我的一个朋友告诉我，他的网站上发现了一个XSS漏洞，他想让我深入看看。

XSS，又称跨站脚本攻击Cross-site scripting，它是一种安全漏洞。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

我向他申请了正式的许可，这样我能在这个网站和服务器上做完整的渗透测试。

（注：这一步非常重要，注意法律风险）

为了保护隐私，我用这个地址来代替我朋友的网站

1、端口扫描

第一步就是尽可能多地了解你的“敌人”，并且尽量不要惊动它们。

这时候，我开始启动计时器计时。

这次扫描花了大概两分钟。

扫描发现了很多开放的端口！通过FTP(port 21)和SMB（ports 139/445），我们可以猜出这个服务器是用于保存文件和共享文件的。

与此同时，它还是一个Web服务器(port 80/443和相应的代理 8080/8081) 。

如果上面的信息不够，我可能还会做一个UDP 端口的扫描。现在唯一允许我们与之交互的端口(不需要登录服务器)是80/443。

没有浪费一点儿时间，我启动了gobuster来探索这个Web服务器上让我“感兴趣”的文件。与此同时，我也通过手工的方式开始挖掘。

$gobuster -u http://example.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 /admin  /login

我发现/admin这个路径对应这“管理工具”，通过认证的用户可以修改这个web服务器上的东西，由于我没有用户名和密码，在这里走不下去了。（剧透：gobuster也没有发现什么有价值的东西）

已经过去三分钟了，还没有发现有用的东西。

2、获取Webshell

浏览这个网站的时候，它需要我登录，没问题，用一个假的e-mail创建一个账户，点击确认邮件，几秒钟后就登录了。

这个网站对我的登录表示欢迎，提示我到个人主页去修改头像，很贴心嘛！

网站看起来像是自己开发的，要不要“试试不受限的文件上传”漏洞？

我迅速在本机生成了一个文件：

然后试着把它当作图像文件上传，成功了！

为了避免这个漏洞，上传者一定要对上传的文件做处理，检查文件扩展名，把它替换成.jpeg、.jpg，这样可以避免远程代码执行。

当然，我上传的文件没有缩略图：

通过“复制图片地址”的功能，我得到了这个URL，在浏览器中运行一下：

哈哈，看起来我们已经有一个可以工作的webshell了。

这个web服务器居然运行着Perl脚本，我从我最喜欢的备忘录中找了一个reverse shell 脚本，设置好了IP和端口，这样我就获得了一个低权限的shell ——抱歉，没有屏幕截图。

大约5分钟以后，我获得了一个低权限的shell。

3、拿下数据库

让我十分惊奇的是，这个服务器不仅host一个web站点，而是40个！

$ ls /var/www access.log site1/ site2/ site3/ {… 更多的sites}

你也许猜到了，我具备这些web站点目录读的权限，可以读任意的后端代码。

我把注意力集中到example.com的代码中，很明显，在cgi-admin/pages目录中，所有的perl脚本都是用root来连接MySQL数据库的，密码也是明文存放的，我们假设它们是 root:pwned42

执行这条命令：

`mysql -u root -p -h localhost victimdbname 

Password: pwned42

我就以root权限登录了数据库。

仅仅7分钟, 我具备了对35个数据库完全的读写权限！

在这里，我有道德义务停下来，潜在的损害非常巨大。一个攻击者可以做这些事情:

dump这些数据库，这将导致35家公司的数据泄露。
删除所有数据库。
使用cronjob在apache里留个后门

该休息一下了，停止计时器。

4、还会有什么问题呢？

我告诉朋友这些发现，获得进一步挖掘的许可。

在将权限升级到威力巨大的root之前，我先看看我这个有限权力的用户能访问哪些有趣的文件。

此时我想起来那个开放的SMB 端口，这意味着系统中应该有个文件夹在用户之间共享，经过一番探索，我找到了这个目录/home/samba/secured，里边的内容如下（请原谅为了隐私，我隐去了大量信息）

在这些目录中发现了大量的属于公司用户的敏感数据，包括：

.psd/.ai files (设计师应该知道这些文件多重要，这是它们的工作成果)
Cookie sqlite files
发票
盗版的电子书 (我看到这些的时候不由得笑了，谁说老外不看盗版？)
Wifi密码

攻击者就可以做这些事情：

到这些公司办公室的外边“露营”, 登录公司的内网，然后做各种各样有趣的、能在内网实施的攻击。
把这些敏感数据泄露出去。

这些目录花费了我不少时间，这个漏洞后果非常严重。

最后一击

用apache这个账户在四周看了很久以后，我决定是时候去钓个大鱼了：获取root权限。

通常，操作系统是打过补丁的，只有那些配置错误的服务才有可能给你想要的root权限，但是在现实的世界中，人们很少给操作系统打补丁！

这个服务器运行的是什么操作系统呢？

内核是什么版本？

看起来这是一个老版本！这个版本有个漏洞，叫Dirty Cow，可以提升用户的访问权限。

网上有篇博客讲述了如何测试内核是否有这个漏洞，并且提供了一个脚本。

执行这个脚本，root最终到手！

游戏结束了

我立刻给朋友写了一封邮件，全面地告诉他这些渗透测试的细节和每一步的可能影响，然后结束了当晚的活动。

一个攻击者可以做的事情：

读/写服务器上所有的文件
植入一个持久的后门
安装恶意软件，并且传播到内网
安装勒索软件（劫持35家公司的数据库和相关数据可不是一件小事）
把这个服务器当作矿机
把服务器当作僵尸网络的一部分
把服务器当作C2C服务器
… (发挥你的想象力)

第二天，朋友联系了我，说他联系了负责那个服务器的公司，那个文件上传的漏洞已经fix了。

总结

有文件上传漏洞的Web应用可能导致黑客获得一个低权限的shell

要仔细设计文件上传组件
明文的密码，让我们可以读写35个Mysql 数据库

所有的数据库都用同一种密码可不是什么好事情
有很多的敏感数据可以阅读

要小心地给用户分配文件访问权限，遵循最小权限原则
内核的漏洞让我们获得了root权限,

记住给操作系统打补丁

本文转自码农翻身，英文原文：

How I Hacked 40 Websites in 7 minutes

创作场景

我是如何在 7 分钟内黑掉 40 家网站的？