之后,我们已经获得了C校分校高招网站上的受限用户权限,但真正黑客并不满足于此,他们还会期望通过本地提权攻击获得系统管理员帐户权限。渗透测试小组使用了Metasploit开源项目中的Meterpreter本地攻击程序包,利用ASP木马上传至Web目录中,并使用CMD Shell命令功能进行执行,激活上传的meterpreter后门程序,提供反向连接的shell。通过Meterpreter的getsystem命令,利用其集成的MS10-015内核Trap处理提权漏洞就可以轻易地获取到目标服务器的系统管理员帐号权限,即获得了完全控制权,可以进一步使用meterpreter本地攻击程序包中的截屏、键击记录、文件读写等各种功能。
CCERT小组只是用了两周的时间,对取得授权的3所高校的4个高招网站进行了渗透测试,其中获取了3个高招网站的控制权,并发现其中1个网站可以被完全控制并已遭攻击者“潜伏”。虽然本次渗透测试的样本范围很小,但是仍然能够反映出一些国内高招网站普遍存在的安全问题,也揭示了现在高校高招网站的安全防护水平仍不够充分,面临着严峻的实际安全风险。渗透测试过程中发现的主要安全问题包括:
(1) 缺乏专业安全技术人员持续负责任的安全检查、加固和响应;
(2) 大量开放无必要的网络服务,一些网站管理后台未经限制直接向互联网开放;
(3) 提供了大量的远程口令猜测/嗅探点,一些管理后台设置了缺省口令与弱口令;
(4) Web应用服务器未经安全配置和漏洞扫描评估,未部署Web应用防火墙进行防护;
(5) 没有及时更新系统补丁。
当然,在这个过程中,我们也发现一些比较好的安全防护措施,这值得其他高校招生网站落实安全策略时进行参考与借鉴。
首先,应使用专门的服务器来架设高校招生网站,这样系统的安全性将会比较高,招生网站可以跟其他的Web应用分离,从而实现安全的隔离控制。
其次,防火墙部署严格的访问控制措施,对外仅开放必要的HTTP和HTTPS服务;或者像C校本校,在招生网站前部署实施Web应用防火墙,这样就使得我们的渗透测试很难发现和利用Web应用层上存在的安全漏洞。
第三,设置完善的口令,这样将增加攻击者远程对这个网络服务进行口令猜测的难度。同时系统应尽量减少或者不是用明文协议来进行口令传输,以保障用户口令的安全。
第四,对Web应用服务器需要进行完善的安全配置和漏洞扫描。网站的服务器系统需要及时地更新系统补丁,以保障系统本身的安全。
(作者单位为CCERT安全应急响应组)
天津大学与曙光公司共建云计算中心
6月30日下午,天津大学与曙光信息产业股份有限公司(以下简称曙光公司)合作共建“天津大学云计算中心”协议正式签订。“天津大学云计算中心”是曙光公司与天津高校合作共建的首个云计算中心。据悉,双方在此次合作过程中还将进一步探讨人才培养新模式,实现教学就业、企业发展的双赢。天津大学副校长冯亚青、曙光公司副总裁张岳平一行、先特公司董事长李永东一行出席了会议。
冯亚青代表天津大学对与曙光公司达成共建协议表示肯定,并就合作的具体事宜提出了三点要求:一是要加强统筹规划;二是要发挥比较优势,形成合力,提高发展质量;三是要关注云安全,为云计算健康发展提供良好环境。
曙光公司副总裁张岳平表示,随着曙光公司在云计算领域的不断发展,教育行业云计算中心的开拓将成为曙光公司未来的工作重点,此次与天津大学共建云计算中心是助力教育信息化建设的又一起点。
根据合作协议,曙光公司将为天津大学提供曙光最为先进的高性能计算机集群系统,构建面向校内的教学管理、科研计算的“云计算中心”,并启动“云计算中心”一期工程建设,建成后的云计算中心每秒运算速度达11万亿次。该项目计划在2011年10月建成并投入运行,向各院系提供科研计算服务。
据悉,天津大学向来重视科学领域的教学与研究,依托于雄厚的科研实力,始终聚焦国家重大战略需求、聚焦世界科技发展前沿,在科技研发方面取得了丰硕的成果。“十五”以来,共有25项成果获国家科技奖励,3项成果入选“中国高校十大科技进展”,329项成果获省部级科技奖励。天津大学科技园通过了教育部、科技部的验收,成为我国首批15个国家级大学科技园试点之一。因此此次云计算中心的建设将助力天津大学在科学研究与教育信息化建设方面再上一个台阶。
曙光公司已经帮助国内近百所高等院校实现了教育信息化。为了更好地推进中国信息化的全面发展,促进区域经济发展,全国区域的云计算中心建设已经成为曙光公司长远的战略目标,2011年曙光公司加快了区域云计算中心的全国布局,目前曙光公司已在成都、无锡、深圳等地投资建设云计算中心,为快速高效提升区域经济建设、丰富人们日常生活所需的信息资源,提供了坚实的科技保障。