0


2022年职业教育技能大赛部分省赛少见D模块漏洞加固

Linux加固

root弱口令

发现问题

发现密码已知,密码输入弱口令系列,弱密码容易被破解,将密码改为复杂密码
漏洞加固过程

加固

将 root 用户密码修改

问题验证

验证密码复杂度-如果截图中出现提示密码简单不得分,如果未提示则得分

跨站脚本攻击

发现问题

发现问题在网页界面中,发现页面可以编写 JS 脚本,属于 XSS 网页代码漏洞,需要将代码修复。

成功执行脚本,并且回显xss证明存在xss漏洞

漏洞修复

将特殊符号替换,让脚本无法正常执行即可

验证结果

XSS脚本无法执行,且message信息正确回显

数据库注入(登陆)

发现问题

在使用万能密码是,发现可以登陆,说明登陆界面存在数据库注入漏洞

漏洞修复

修改判断条件设置更加复杂的对应条件,让数据提取的信息和数据库中内容匹配即可

验证结果

使用万能密码无法进行登陆



输入正确密码可以进行登陆

数据库注入(查询)

发现问题

在搜索界面中,使用特殊符号搜索,发现可以看到所有用户名称,故此判断此处有数据库注入漏洞

修复漏洞

将查询中的特殊符号,%和_替换成其他字符即可


验证结果

使用特殊符号查询后显示空白


正常搜索内容,只回显与查询内容匹配的用户

文件上传

发现问题

任意格式文件可以上传到服务器中,上传文件中还可能包含木马信息

修复漏洞

设置筛选条件,限制文件类型,大小的传输,限制只允许图片格式上传,根据上传路径img判断,此处存放图片


验证漏洞

非图片格式,上传失败


指定文件可以上传

文件包含

发现问题

在网页中,发现url中有文件名称,尝试对文件路径跳转,查看其他内容信息,发现可以查看到内容,说明此网页中存在文件包含漏洞。

漏洞修复

限制能发现的文件名称及类型,仅能包含这几种名称及类型的文件。

验证结果

无法进行路径跳转,查看其他的内容信息

正常文件可以访问

后门漏洞

发现问题

在本地查看端口信息,发现位置端口在开放,尝试连接发现是后门端口

加固漏洞

进程可能不一致,删除 nc 进程和本体文件即可删除 NC 进程

删除后门文件

验证结果

重启服务器之后查看端口,后门端口已经不存在

nc也连接失败

windows靶机

账户弱口令

发现问题

密码过于公式化

加固

修改root密码为强密码(P@ssw0rd1!)

加固结果

密码策略漏洞

发现漏洞

加固漏洞

验证漏洞

网站服务漏洞

发现漏洞

加固漏洞

加固验证

远程桌面漏洞

发现漏洞

使用nmap对目标服务器进行扫描,发现3389端口开启,服务器信息疑似存在远程桌面漏洞

使用ms12-020模块,成功导致目标服务器蓝屏,证明存在远程桌面漏洞

加固漏洞

禁用远程桌面

漏洞验证

后门程序

发现漏洞

使用nmap对目标服务器进行扫描,发现有后门程序存在

加固漏洞

漏洞验证

服务器溢出漏洞

发现漏洞

加固漏洞

添加防火墙规则,并且禁用及停止server服务

验证漏洞

标签: 安全 web安全 网络

本文转载自: https://blog.csdn.net/qq_53365018/article/details/130446245
版权归原作者 HeiYap 所有, 如有侵权,请联系我们删除。

“2022年职业教育技能大赛部分省赛少见D模块漏洞加固”的评论:

还没有评论