3.4 后台问题

在Web渗透中,后台文件的利用常常会有意想不到的效果。而一个网站后台路径的暴露就等同于将家的具体位置给暴露了,为了杜绝这种现象发生,开发人员经常采用复制的后台路径,给渗透带来了难度。那常见的后台地址查找方法又有哪些呢?

3.4.1 后台地址查找

1.扫描器、爬虫

常见的后台扫描器是用外载字典对路径进行爆破,而这种方法的局限性也很明显,字典的强度决定了成功率。而相比较而言,爬虫常常能爬出那些很隐秘的目录,增加爆破的成功率。

2.搜索引擎

对于后台查找,常用的语法无非intext、inurl、intitle等最基本的搜索语法,简单又实用,还常常有意外的收获。

3.页面信息

在火狐浏览器中访问一个Web站点,在浏览器空白界面右击,单击“查看页面信息”,效果如图3-31所示。

图3-31 查看页面信息

在媒体页面信息中可以看到多媒体文件路径,包括图片等的路径。因为这些图片往往是管理员在后台更新时上传的,而有些Web站点的上传目录分配不严格,如上传目录是后台目录的子目录,所以导致了后台路径就隐藏在图片路径中。

4.XSS

XSS的危害十分巨大却又常常被忽略,我们在第5章会详细讨论更多的前端技术。

5.二级域名及其他端口

在对大型网站进行渗透时,常常发现一个现象。比如从目标站点的一个二级域名入手进行Web渗透,但其后台登录接口往往是另一个二级域名或三级域名。因此在渗透中用脚本对目标站点的二级域名进行爆破还是很有必要的。

其他端口又怎么样呢?一般Web站点默认端口是80端口,但在实际渗透中,常常会发现某个站点前台确实是80端口,而后台登录端口往往是其他端口,像8000、8080、8001都很常见。所以,在渗透前对目标的信息搜集要尽量到位和全面,以免渗透中为此浪费大量时间和精力。

6.访问来源

此方法对一些有留言板或是能和管理员交互的站点较为有效。首先,需要准备一个自己的站点,然后在此站点中添加站长统计的JS,将准备的站点网址以添加友链的名义发给渗透目标的管理员。当渗透目标的管理员访问了发给他的网址时,这时在站长统计后台便能看到访问来源了,而一般管理员是在后台对一些留言进行审核,所以访问来源常常就是后台地址。

在开发中,后台是为了方便管理员对网站进行更新,因此功能往往很多,如添加管理员,数据库备份下载,文件上传等。功能强大,伴随而来的常常是安全问题。在渗透中,对后台的巧妙利用更胜于在前台大费周章地挖掘漏洞。那常见的后台利用又有哪些呢?

3.4.2 后台验证绕过

图3-32 JS脚本对权限进行了验证

渗透中,有些Web站点的后台使用了JavaScript验证和固定cookie,而这类验证被绕过的可能性很大。就拿JavaScript验证来说,因为它发生在客户端,因此对于这类后台只要在浏览器中把JavaScript禁止掉就能正常访问后台了。例如,蓝科CMS中对后台的验证就是JavaScript,如图3-32所示,可以看到JS开启的时候,无法访问后台。

当把火狐浏览器的javascript.enabled设置为false时,再次对后台进行访问,如图3-33所示,可以看到成功访问了后台,轻松地绕过了JavaScript的验证。

图3-33 成功进入后台

3.4.3 后台越权

局部未授权访问是很多后台出现的问题,意思就是后台中的某个页面可以被访问。最常见的类似于管理员管理、数据库操作、文件上传之类,从而引发任意添加管理员、数据泄露、getshell等严重问题。而当面对后台里那些非高危的越权时,应该怎么办呢?

1.越权XSS

对于一些低危的后台越权,开发者们常常不怎么重视,而往往问题都是出在小问题上。大多数情况下,后台相比前台要脆弱太多,很多后台XSS、后台注入之类,在开发者、攻击者眼中很“鸡肋”,但是如果将其与越权结合起来,其实质就和前台的漏洞差不多。例如网站基本信息页面的越权,单从越权角度来看确实没什么影响,无非是一些公司名之类的。但是如果攻击者在基本信息中插入XSS代码,那危害性甚至超过了前台的XSS。

2.越权注入

后台中常常也有很多数据库查询,如新闻搜索与会员操作等。其实,对数据库的任何操作都有可能引发注入,而往往后台本身有很多注入,但后台经常忽视。例如新闻管理页面的越权,无论是新闻的删除、添加、修改或搜索都要对数据库进行操作,如果开发者因为其是后台而未做过滤或过滤不足的话,那危害可想而知。

3.4.4 后台文件的利用

对于后台文件的利用,常见的有文件上传、备份下载、数据库下载、robots.txt、探针等,这些文件带来的影响有大有小,上至getshell,下至信息泄漏。对于后台文件扫描,只需要留意某些特定的后缀即可,如rar、txt、mdb、sql等,这样能大大节省扫描时间,提高效率。