反向代理在Web渗透测试中的运用

　　在一次Web渗透测试中，目标是M国的一个Win+Apache+PHP+MYSQL的网站，独立服务器，对外仅开80端口，网站前端的业务系统比较简单，经过几天的测试也没有找到漏洞，甚至连XSS都没有发现，也未找到网站后台，在收集信息的时候已经排除了C段入侵的可行性（选择C段入侵的时候，需要对目标、网络、路由和国家区域进行分析和判断，如果不经思考和判断地去入侵C段服务器，当你费尽心思拿到某台服务器权限时，往往发现毫无半点用处，特别又是在国外，ARP基本上都没什么希望，当然内网渗透中又是另一回事。）

　　也许在渗透测试遇到这种情况时大多会选择放弃，在绝望的时候，我将目标临时转移到该网站域名注册商，因为拥有域名注册商网站权限，至少可以修改目标网站的域名解析。一般情况入侵域名注册网站难度比较大，但并不是没有希望，在09年的时候，国内很多域名注册商的网站都存在漏洞。渗透那个域名注册商网站，过程比较繁杂，也没有新的技术点，靠的就是细心和耐心，但最终还是获取到目标网站域名的管理账号和密码，那么此时我们已知和已有的条件如下:

　　目标域名：www.007hack.com(当然不是真的，文章来源007安全)
　　网站IP:1.1.1.1

　　环境：Win+Apache+PHP+MYSQL

　　已有权限：域名解析权限，可以将www.007hack.com解析到任何一个IP上

　　特别说明下，目标网站使用的服务器，并不是在域名注册商租用的，而是放置在公司机房中，所以通过域名注册商网站，是不能管理到Web源码的，只能进行域名解析。

　　当拥有域名解析权限后，如何才获取目标网站的权限呢？

　　A：构造一个和目标非常相似的网站？然后将域名解析到构造的网站？

　　B：使用iis重定向？

这些方法都非常容易被发现，并且也无法获取到权限，所以遇到这种场景的时候我们可以使用反向代理，也是本文的重点。了解反向代理之前，我做一个关于HTTP 代理的简单介绍， 代理常用的是普通代理和反向代理：

普通代理：为用户（客户端）提供代理，需要在客户端设置，比如在客户端浏览器中设置代理服务器IP和端口，完成配置后，用户可以通过代理服务器访问互联网，代理服务器相当于中间人的作用。根据代理服务器配置不同，又可以将普通代理分为，几种不同安全级别的代理，代理软件比较多，不同的厂商有不同的称谓和分级，一般情况都包括以下三个级别，透明代理、普通匿名代理和高匿名代理。

透明代理：

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 真实 IP

说明：使用透明代理，可以进行信息交互，但不能隐藏自己真实IP，安全性越差，所以黑客一般不会使用此类代理。

普通匿名代理：

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 代理服务器 IP

说明：隐藏了真实的IP，但通过HTTP_VIA可以判断出你使用了代理。

高匿名代理：

REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 没数值

HTTP_X_FORWARDED_FOR = 没数值

说明：可以隐藏真实IP，同时不会泄露你是否使用了代理，这类代理黑客往往比较喜欢。

用户通过普通代理访问Web，实际上用户并没有直接访问Web服务器，而是通过代理服务器作为中转，的示意图如下：

反向代理：是为服务器提供代理和缓存，不需要在客户端。用户访问网站，实际上并不是直接访问Web服务器，而是首先访问反向代理服务器，如果请求的是html/htm/gif/jpg等这些静态文件时，反向代理服务器直接返回结果，如果用户请求是脚本如asp/php/jsp等内容时，反向代理服务器会将请求转发给Web服务器处理，再把结果返回给用户，从而通过缓存实现加速的效果。示意图如下：

　　Squid和Nginx是非常优秀的反向代理软件，本文主要介绍Squid，它支持Windows和Linux，由于目标网站环境是win，我这里使用Win下的squid（使用Linux也可以），配置方法如下：

Squid版本:2.7 For Win

1、配置squid/etc目录
cachemgr.conf.default
mime.conf.default
squid.conf.default
squid_radius_auth.conf.default(可能低版本这个文件不存在，如果没有就不用修改)

复制并改名为:

cachemgr.conf
mime.conf
squid.conf
squid_radius_auth.conf

2．用文本编辑器打开squid.conf，需要修改的地方：

查找http_port 3128在后面增加一行
http_port 80 vhost

查找#cache_peer sib2.foo.net sibling 3128 3130 [proxy-only]在后面增加一行
cache_peer 1.1.1.1         parent    80      0   no-query   originserver

1.1.1.1为目标网站真实IP，80为端口

查找# TAG: visible_hostname在后面增加一行

visible_hostname volcano(任意命名)

查找http_access deny all 在其前面加#将这一行注释掉，然后增加一行

http_access allow all

3.使用squid/sbin/squid.exe执行以下命令

squid -i -n web_squid  #命名squid服务的新名称
squid -i  #将squid服务加入到服务里面
squid -r -n web_squid  #删除指定名称的服务
squid -z  #创建缓存目录
squid -k parse  #检测配置是否有效
net start web_squid #启动
squid -dx #当服务不能启动时，进行调试

　　测试squid是否正常：
　　访问http://squid服务器ip
　　实际指向http://web服务器IP

　　完成测试后，将目标域名解析到squid服务器IP，网站以及功能完全正常，唯一差别就是ping返回的IP是squid服务器的IP，并不是真正的Web服务器IP，只要网站正常访问，管理员也不会时时去ping。

　　经过几个小时等待后，目标网站管理员登陆后台，在日志squid\var\logs\access.log就可以找到后台地址，后台目录文件名非常地长，同时收获了很多敏感的URL，准备研究如何截取Cookie或者后台账号密码时，后台xx_adduser.php存在本地验证漏洞，直接添加管理员成功，管理员和后台地址都有了，登陆后顺利拿到WebShell。

　　当然，如果后台不存在这个漏洞，应该还是有办法可以弄到权限的，毕竟用户/管理员访问的数据包都会经过这台squid服务器，只不过会麻烦许多……