编者按:2007年10月8日,中国黑客联盟攻防实验室接到中创软件提出的测试请 求,并于2007年10月10日对此产品进行测试。现将测试结果公开发布。下文问中国黑客联盟安全测试中心成员原文,编者未做任何修改,原文发出,以保持 文章的原始性和真实性。
InforGuard测试详细内容 今天中国黑客联盟安全攻防实验室接到送测产品:inforguard网页防篡改系统,网页防篡改一词可能在某些黑 客朋友那里还是第一次听说,不过大家也应该明白了,网页防篡改系统肯定是一套安全产品,防止网页被非法入侵,篡改的的保护系统。是web网站的最后一道安全屏障。
为什么说是最后一道安全屏障呢?
首先,我们攻击一个Web站点,需要对防火墙,也就是网络边缘安全设备进行渗透。如果成功渗透了防火墙这个东东,我们就已经有 很大的几率拿到该Web站点的权限了。或者我们直接通过Web漏洞拿到了Web后 台管理程序,都是对网站造成直接的威胁。
所以说InForGuard是Web站点的最 后一道安全屏障。
实测情况:
首先,如(图)下第二部份介绍里,有全面的inforguard部署图。我们把InForGuard部署在一台具有系统漏洞,提权漏洞和web应用漏洞的服务器上,我们试着通过各种黑客手段进行渗透。
测试环境描述:
一台装有:InforGuard网页防篡改的主机,并实施全部安全保护和报警。
一台InforGuard MC管理主机。
Web主机配置:
Windows 2000 Adv Server Sp4
IIS
Asp www.chinaz.com 下载的任意asp整站程序。
服务器没有做任何安全设置的情况下暴露于内网。
MC主机配置:
InforGuard MC管理程序
Windows 2000 Adv Server sp4
服务器没有做任何安全设置的情况下暴露于内网
测试一:
Web后台控制上传木马:
我们通过已知和未知的漏洞获取的Web程序的后台管理权限,具体漏洞入侵就不详细描述了,因为是自己 的Web程序,有什么能拿后台的漏洞大家都清楚。我们进入后台管理里,加入了对ASP格式文件的支持,然后通过上传地址上传ASP木马。
确定后提示上传成功,可是在前台怎么也访问不了。正在这时,inforguard报警了,发来短信说 XX地址被上传恶意文件,已经被替换。看样子上传是不行了。
Web后台控制前台修改文章:
拿到前台控制权限后进行文章修改。直接点编辑,进行修改,怎么也保存不了,原来InforGuard 早已经替换了。
测试二:
操作系统入侵篡改:
既然我们从Web后台拿不到权限,我们就通过入侵Web服务器系统进行提权。最终通过一个没有公布的 漏洞里我们拿到了系统管理员权限。
也开放了远程,通过shell命令进入后我准确的找到了WEB路局d:pubwww,我尝试通过 copy命令进行替换,没有成功,inforguard对文件进行了保护,只运行MC进行操作。
通过删除工具进行删除。但是也失败了,并且还被发现还报了警!我真是被抓个正着。看来要突破这套系统 必须要从MC下手。嘿嘿,如果你的MC管理得不好,我就不好意思了。
测试三:
攻击MC(管理控制中心)
MC主机可以放置在任意位置,如果你部署的InforGuard MC也如图,那你就要小心了。
我们现在通过操作系统漏洞得到了系统的控制权限,并发向打开了远程图形控制。
成功的看到了MC控制程序,
登陆MC,需要密码。密码默认admin/admin。没改,呵呵,不过难题来了,管理 Inforguard还需要移动证书。这个测试员还设置得真BT,那我就干脆把MC卸载吧。去管理工具里,添加删除程序,晕!卸载需要密码。这难不倒我, 破坏它!
用工具强制结束带保护进程的inforguard,删除目录文件。这下被我破坏了,不过也被报警 了。。。
最后,虽然MC被破坏了,但是管理员却发现了我。并且Web程序也没有被篡改。
有效的报警日志系统:
InforGuard的日志报警系统非常有效,不管你做什么操作都会记录到日志里,并且非常详细能生 成报表。
InforGuard具有一般防篡改软件不具备的功能,如:黑页备份,短信+邮件报警。证书登陆管 理,等一系列功能,让管理员更加省心,即使你晚上在睡觉,也会得到篡改提醒。并且把黑客的木马和篡改的黑客备份下来,以留证据。这项功能对政府和金融机构 安全取证来说是非常有用的!就inforGuard目前的功能来说,对付那些既挂马又黑站的人来说简直是绰绰有余了!
推荐用户:
政府机关,门户网站,金融机构,商业网站,重要数据公布网站等
[@more@]来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16787329/viewspace-1034918/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/16787329/viewspace-1034918/