Day18 Web Server 相关扫描

网站服务器是恶意攻击者最常攻击的目标，因为在许多设备都会有 web 介面，常见的网站服务器为 apache 与 Nginx 与 IIS。

针对 Web 服务器的攻击方式多半以组合的形式，目标是取得受害服务器的可执行指令的权限，组合方式如下：

1. 档案上传有漏洞，可以任意上传档案或是可绕过限制，而攻击者上传後门(webshell)，上传档案的可以被解析，当攻击者直接浏览上传档案路径，可透过网页介面执行任意指令

2. 透过 Local File inclusion 读取 Linux 上的 /etc/passwd 与 /etc/shadow 档案的内容（包含帐号或密码杂凑），并透过指定帐号进行爆破密码

3. 透过 Local File inclusion 读取网站应用程序的设定档，如内容管理系统 WordPress 的 wp-config.php，档案可能包含密码设定与其他敏感资料。

tool：Nikto

可以快速列举目标服务器上的网站服务器与识别 Web 应用程序，并测试常见的漏洞，会针对错误设定、预设档案、预设资料夹、不安全物件、未更新的软件。

该工具透过快速与大量的请求封包，并从回传内容确认服务器版本、路径等资讯，因此可能会被 web log 和 入侵侦测系统(IDS) 发现，导致被列入黑名单，因此需要注意。

确认指令帮助清单
nikto -H

针对 80 port 执行一般扫描

nikto -h [target IP/hostname]

扫描结果将呈现

1. 目标 IP
2. 网站服务器软件名称与版本

指定 port 进行扫描
nikto -p 8080 -h [target host]

测试多个 port
nikto -h [target host] -p 80,88,443

指定 port 范围
nikto -h [target host] -p 80-88

指定特定扫描类型参数

DIRB

针对网站的内容去进行扫描，可以使用内建的字典档案，也可以用自己定义的。

扫描目标
dirb [URL target host]

指定字典档
dirb [URL target host] [wordlist]

指令

Dirbuster

可使用 GUI 介面进行扫描，该工具包含多功能与参数扫描器。

字典档路径
/usr/share/dirbuster/wordlists/

dirb 字典档案
usr/share/wordlists/dirb/common.txt

选择模式

• Brute force dirs

选择threads

• 200

nc

可以透过 netcat 发送 HTTP 请求

请求 80 port 使用 HEAD method
nc [Target IP] 80

HEAD / HTTP/1.0

可以取得 Server 的版本。

请求 80 port 使用 GET method
nc [Target IP] 80

GET / HTTP/1.0

可以取得 HTML

WPscan

可针对内容管理系统 WordPress 进行扫描，可以找到已知漏洞，列举使用者、使用的主题、外挂，针对帐号进行字典档攻击。

更新工具
wpscan --update

预设扫描
现在需要 API 有免费的 25 个 API 请求，
wpscan --url [URL] --api-token [API Key]

可察看目标服务器否开启 XML-RPC 或是其他版本号与已知漏洞的资料。

指定参数
wpscan --url [url] --enumerate [p/vp/ap/t/vt/at]|

扫描所有热门的外挂
wpscan --url [url] --enumerate p --plugins-detection aggressive

扫描易受攻击的外挂
wpscan --url [url] --enumerate vp --plugins-detection aggressive

扫描所有外挂
wpscan --url [url] --enumerate ap --plugins-detection aggressive

列举所有使用者
wpscan --url [target URL] --enumerate u