重新登录Tomcat的管理界面,点击“Context (Admin)”这个链接,列出了WEB目录下的一些文件和目录的名称,现在就可以对Tomcat的Context进行管理,例如查看、增加、删除Context。
回到Tomcat的管理界,我发现了一个上传文件的组件,并且网站还有一个论坛。于是,我编写了一个input.jsp文件,并将它当作一般的Web 应用程序,通过上传的组件上传到对方的WEB目录里。打开input.jsp这个页面(图2)。
网页对查询窗体不会做任何输入验证,但是对用户名称的窗体则会。将数据填入窗体,来测试一下网页的漏洞,例子如下:
(1)将<script language="javascript">alert(document.cookie)</script>填入搜索字段,以便用XSS 来显示进程的cookie。
(2)将<iframe src=http://jakarta.apache.org></iframe>填入搜索字段来示范HTML 注入攻击。
通过这些方法,我得到了一些论坛的用户信息,当然,这些都是针对JSP做的一些测试,以验证Web应用程序中的所有输入字段。有了用户信息,却没有密码,怎么办?在登录时,我发现了一个8888端口,这会是个什么服务呢?
专家支招:在网页连接数据库的设计中,网页设计人员要加入对一些敏感符号的审核机制,屏蔽一些在数据库中有作用的符号,这可以在很大程度上成功防御注入攻击。
入侵第四步:攻其“软肋”
根据入侵的逐渐深入,系统存在的安全问题也渐渐清楚,下面就是针对网站的安全“软肋”进行攻击。一般针对安全“软肋”的攻击会使入侵成功。
打开地址后,我发现这个端口运行的是Apache+PHP。也就是说,这台主机还可以编译PHP。从经验分析来看,管理员在JSP主机上同时安装PHP的主要目的可能是为了管理MySQL数据库。因此,这个端口很可能有phpMyadmin这款MySQL数据库管理软件。这个端口上会不会有数据库管理目录呢?
果然不出我所料,在输入这个目录之后我发现,我进入了一个phpMyadmin的管理界面,可以对MySQL数据库进行任意操作。它支持从本地操作系统读入或者写入数据。更不可理解的是,管理员居然用root账户写在了数据库链接里面,想不控制这个数据库都不行了。
打开其中的一个数据库,在“SQL”中输入“SELECT * FROM `administer`”,administer表中的数据全部显示出来了。和我前面用JSP探测的用户类型大致一致。至于他们的表和数据的删改权限,现在则完全在我的掌握之中了。
专家支招:使用了一些软件的时候,我们尽量修改它的默认目录,将它改为一个不容易被猜解到的名字。同时在访问该目录的时候加入密码审核机制,就算入侵者找到了这个管理目录也无法获得进入目录的密码。
关注此文的读者还看过: