　　看来，只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现，新闻搜索的功能是由端口8080提供的，输入http:// 202.103.*.168:8080/之后，得到了一个系统管理登录页面，简单地测试了一下，输入“test/test”作为“用户名/口令”，似乎认证成功，但实际上并不能进入下一个页面。

　　专家支招：对于扫描来说，它很容易暴露我们网站的弱势方面。应对扫描，我们可以架设一个蜜罐来误导扫描者，蜜罐可以让系统伪装成到处是漏洞，从而遮蔽真正存在的漏洞，也可以伪装成没有任何漏洞，让入侵者不知道从何入手（在去年第47期《电脑报》中，我们对制作蜜罐进行了介绍）。
　　入侵测试第二步：漏洞尝试

　　尝试JSP各种已知漏洞，这个是在扫描结果中无法获得任何有效信息指导入侵的情况下，被迫使用的方法。这种方法虽然效果不一定好，但是往往能够起到意想不到的效果，从而让入侵继续下去。

　　我进行了JSP大小写的测试，因为JSP对大小写是敏感的，Tomcat只会将小写的jsp后缀的文件当作是正常的JSP文件来执行，如果大写了就会引起Tomcat将index.JSP当作是一个可以下载的文件让客户下载，若干测试后，我发现这个方法并不奏效，可能管理员已经在服务器软件的网站上下载了最新的补丁。

　　我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录，这个目录通常存放的是JavaBeans编译后的class 文件，如果不给这个目录设置正常的权限，所有的class就会曝光。

　　而采用JAD软件对下载的class文件反编译后，原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中，反编译后，说不定还能看到数据库的重要信息。那么，怎么得到这些文件呢？

　　Tomcat版本的缺省“/admin”目录是很容易访问的。输入：http://202.103.*.168/admin/，管理员目录赫然在列。默认情况下，“User Name”应该是admin，“PassWord”应该是空，输入用户和密码后，并点击“Login”按钮，不能进入，陆续使用了几个比较常见的密码，也无济于事。

　　默认情况下，Tomcat打开了目录浏览功能，而一般的管理员又很容易忽视这个问题。也就是说，当要求的资源直接映射到服务器上的一个目录时，由于在目录中缺少缺省的index.jsp等文件，Tomcat将不返回找不到资源的404错误，而是返回Html格式的目录列表。

　　想到了这点后，我打开刚才用X-Scan扫描后生成的报表文件，找到“安全漏洞及解决方案”栏目，看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一，返回结果如图1所示。

　　一些很典型的JSP文件和JS文件都列出来了。大喜之下，随便选择一个文件，点击右键，然后，选择“用FlashGet下载全部链接”选项，于是，这个目录下的所有文件都被我下载到了本地。

　　其中最有价值的是一个名字为dbconn.js的文件，看来程序设计者是为了方便省事，把一些数据库连接的密码和连接地址都写在里面了（这是很多开发者可能会忽略的问题）。不过，我现在最关心的还是Tomcat的管理员密码。

　　简单破解后，发现Tomcat系统中的admin用户使用了非常简单的口令：web123456。利用这个漏洞，有了这个密码，下面的工作就相对简单了。

　　专家支招：对于网站中的漏洞，我们要即时打上各种补丁，然后对几个已知的安全弱势方面进行加强，比如我们可以将“/admin”目录进行修改，让入侵者不容易找到管理路径。然后关闭Tomcat的目录浏览功能，让入侵者的漏洞尝试彻底失败。

　　入侵测试第三步：注入攻击

[1] [2] 下一页

上一篇:Photoshop绘制精致金属边框水晶球按钮

下一篇:绝处逢生：Win 2003下无敌权限提升方法

实例讲解：全程追踪入侵JSP网站服务器相关文章：

实例讲解：全程追踪入侵JSP网站服务器相关软件：

·自由网站专家XP V1.2.1

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn