[渗透测试] 旁注攻击
2015-07-13 17:35
211 查看
旁注攻击即攻击者在攻击目标时,对目标网站“无从下手”,找不到漏洞时,攻击者就可能会通过具有同一服务器的网站渗透到目标网站,从而获取目标网站的权限。这一过程就是旁注攻击的过程。
攻击者在进行旁注操作时,一般都会与提权技术结合在一起,旁注与提权是密不可分的。
一、服务器端Web架构
旁注攻击多数放生在中小型网站中。另外,一些企业用户也可能将OA、官方网站等系统放置于同一服务器。
A,B,C三个网站都在同一个服务器中,其中A,B使用同一个MySQL数据库,C单独使用Oracle数据库。
假设A是安全的,那么可通过攻击B得到数据库的root权限,这样A的数据可能会被泄露,C不会受到此类影响。但攻击者可能通过数据库提权的方式获取服务器的管理员权限。
当大型网站有很多子域名时,可能存在旁注攻击的风险。
二、IP逆向查询
许多网站提供了基于IP到网站的逆向查询功能,例如http://www.yougetsignal.com/tools/web-sites-on-web-server/
http://tool.chinaz.com/Same/ http://dns.aizhan.com/ http://www.114best.com/ip/
原理:调用必应搜索引擎的接口来抓取:http://cn.bing.com/search?first=条数&count=每页显示条数&q=ip:服务器IP
三、SQL跨库查询
即SQL旁注,是管理员没有分配好数据库用户权限所导致的问题。
例如,在服务器中存在网站“http://www.xxser.com”(安全)与“http://www.secbug.org”(不安全)
将HTTP请求保存为secbug.txt,并且使用SQLMap “-r”与“--dbs”参数注入,结果如下:
四、目录越权
服务器上有A,B,C三个网站,攻击者已经获取了B网站权限,并且已经上传Shell,如果目录权限未分配好,那么攻击者就可以直接进行目录越权,将Shell写入A和C的网站中。
攻击者攻击目标网站,但找不到后台登陆地址,则可以先拿到同服务器下其他网站的目录读取权限,如果存在目录越权,就可以查找目标网站的后台。
五、构造注入点
构造存在SQL注入的网页,利用sqlmap对其进行利用。例如,SQL Server注入点如果是DB_Owner权限,就可以进行数据备份,将shell备份到指定的目录,如果权限足够大,就可以提权。
六、CDN
即内容分发网络。
服务器使用CDN之后,真实的IP就会隐藏起来,攻击者无法找到目标主机的IP,也就无法进行旁注攻击。
CDN工作原理:将原服务器上可以缓存的文件(静态文件、图片、JS、CSS等)下载到缓存服务器,当用户访问你的域名时,将会访问缓存服务器,而不是直接去访问源服务器。
攻击者可以直接攻击CDN节点造成网站无法访问,也可以用如下方法搜集真实IP地址:
1 子域名:网站仅仅对主站进行了CDN,而子域名却忽略了,此时如果其与主站放在同一个服务器下,则会暴露IP
2 观察IP变化:这种方法可能会猜测出服务器的真实IP,例如“http://toolbar.netcraft.com/”
攻击者在进行旁注操作时,一般都会与提权技术结合在一起,旁注与提权是密不可分的。
一、服务器端Web架构
旁注攻击多数放生在中小型网站中。另外,一些企业用户也可能将OA、官方网站等系统放置于同一服务器。
A,B,C三个网站都在同一个服务器中,其中A,B使用同一个MySQL数据库,C单独使用Oracle数据库。
假设A是安全的,那么可通过攻击B得到数据库的root权限,这样A的数据可能会被泄露,C不会受到此类影响。但攻击者可能通过数据库提权的方式获取服务器的管理员权限。
当大型网站有很多子域名时,可能存在旁注攻击的风险。
二、IP逆向查询
许多网站提供了基于IP到网站的逆向查询功能,例如http://www.yougetsignal.com/tools/web-sites-on-web-server/
http://tool.chinaz.com/Same/ http://dns.aizhan.com/ http://www.114best.com/ip/
原理:调用必应搜索引擎的接口来抓取:http://cn.bing.com/search?first=条数&count=每页显示条数&q=ip:服务器IP
三、SQL跨库查询
即SQL旁注,是管理员没有分配好数据库用户权限所导致的问题。
例如,在服务器中存在网站“http://www.xxser.com”(安全)与“http://www.secbug.org”(不安全)
POST /user/login.php HTTP/1.1 Host: www.secbug.org Content-Length: 53 Origin: http://www.secbug.org User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Accept-Language: zh-CN,zh;q=0.8 Cookie: _jkb_10667=1 username=admin&pasword=123456&sub=%E7%99%BB%E9%99%86
将HTTP请求保存为secbug.txt,并且使用SQLMap “-r”与“--dbs”参数注入,结果如下:
available databases [9]: [*] dedecmsv57gbksp1 [*] dvwa [*] hacker [*] information_schema [*] secbug [*] mysql [*] test [*] wordpress [*] xxser可以看到SQLMap列出了所有的数据库
四、目录越权
服务器上有A,B,C三个网站,攻击者已经获取了B网站权限,并且已经上传Shell,如果目录权限未分配好,那么攻击者就可以直接进行目录越权,将Shell写入A和C的网站中。
攻击者攻击目标网站,但找不到后台登陆地址,则可以先拿到同服务器下其他网站的目录读取权限,如果存在目录越权,就可以查找目标网站的后台。
五、构造注入点
构造存在SQL注入的网页,利用sqlmap对其进行利用。例如,SQL Server注入点如果是DB_Owner权限,就可以进行数据备份,将shell备份到指定的目录,如果权限足够大,就可以提权。
六、CDN
即内容分发网络。
服务器使用CDN之后,真实的IP就会隐藏起来,攻击者无法找到目标主机的IP,也就无法进行旁注攻击。
CDN工作原理:将原服务器上可以缓存的文件(静态文件、图片、JS、CSS等)下载到缓存服务器,当用户访问你的域名时,将会访问缓存服务器,而不是直接去访问源服务器。
攻击者可以直接攻击CDN节点造成网站无法访问,也可以用如下方法搜集真实IP地址:
1 子域名:网站仅仅对主站进行了CDN,而子域名却忽略了,此时如果其与主站放在同一个服务器下,则会暴露IP
2 观察IP变化:这种方法可能会猜测出服务器的真实IP,例如“http://toolbar.netcraft.com/”
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 