這篇文章的目標(biāo)受眾是服務(wù)器管理員，網(wǎng)站管理員，安全愛(ài)好者和專業(yè)信息安全人員等，主要簡(jiǎn)單分析了一個(gè)主機(jī)服務(wù)器存在的一些風(fēng)險(xiǎn)。

讓我們來(lái)看看在一個(gè)共享的托管服務(wù)器上，你的網(wǎng)站不是那么安全的一些原因：

1，如果服務(wù)器上有任何一個(gè)網(wǎng)站被攻破，其它的網(wǎng)站可能也會(huì)面臨被攻破的可能;

2，惡意攻擊用戶可以從主機(jī)提供商購(gòu)買(mǎi)虛擬主機(jī)，然后達(dá)到入侵其它同服務(wù)器網(wǎng)站的目的;

3，虛擬主機(jī)沒(méi)有足夠的權(quán)限對(duì)apache、mysql等進(jìn)行安全加固設(shè)置;

從這篇文章中，希望能夠讓你了解一些黑客常用的入侵思路等，從而能更好的維護(hù)你的服務(wù)器安全。

反向IP查找

這個(gè)是信息收集階段必須要做的一件事情，通過(guò)方向IP查找快速的獲取服務(wù)器上其它網(wǎng)站的列表，為以后的滲透測(cè)試做準(zhǔn)備。

反向IP查找有幾種不同的方法:

a,通過(guò)免費(fèi)服務(wù)的網(wǎng)站

http://www.yougetsignal.com/tools/web-sites-on-web-server/

b,在linux環(huán)境下使用dig工具

用法：Dig –x +short

Example:

nx4dm1n@:~/pentest/$ dig -x 74.125.236.1 +short

下面是一個(gè)簡(jiǎn)短的shell腳本，會(huì)接收一個(gè)ip參數(shù)，來(lái)列出該服務(wù)器上的所有域名

#!/bin/bash

NET=$1

for n in $(seq 1 254); do

ADDR=${NET}.${n}

echo -e “${ADDR}\t$(dig -x ${ADDR} +short)”

done

chmod +x subnetscan.sh

./subnetscan.sh

c,使用搜索引擎來(lái)獲取域名列表;

查找服務(wù)器上運(yùn)行的cms程序

很多網(wǎng)站都是使用cms程序修改，或者二次開(kāi)發(fā)，這樣便于網(wǎng)站的制作等等。但是一些常見(jiàn)的cms往往存在一些安全漏洞，如果同服務(wù)器上有各種不同的cms，那么服務(wù)器的安全風(fēng)向?qū)?huì)是比較大的。

簡(jiǎn)單的查看服務(wù)器上的網(wǎng)站首頁(yè)源代碼和robotxs.txt文件，注冊(cè)登錄等UR列地址規(guī)則，很容易分辨出使用了哪種整站cms程序。比如：

wordpress首頁(yè)meta標(biāo)簽

Joomla首頁(yè)meta標(biāo)簽

這樣通過(guò)結(jié)合IP反向查找，來(lái)列出服務(wù)器上使用的所有cms列表。下面有一個(gè)perl腳本，可以接收一個(gè)ip參數(shù)，列出該IP上運(yùn)行的所有cms.是一個(gè)簡(jiǎn)單的cms指紋識(shí)別程序，可以通過(guò)增加更多的cms類型特征來(lái)判斷更多的cms程序。

入侵已知的CMS程序

可以通過(guò)sebug.net,wooyun.org,exploit-db.com來(lái)查找已知cms的0day等等。假如發(fā)現(xiàn)服務(wù)器上有運(yùn)行wordpress，我們可以使用wpscan來(lái)入侵滲透：

1，列出wordpress使用的所有插件名稱;

2，列出wordpress使用的主題名稱;

3，程序主題中是否有使用TimThumbs等;

4，枚舉所有的用戶名;

如果wordpress后臺(tái)登錄未使用額外的驗(yàn)證信息， 很容易可以通過(guò)wpscan來(lái)暴力破解一些簡(jiǎn)單的密碼：

登錄后臺(tái)之后，可以通過(guò)主題上傳安裝來(lái)輕易的獲取webshell。wordpress可以允許上傳zip格式的主題進(jìn)行安裝，降一句話或者進(jìn)行加密處理過(guò)的webshell拷貝到主題目錄，然后重新壓縮成zip格式，上傳之后進(jìn)行安裝，webshell路徑就是:wp-content/themes/主題名稱/xxx.php.

php webshell往往有使用system(),shell_exec(), exec()等常見(jiàn)的一些系統(tǒng)功能函數(shù)，如果這些沒(méi)有在系統(tǒng)上進(jìn)行加固設(shè)置，是可以執(zhí)行一些簡(jiǎn)單的linux命令的:

uname –a

Linux studio4 2.6.18-274.12.1.el5 #1 SMP Tue Nov 29 13:37:46 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

id

uid=48(apache) gid=48(apache) groups=48(apache)

Cat /etc/passwd

/etc/passwd默認(rèn)都是可讀的，所以即使沒(méi)有root權(quán)限，也可以通過(guò)該文件了解服務(wù)器上所有的用戶名稱等信息。

bruce:x:502:502::/home/bruce:/bin/bash

通過(guò)一個(gè)共享的主機(jī)服務(wù)器，不同的網(wǎng)站都有對(duì)應(yīng)的用戶和對(duì)應(yīng)的根目錄，對(duì)應(yīng)網(wǎng)站的文件都會(huì)存在自己所對(duì)應(yīng)的目錄下。

/etc/valiases

此文件將存儲(chǔ)在服務(wù)器上運(yùn)行的所有網(wǎng)站及其相應(yīng)的/etc/passwd文件中的用戶帳戶的名稱之間的映射。假設(shè)攻擊者通過(guò)反向IP查找知道服務(wù)器有存在網(wǎng)站nxadmin.com，但是攻擊者不知道該網(wǎng)站所有權(quán)是屬于哪個(gè)用戶，可以通過(guò)使用如下命令來(lái)查看該網(wǎng)站對(duì)應(yīng)的用戶信息。

ls /etc/valiases/nxadmin.com

-rw-r—– 1 bruce Mar 9 16:14 /etc/valiases/nxadmin.com