部署WebDAV服务器
注意: 本博文引用的技术和工具可能已过时,不适用于当前环境。但本文仍可作为学习机会,并可能整合到现代工具和技术中。
拥有WebDAV服务器有多种便利之处。我创建服务器的主要目的是在执行渗透测试时实施恶意Outlook规则攻击(如所述)。在本例中,我将WebDAV服务器配置为只读模式,以防止可执行文件被意外或恶意覆盖。以下是在Digital Ocean实例上部署WebDAV服务器的指南,其他云提供商也可参考类似步骤。
开始部署!
-
访问 https://www.digitalocean.com/ 创建并登录您的Digital Ocean账户。为增强安全性,请启用双因素认证。
-
点击页面顶部的“Create Droplet”按钮。
-
选择默认的Ubuntu版本(撰写本文时为16.04.1)和最便宜的服务器选项,如下图所示。接受其他默认设置,并添加您的SSH密钥以登录新服务器。可选设置服务器主机名。最后,点击页面底部绿色的“Create”按钮创建实例。
完成!现在您已在互联网上部署了一台服务器。
服务器初始化配置
首先对新实例进行一些基础设置。通过以下方式连接到新实例:
禁用通过密码SSH登录服务器,要求使用私钥进行SSH访问。编辑文件/etc/ssh/sshd_config,取消注释“PasswordAuthentication”行并将其值设置为“no”:
然后重启SSH服务使更改生效:
您可以通过从没有私钥的服务器尝试SSH来验证密码SSH访问已被禁用,如下所示。第一次尝试在配置更改前进行,提示用户输入密码。第二次尝试直接拒绝用户访问。
使用以下两个命令更新服务器(经常重复以保持系统最新):
|
|
安装和配置Apache
使用以下命令安装Apache:
|
|
启用Apache WebDAV功能:
|
|
在/var/www创建webdav目录,并将www-data设置为所有者:
|
|
通过编辑/etc/apache2/sites-available/000-default.conf文件配置Apache对webdav目录文件的只读访问,使其匹配以下内容(为简洁省略注释):
|
|
重启Apache并从Web浏览器访问您的新WebDAV服务器:http://[您的服务器IP]/webdav/
恭喜,您现在拥有了一个WebDAV服务器!现在,放入一些您想要访问的文件。下面是一个简单示例。
刷新Web浏览器以查看文件列表。
通过Windows文件资源管理器访问
WebDAV服务器的一个有趣之处是,您可以通过输入网络地址从文件资源管理器访问文件:
|
|
请耐心等待,输入网络地址后加载目录列表需要一些时间。尝试从文件资源管理器中打开其中一个文件会出现以下错误:
这是由于文件权限错误导致的,因为文件所有权属于“root”而不是Apache运行的“www-data”用户。
要修复权限问题,更改文件所有权如下所示:
|
|
现在可以通过点击文件资源管理器中的链接打开测试文件。
重要注意事项
忘记正确设置文件权限将破坏您的恶意Outlook规则尝试!下图显示了当WebDAV服务器上的权限不正确时,Outlook规则尝试触发时用户将收到的弹出窗口示例。
此外,您的恶意Outlook规则将自动禁用,如红色文本和复选框中没有勾选所示。