首页 > 搜索 > 网络安全大赛比什么,世界技能大赛首设网络安全项目,中国队勇夺银牌!

网络安全大赛比什么,世界技能大赛首设网络安全项目,中国队勇夺银牌!

互联网 2021-05-09 07:31:00

当地时间8月27日晚,

第45届世界技能大赛在俄罗斯喀山落下帷幕。

网络安全被设为本届世界技能大赛的新增项目,

由上海交通大学网络空间安全专业硕士研究生

冯柱天和肖子彤代表中国出战,

一举夺得了银牌的好成绩,

在世界舞台上展现硬核中国实力!

01.png(图片来源于网络)

“第一次,真正意义上,为国而战,为国争光。”

当日勇夺银牌的肖子彤在朋友圈里感慨到。

(隔着屏幕,小编都能感受这满满的自豪~)

这两个出生于1996年的大男孩,

被誉为“网络双子星”,

两人因参加全国大学生信息安全竞赛而相识,

之后的4年间两人配合默契、战绩斐然:

2018年“强网杯”全国网络安全挑战赛二等奖

2018年国际“CTF”比赛第一名……

2019年全国集训队选拔中,

两人更是以团队第一名的成绩,

拿到了世界技能大赛网络安全项目的入场券,

代表中国队出战。

02.png

(图片来源于网络)

按照主办方的规则,

被誉为“技能奥林匹克”的世界技能大赛,

每位选手一生中只能参加一次。

本届大赛首次增设网络安全项目,

需两人一组参赛,完成:

A 基础防御及安全维护

B 网络安全事件的响应和修复

C 夺旗行动挑战(CTF)

三个不同的任务模块。

“这次比赛,A、B两个模块调换了顺序,

不过这对我们来说并不算困难。

最后两天的CTF挑战是’神秘盒子’,

我们一开始对比赛环境不熟悉,

成绩掉了一些,与冠军失之交臂……”

两个大男孩在赛后带着些许懊恼地说。

他们的教练在一旁补充:

“攻防渗透内容,平时练习比较少,

借此次比赛也是发现了一个短板。”

看到这儿,小编突然意识到

作为网络安全从业者,

有必要给大家普及一些网络安全专业术语,

比如今天,我们就来聊聊什么是渗透测试。

名词解释:渗透测试

渗透测试是网络安全专业人员,从攻击者的角度,对系统各个方面进行模拟攻击测试,找到系统的漏洞和薄弱点,从而进行修复和预防。通俗点说,就是在客户授权后,对客户系统以黑盒的形式进行全方面的检查,找到风险和脆弱点。

渗透测试通常按照以下几个步骤进行,拿我同事小白近期的一次渗透测试工作举例说明:

在渗透测试开始前,需要和客户沟通明确本次测试的目标及范围,此次客户提供的系统主要有以下三个:

1、主页,也是客户的主营业务系统,包含用户登录、邮箱等多个功能(下文简称主站);

2、监控系统,用来监控各地机房情况的自建系统(下文简称监控系统);

3、管理系统,用来处理用户订单等信息的管理系统(下文简称管理系统)。

明确目标后,就要开始进行信息收集的工作了。信息收集主要是通过各种手段,获取更多的目标信息,方便后续有针对性地进行攻击测试,因此信息收集这一步非常重要,获取到的信息是否全面将影响到整个渗透工作的成败。在信息收集过程中,需要了解目标是否有防护手段,目标系统的各个版本信息,目标系统开放的各个端口等各种信息。小白此次的操作过程如下:

首先通过简单的攻击测试以及wafw00f探测,小白发现客户主站存在WAF等安全设备的防护,只要是执行攻击操作就会被WAF拦截和拉黑,在通过WAF拦截返回的信息,小白发现了某云防的标识信息,通过ping和nslookup确认客户方用的是云上防护。云上防护一般都是通过DNS解析的方式,将域名解析至云防护IP,从而达到防护的效果。随后,小白使用namp等端口探测工具,获取目标系统所开放的端口及中间件、系统的版本信息,通过dirsearch等工具来探测敏感目录。测试后,小白发现只有主站有云防护,而监控系统是通过公网IP直接访问的,没有设置防护,管理系统也没有经过云防护。

针对之前收集到的信息进行归类整理,提取有价值的信息后,小白开始进行漏洞检测。在渗透测试过程中,测试人员需要使用一些自动化的扫描工具,来协助渗透人员尽可能的发现应用系统的一些已知漏洞,此次小白使用的是Burpsuite和AWVS两款扫描工具。经过信息探测及扫描后发现:

1、监控系统使用的是某开源系统搭建,而该开源系统的某个插件是存在任意文件写入的高危漏洞,因此可以利用该插件直接getshell。

2、业务系统存在.git文件泄露的漏洞,可以还原.git文件夹下的文件,重建工程源代码。

03.png

3、主站在Burpsuite扫描后存在SQL注入漏洞,查看bp扫描的poc及系统响应体,是一个post注入点。

监控系统

首先,小白针对信息搜集及检测到的漏洞进行验证利用,对监控系统直接getshell,轻松植入小马,紧接着中国大菜刀连接,植入大马,提权,一气呵成,系统权限就这样被拿下了。由于本次渗透测试不涉及内网横向渗透等,在提权成功后就没有再进行下一步的动作;但小白在该插件目录下发现大量的小马,因此怀疑该服务器早已被入侵,成为黑客的后花园。

04.png05.png业务系统

在拿下该系统权限后,小白又继续对管理系统进行测试。通过Burpsuite代理,进行业务漏洞的挖掘。首先需要注册用户。在注册时,小白发现系统会去后台校验用户名是否已经被注册,通过响应体返回的参数判断;通过这个机制,可以进行用户名遍历,且在注册时,管理系统没有限制必须为强密码,只是简单的6位数密码即可符合要求,因此判断该站点可能存在大量的弱口令,那么接下来,是时候通过弱密码来爆破了。但是在登录处有验证码校验的机制,验证码能否绕过呢?小白故意输入验证为0000,看着系统提示的验证码错误,看来还是有校验的。但是,输错后返回登录页面,验证码并没有进行刷新,还是原来的那个验证码,小白心想该不会用户名多次登陆错误也没有锁定吧。掏出符合“中国国情”的各种弱密码库开始进行爆破测试,果然,就像之前猜测的那样,通过用户名遍历,验证码不刷新,弱密码组合进行爆破后,小白成功获取了N个用户的权限,仔细查看,竟然还有管理员用户!看来运维人员的安全意识有待提高啊。

06.png

然后,小白对探测到的.git文件进行利用。使用GitHack成功还原.git文件夹下的文件:

8.png

在本地对还原的文件进行审计和检查,发现了数据库的配置文件,包含用户名和密码:

9.png

也发现了大量用户的个人信息,竟然保存在txt的文档中。更令小白感到意外的是在用webshell工具检查后发现存在大马文件,找到密码后可以直接登录控制服务器!

10.png

再继续溯源,小白发现该木马文件是通过FCKeditor的漏洞进行上传的。至此该服务器已经被全部控制,黑客可以通过爆破获取用户信息,通过上传漏洞控制服务器,通过.git获取到的配置文件进行代码审计等……这一番操作下来,该站点基本毫无秘密可言。

主站

主站是客户最放心,也是安全加固过的一个系统,https加密传输,且登录不光有手机验证码校验机制,在发送验证码的时候也需要输入图片验证码,小白尝试了验证码绕过、短信轰炸、用户遍历、恶意用户批量注册的测试后,发现均有限制,而且在注册时,测试过多需要5分钟后才允许再次注册。看来登录及账号注册这方面,客户做得还是不错的,想通过爆破等拿到用户权限基本没戏。小白打算先注册个测试用户,来看看功能有没有逻辑漏洞,于是注册了test的用户登录。

登录后,小白按照测试步骤进行了越权测试、文件上传测试、业务订单篡改测试、支付测试等核心功能的测试后,没有发现问题;那么密码重置呢,能否重置其他用户密码,密码重置这块同样绑定了手机号以及验证码,后端也会校验用户身份,因此无法通过修改手机号等进行重置。但是小白发现,除了主站用户重置的功能外,密码重置这个功能下还包含了邮箱密码重置,这个邮箱是主站提供的免费邮箱系统,在注册用户时,可以同步注册主站的邮箱,该邮箱用户名也就是主站的用户名。邮箱密码重置的功能也需要有手机号+验证码的校验;但是百密终有一疏,小白发现,给手机发送了验证码后,系统并不会校验这个验证码是否有效,这就导致拦截密码重置请求后输入任意验证码,在修改用户名就重置了其他用户的密码,没错,任意邮箱密码重置,系统返回密码重置成功。小白点击首页的webmail登录入口,输入了重置的用户名和密码,原以为可以轻松登陆,没想到竟然提示用户名或密码错误~难道没有重置成功?不对,看系统反回结果,这个重置是有效的,那是为什么呢?难道是首页的webmail入口并不是这里重置的webmail么,嗯,肯定还有其他入口,小白看了下主站的功能,找到帮助页面,果然里面有邮箱重置的帮助说明,顺便还贴心的做了webmail跳转,点击后是一个较老版本的邮箱后台,小白输入用户名密码后,成功登陆了某用户的邮箱。

接下来,对之前扫描到的高危SQL注入漏洞进行验证。小白使用sqlmap开始测试,只是简单的-r参数小试牛刀后,被WAF识别到进行拦截,没有利用成功;随后小白加入了tamper参数绕过,以及增加了--level --risk来增强测试的深度和风险等级后成功绕过了云防WAF并爆出数据库及数据表。

10.png11.png

此次渗透测试可见,即使主站已经做了多个安全加固及防护后,仍然有高危风险点。因此我们常说,没有百分百的安全,谁也无法预料到全部的风险和意外,就像无法阻止和预测黑天鹅事件一样;安全是一个长期的过程,我们需要在万千变化中尽可能地做好准备,无论是在风险发生之前还是之后的准备。

“比赛虽然结束了,

但我们将继续在信息安全领域

钻研和拼搏,提升经验值。”

世界技能大赛的赛场上,

两位少年留下这句话后转身离去。

此刻,夕阳西下

小编看了看身边的小白,

和周围朝夕相处的同事,

突然发现他们竟然自带光环……

(也可能是小编眼花了)

他们是一群普通的网络安全工程师,

他们是70后、80后、90后……

他们每天所做的,

是在真实的网络对抗中,

面对异常强大的对手,

瞬息万变的局势,

和无比残酷的现实,

仍然坚持保卫中国网络安全的梦想

和让网络空间更有序的初心。

身为其中一员,

小编深感荣幸。

声明:

部分内容和图片来源于网络,版权归原作者所有,如有侵权,请联系删除。

盛邦安全热线:4006-911-199

免责声明:非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件12小时内删除。

一周热门

查看更多