Focus on Penetration Test

exploit

2009-05-13T10:24:00.001+08:00

exploit积累真的很重要

substring and benchmark

2009-05-01T10:52:00.008+08:00

这几天碰到一个用zen cart架设的站，版本为1.3.7. 去cn官网和com官网分别看了下，然后down了两个不同版本不同语言的源码回来。因为在网上找到一些信息，有一个sql injection < 1.3.8a存在。不过网上只透露了该漏洞存在的文件和代码，关于利用，只有一句sql查询：
products_id[-99' UNION SELECT IF(SUBSTRING(admin_pass,1, 1) = CHAR(97),BENCHMARK(1000000, MD5(CHAR(1))), null),2 FROM zencart_admin/*]

开始时没注意到，发现漏洞的人substring的是admin_pass，还以为是admin_name，想想如果admin_name的第一个字符ascii值为97，也就是为a，则benchmark一下，估计有希望，就开始测试。妈的，测试了才发现，完全是扯淡嘛！

启明星辰漏洞公告里写的还什么黑客可以利用进行恶意sql查询或控制数据库…… 我真想骂他，你来个试试看？

admin_pass是md5加密后放在数据库里的，即使通过benchmark延时的方法能够猜出来admin_name，但是admin_pass的32位hash呢？那不是几乎等于暴破了吗？更何况对方的表前缀还不一定是什么呢, zen_ ? zencart? 又或者是完全自定义的……

结论：猜admin_name的命中率完全等于攻击者的人品，而猜admin_pass的命中率为16*32次，每一位要猜16次，不过按照正态分布来看的话，平均每一位字符猜8次命中，那么也需要8*32次。

因此，该漏洞行不通，纯属鸡肋。不过通过这个我倒是想到了另外一点，就是无论如何，sql注入（注射）工具都无法替代手工。因此，渗透测试的自动化工具，甚至是框架，都是不可能的。

思维

2009-04-24T09:36:00.006+08:00

看到很多招渗透测试人员和职业黑客的信息上都写着：
1.掌握黑客工具和攻击手法

我认为，工具的使用和攻击方法的掌握，都可以在短时间内完成。最重要的并不是某个时刻技术水平的高低，或各种工具的熟练程度，也不是认识的大牛数量多少。而是攻击时候的思维。

在准备对一个目标发起攻击之前，脑中一定要有一个极具创造力和想象力的思维，从宏观到微观。这种思维绝不是一朝一夕可以通过学习或是培训获得的。倘若将来某一天我有幸去招人，我会直接通过思维方式来判断被招聘人员实力的高低。

还有一点，就是渗透到一定程度的时候会发现，不深入操作系统内部机制是没办法提升自己的。

Sth about Network Security Fields in our country

2009-04-23T21:19:00.004+08:00

转载自cisps.org

最近遇到客户谈渗透测试，这里也谈谈我对渗透测试的认识：渗透测试服务是安全服务领域的一块特别的土地，各家公司都会进来刨刨土，却也没见开垦出什么象样的田地来，不过，大伙也没太把这当一回事，做不好也不丢人。这其实反映出公众、用户、尤其是安全从业人员对渗透测试的认识还不够。

说说常见的情况：
1.最初级的，招一两个Script kid就去做渗透测试服务了，但只能渗透一些简单的目标
2.好一点的，有个别技术好的，手头有一些exploit积累，能渗透一些有难度的目标
3.稍好一些的形成了一个pentest team，形成有文档、流程、工具
4.再进一步，有专职的渗透技术研究人员或组织，能知识共享与转化

渗透测试不只是技术，对于安全公司来说还应认识到更多，比如：
1.人员组织：有管理高层的领导、项目经理等角色
2.投入：投入资金建立渗透实验室、人员培训
3.管理：渗透实验室管理、渗透团队管理、渗透项目管理
4.理论框架研究：探索有效的指导理论，形成和丰富其框架、方法
5.知识管理：积累、整理渗透知识技术经验，总结提升共享

如果高层对渗透测试有深入认识，并加以投入的话，一支优秀的渗透团队将是安全公司最有价值的无形资产。遗憾的是，还没有看到国内存在这样的团队。

贴个图

2009-04-18T11:37:00.003+08:00

为什么没有看到绿盟，华为，H3C以及卫士通等我所知道的中小型公司呢？这个市场份额主要是指安全硬件产品，安全软件产品，还是安全服务？瑞星也能上，个人电脑安全居然也作为评判安全公司市场份额的因素，有点汗颜。

如何能达到70%命中率？

2009-04-16T14:59:00.003+08:00

前几天在cisps.org论坛上看到一位前辈，他在为国内各类型企业和政府做渗透测试，安全评估的时候居然能够在不使用0day的情况下使命中率达到70%，着实让我吃了一惊。这是一种什么概念？

随着渗透目标的难度越来越大，我的命中率呈直线下降，以前积累的知识和技能此时几乎都派不上什么用场，只能靠经验获得一些敏感信息或者是发现几个鸡肋级别的漏洞。至此over.

哎，看来需要一种爆发的力量，需要一种能够变鸡肋为成功利用的修为。

Tip2 of Penetration Test

2009-04-12T06:42:00.003+08:00

上次说到了虚拟主机和IDC环境下的渗透测试，以及web层面最有效的攻击思路。这次就主要针对独立服务器以及公司(企业)网络来谈谈自己的认识。

独立服务器和公司网络
国内黑客门户网站上那些经常做动画教程，写黑客入门文章的，经常说到是“虚拟主机好呀，我们实在不行可以旁注。独立服务器就不好搞了……”我不敢苟同。其实相对于专业的IDC，公司网络的难度还稍低一些。当然，这具体还取决于我们进行渗透测试的目的，是获得对方网站的权限就足够，还是要尽可能打进内网，或者是攻陷对方的数据库服务器，又或者是获得对方内部的网络部署方案等等。目的不同，难度自然也就不同。

根据公司的性质，我们可以把网络环境大体分为：电信类公司（华为，中国移动），运营商类公司（腾讯，网易），网游类公司（盛大，九城），软件公司（金山，巨人），金融类（XX银行）等。

由于公司的性质不同，主营业务不同，它们的整体网络安全状况也参差不齐（至于非技术层面的信息泄露，诸如物理安全，人为疏忽等信息安全的其他方面此处不说）。因此，我们在进行实际的渗透测试过程中，需要根据目标公司的业务逻辑去判断对方的外围安全部署情况，才能做好有的放矢，不至于盲人摸象。

我有两位朋友，一位是网络工程师，另一位是系统工程师。毫无疑问，他们是典型的科班出身。不仅如此，他们还是从hacking逐渐步入的目前职业。偶尔闲下来的时候我也乐于同他们交流心得。因此能够有幸了解管理员的职责和艰辛。当然，能够增进对彼此所从事工作的技术方面的了解，共同提高才是最重要的。

先来说说那位系统工程师。学生时代，他也成立过自己的网络安全小组，也有做很多动画教程和hacking文章，更少不了在某黑客杂志上发表文章。毕业后曾就职于某家网游公司，后来跳槽至一家著名的互联网公司，负责某分支部门的运营工作，目前的职位应该是运维部的主管。说到这，我再次想起了那些孜孜不倦在黑客门户网站上发表自己动画教程和入门文章的“同行”们。真正有技术能力的人都会有一份相当满意的工作，绝不会闲到去做什么动画教程。随便从一家像样点的公司找几位管理员出来，轻松放翻10个这样的“同行”。

在我刚才提到的几类公司中，由于他们的业务是不可中断的。可靠性，安全性，稳定性是绝对必要的，所以，网络工程师和系统工程师，加上数据库管理员等等运维部门的全部，以及安全部门中的应急响应分部，都是24小时不间断工作的。基本是12小时两班倒，全天候监控业务的运营状态，随时应对任何可能出现的突发状况。

当然，人力毕竟是有限的。在24小时不间断监控中，需要借助各种硬件和软件的帮助。在这样的网络结构中，必然会存在有着严格ACL的边界路由器，防火墙，各大安全公司的核心安全设备等。任何时候只要有攻击者做出除常规的端口扫描和web尝试以外的操作，我们可爱的IDS和IPS就会立即做出联动响应。然后在几乎坚不可摧的log中记录下来每一条操作记录。注意，刚才这些动作几乎不需要管理员的任何人工干涉。

假如，攻击者利用某些技巧绕过了IDS和IPS漏洞库中的应用规则，或是用0day干掉了某台DMZ区的服务器。但是还有边界路由器和防火墙双重ACL的严格保护，攻击者想要获得某台服务器的系统权限就已经是难上加难了。

再假如，攻击者利用某些非公开的攻击手法取得了DMZ区某台服务器的系统权限，试图进一步突破，打入内网。这个时侯，我们的内网管理系统及安全监控系统就派上用场了。你说：攻击者会读取并尝试破解当前服务器管理员的登陆密码？很遗憾，即使同一个管理员，对他负责的每一台服务器的密码也都是不同的。你很好奇他怎么能够记得住。不幸的是，管理员们自然有自己多年总结的技巧和经验能够让他们记得住。你又说：攻击者可以在服务器上进行嗅探。同样很遗憾，任何一个内网监控系统都会对网络流量做24小时监控，只要高出管理员设定的阈值就会报警。这种方法只会让你已获得的服务器丢失的更快。你又说：攻击者可以尝试诸如ms06040,ms08067这样的强力内网溢出。嗯，这种办法的确比较难防，因为由于业务的不可间断性，内网的服务器打补丁的延迟时间通常很久。但是，如果你好不容易打进的一个网络全部都是*nix服务器呢？恐怕就不是几个溢出可以搞得定的。

断断续续讲了这么多，也就是自己的一点小小心得吧。希望能够给从事渗透测试的朋友些许的帮助和指引。尤其是道德和法律上的，希望不会再有那么多浮躁的小“同行”们进行不合法的渗透和攻击。

Tip1 of Penetration Test

2009-04-10T16:01:00.005+08:00

在进行渗透测试的过程中，我们时常会遇到不同平台的架构，以及由目标性质而决定的不同的web application。当然，更少不了一个易于探测和理解，或是很难有所发现的网络结构。

下面，我就以最近的实际经验总结一些技巧，方便自己，同时，也希望能给各位朋友些许的帮助。

虚拟主机和IDC
在这种大环境下，首先尽量获取IDC的官网，从而尽可能多的了解该IDC的资产状况，网络/安全设备，服务器软硬件配置情况。根据获得的信息可以对目标网站所在的服务器，以及服务器所处的网络环境有一个相对清晰的认识。接着，不要急着直接对目标网站实施攻击，甚至连信息收集都可以先放着。我们现在需要做的，应该是对目标网站所在服务器的C段的80，8080端口进行banner收集，然后大体分析服务器的网站分布情况，看看都是些什么类型的网站，各服务器所安装的虚拟主机管理系统是否一样，操作系统类型和版本是否相同，总之尽量进行对比。

经过以上这些操作，我们已充分了解目标服务器的宏观环境了。接下来，我们可以对这整个C段进行一次端口扫描，根据端口开放信息或者banner的反馈情况，就可以大体知道IDC的安全意识和技术能力。然后，再对这整个C段进行关键服务，比如ftp,telnet,smtp,finger,mssql/mysql等的弱口令猜解。当然，实施这一步操作的目的并不是指望能够凭借一个弱口令打进内网，然后直取目标。实际上，这步操作的目的还是对IDC各管理员的尽职程度以及技术能力进行评测。从而更进一步的了解我们的对手。

到这里，可能有些朋友会认为我的流程顺序完全是扯淡。没关系，继续看！

倘若经过以上全部操作，我们都没有任何中等程度的发现，而且都是清一色的*nix操作系统。那么我的做法，通常就是直接放弃了。因为，根据这些信息，完全能够知道对方管理员的技术水平层次，而虚拟主机的权限划分本来就相当严格，即使能够获得目标网站的webshell，也不一定有网页的修改权限，提权就更不可能。什么旁注啊，同网段嗅探啊，自然通通over。这也是为什么我不直接从网站下手而从IDC这个大体环境入手的原因所在。否则，我们花了3天，甚至于半个月的时间好不容易啃下来一个网站，结果发现根本无法提权（0day除外），甚至于连修改网站的权限都没有，那不是要哭死……

我碰到过两家典型的IDC，主机名开头全部是以公网IP的最后一个字节加服务器性质命名的，比如srv22,db33这样的。第一家IDC还好，服务器做了统一规划，全部的标配，http服务和database服务都在同一台服务器。第二家IDC就有点夸张，比如一个C段120台有效服务器，60台统一的web服务器，而另60台则统一的数据库服务器，完全的web与数据库分离，更不用说，数据库服务器显然做了ACL，web服务器的SSH也做了ACL。这样子基本上就没得搞了:(

web层面
有一点可以肯定，web hacking是最有效，也是最直接的渗透测试手法。在安全产品和安全软件越来越多的今天，远程溢出早已失去了往日的风采，当然，用来找找肉鸡还将就。呵呵，我不是故意贬低那些fuzzer，但是，一个市场占有率40%以上的软件的远程溢出0day的价格，恐怕不是一般的渗透测试团队或者黑客团体可以承受得起的。显然影响了远程溢出在渗透测试中所占的影响力和普遍程度。

话题扯远了 -_- 通常来说，我们的目标网站所采用的webapp有以下几种情况：

免费开源的webapp
成熟的商业webapp（广泛应用）
专业网站开发公司定制开发的
公司自己的开发部开发的

因此，针对不同类型的网站，不同的webapp，我们就需要：以不变应万变。

免费开源的webapp依据其所在国家和流行度，存在不同数量的公开可用exp或0day。针对这样的情况，首先，我们根据目标网站所采取的版本去搜索相应的exp来进行测试，如果没有公开可用的，或者没有针对目标版本的。那如果你技术实力够强，可以自己下一套来审计，看能不能挖几个洞出来。小弟我水平有限，一般是联系职业的web代码审计人士帮忙。

成熟的商业webapp由于其较为通用，而且不开放源代码，所以网上基本不会出现公开的exp。我们只能尽自己最大可能去黑盒测试一下，人品好的话或许可以找到可利用的东西。人品不好的话就只有放弃该webapp了。

专业网站开发公司为目标网站定制开发的这种，我们仍然是先从网站开发公司的官网入手，去尽可能多的了解该webapp的目标市场和技术成熟度，以及其通用性。由于环境因素，很可能在某种平台下出现一些预料外的“惊喜”。总结起来就是一句话：黑盒加侧面打击。如果黑盒不出来什么东西，我们可以从网站开发公司的官网上随便找几个类似于“典型案例”进行攻击，通过其他手段拿到该webapp的源码，然后进行审计。

有的时候我们的目标是某个公司的网站，而稍微大一点的IT公司都有自己的开发部门。遇到这种情况，我们就只能黑盒了，不过黑盒一般都能搞下来。除非是mcafee,symantec,microsoft,yahoo,google这样拥有世界一流网络安全的公司。

Professional IDC in Japan

2009-04-09T16:27:00.007+08:00

工作之余我喜欢随便浏览一些日本网站，了解一下日本“朋友”的网络发展状况。这不，今天就让我发现一家相当专业的IDC，人家不仅价格便宜，质量上乘，服务更是没得说。国人还是要继续学习，提升自己啊！

图1：IP,服务器软硬件配置

图2：管理方式以及服务

图3：价格和质量

呵呵，如果侥幸能够找到一个通用(该IDC)漏洞，从而黑掉其中一台服务器，那么该公司的全部服务器，也就一整个C段吧，就全部over了。我对这个C段的80端口共254台主机进行了banner收集，结果全部为“Apache”，连版本信息都没有。不过令人尴尬的是居然能从IDC网站直接获得其版本信息。

对方提供的价格一个月500日元，一年5000日元，可获得15GB的网站空间及150GB的流量，而且MYSQL数据库容量无限制。折算下来每个月只需不到60RMB，呵呵，类似的配置在国内任意一家像样的或是滥竽充数的IDC起码也得500元以上。

小总结

2009-04-01T12:56:00.010+08:00

总结一下目前为止所遇到过的环境：

1.http server

IIS 5/6/7
apache
lighttpd(http://www.lighttpd.net/)
nginx(http://nginx.net/)
tomcat(http://tomcat.apache.org/)
resin(http://www.caucho.com/download/)
IBM_http server(http://www.ibm.com/developerworks/cn/opensource/os-phphttp/)
Jetty(http://jetty.mortbay.org/jetty/)

2.ftp server

Microsoft FTP server
serv-u
proftpd
pureftpd
vsftpd

3.mail server

imail
qmail
sendmail
exim (http://www.exim.org/)

4.database server

MSSQL
MYSQL
oracle

5.VirtualHost Control System

CPanel(http://www.cpanel.net/)
Parallels(http://www.parallels.com/cn/products/virtuozzo/)

6.Network Device

太多了，以后慢慢整理和记录

破密码

2009-03-31T16:30:00.006+08:00

我AMD Athlon 64*2 5200+的CPU也顶不住了，只好再开一台机器用。

我的Firefox设置

2009-03-30T22:44:00.005+08:00

1.修改useragent

URL里输入about:config,添加general.useragent.override设置成GoogleBot 1.2(+http://www.google.com/bot.html)
你也可以设置成其他的.设置成googlebot后访问一些站点受限制,比如yahoo,wiki,gmail.用firefox的插件来切换useragent也可以。

2.安装扩展组件

Domain Details，用于在浏览器右下方显示网站的http banner和服务器IP，并且会把IP所在地理位置直接以国旗ico图标的形式显示出来。
Noscript，用于禁止页面的JavaScrit脚本执行，尤其针对一些恶意js代码和XSS worm。在NOSCIRPT里面设置->禁止 JAVA/ADOBE FLASH/SILVERLIGHT/其他插件/IFRAME.反正只要是禁止全部打勾。选择对受信任站点仍然应用这些限制.这些设置不会影响使用。
HttpFox，实用的http analyzer&sniffer，可以对http数据包进行抓取和分析。
TorButton，一键控制启用/禁用tor。对一些不信任的网站用TOR浏览。但是不要用tor来进email什么的.fbi和天朝都设置了很多sniffable exit node.

3.取消文件关联

wma/avi/swf这些默认可以自动打开/播放，这样很危险，一方面别人可以通过这些对象来判断操作系统版本，另外如果暴风影音，windows media player的溢出的话也会影响到ff.在文件类型里面把所有文件类型的动作设置成保存到本地磁盘.如果想看flash,就不管flash.

4.防XSS/CRSF

有noscirpt了,本来防跨站这些应该做得很好。但是为了以防万一,还得设置一下.把隐私->退出FIREFOX时清除我的数据勾上.这样每次退出firefox的时候cookie什么的都会被清空.别人发一个url让你点一下什么的,也不会偷到cookie。

5.防其他的EXP和抓0day

上面的设置已经比较安全了。但是还不够，firekeeper可以帮忙.下面是firekeeper的一条规则

alert(body_content:"anih24 00 00 00"; body_re:"/^RIFF.*anih\x24\x00\x00\x00.*anih(?!\x24\x00\x00\x00)/s"; msg:"possible MS ANI exploit"; reference:url,http://www.determina.com/security.research/vulnerabilities/ani-header.html; )

同理我们可以判断任何jpg,gif里面是不是含有特有的文件头.这样来判断是不是真的图片.不过真要是图片溢出的话，文件头还有是的.本来<\img\>也可以禁止的，但是这样禁止的话，就失去浏览器的意义了。所以我给出的firekeeper 一些关键字是

unescape
eval
0x0A0A0A0A
0x0d0d0d0d
0x0c0c0c0c
payload

连续5个的 %u*%u*%u*

连续5个 &#等等

这样不仅能防，运气好的话说不定还能抓到什么0day.

话说Nessus

2009-03-30T13:54:00.002+08:00

最近的一个目标网站很是让我郁闷，L.A.M.P架构的环境倒也满常见，问题就是尽管它爆了几个注射点给我，可惜连接mysql的用户并非root，无权限load_file。

用通过注射点获得的用户名和密码进入后台以后发现功能少得可怜，根本没有办法上传，别说拿webshell了。

接着用所获得的全部用户信息去逐一尝试mysql和ftp登陆，结果都失败。无奈之下只好进行二次信息收集。

此刻突然想起了top100工具包中排名NO.1的系统层漏洞扫描工具Nessus来，就瞅着它排名第一的地位也忍不住想搞个Professional版来用啊，可是他奶奶的居然要1200美元一年。只好先下个免费版的来用用看，可以的话以后考虑买一个来，确认一下其到底是否物有所值。

安全守则

2009-03-24T09:26:00.001+08:00

适用范围人群：
1.被杀手集团追杀
2.被黑客追踪
3.被商业竞争对手调查
4.被私人侦探调查

不适用范围人群：
1.被政府秘密通缉
2.被公安厅通缉
3.被他国国家安全部门通缉

守则内容：
1.住所不固定，即使有自己的房子，也会租一套以上的房子备用。
2.工作地点不固定，无论是因为工作地点变动而导致的自然不固定，或是其他理由限制，都最好能努力为自己提供一个不固定的工作地点。
3.通讯方式不固定，手机卡每换一个地方即换卡，QQ每换一个地方即换号。个人电脑中每登陆完一次QQ或邮箱等包含个人信息的东西后便立即清除登陆痕迹。登陆的同时加上跳板，无论国内或国外，以防有人能够通过某种关系或手段查到你最近一次的登陆IP。
4.交通方式不固定，此处由于国家政府和公安部门有权限调取出入境和交通记录以外，其他任何部门都没有权利。这也是为什么本安全守则不适用于开头所列的三类人群之原因。
5.除了你本人以外，其他任何人不应该知道你目前所住的详细地址。
6.除了你本人的大脑和皮肤以外，其他任何地方，包括纸制品，个人电脑或者手机、光盘，移动硬盘等一切存储介质上，都不应留有你的保密信息，包括：常用ID、密码，最重要的人的联系方式。
7.不得向任何人直接或间接提及你的职责范围和工作内容。
以上是我的个人经验总结，相信以上7条都做到位，那么除非你是《越狱》中类似的全国通缉犯或是被其他国家清查的间谍，你都能够安全的生活。当超过对方可付出的时间成本周期之后，对方会放弃，你便可重获自由，恢复正常人身份。

标志性的开始

2007-10-20T20:10:00.000+08:00