部署WebDAV服务器

注意： 本博文引用的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。

拥有WebDAV服务器有多种便利之处。我创建WebDAV服务器的主要目的是执行恶意Outlook规则攻击，作为渗透测试的一部分。在本例中，我将WebDAV服务器配置为只读模式，以防止可执行文件被意外或恶意覆盖。以下是在Digital Ocean实例上部署WebDAV服务器的步骤，其他云提供商也可采用类似步骤。

开始部署

1. 创建并登录Digital Ocean账户（https://www.digitalocean.com/）。为提高安全性，请启用账户的双因素认证。
2. 点击页面顶部的“Create Droplet”按钮。
3. 选择默认的Ubuntu版本（撰写本文时为16.04.1）和最便宜的服务器选项。接受其他默认设置，并添加SSH密钥以登录新服务器。可选设置服务器主机名。最后点击页面底部的绿色“Create”按钮创建实例。

服务器初始化配置

成功创建实例（Droplet）后，首先进行一些基础配置：

通过SSH连接到新实例：

1

ssh root@your_server_ip

禁用通过密码SSH登录，仅允许私钥访问。编辑/etc/ssh/sshd_config文件，取消注释“PasswordAuthentication”行并将其值设置为“no”：

1

PasswordAuthentication no

重启SSH服务使更改生效：

1

service ssh restart

可通过尝试从无私钥的服务器SSH登录来验证密码访问已禁用。

更新服务器软件包：

1
2

apt-get update
apt-get dist-upgrade

安装和配置Apache与WebDAV

安装Apache：

1

apt-get install apache2

启用Apache WebDAV功能：

1
2

a2enmod dav
a2enmod dav_fs

创建WebDAV目录并设置所有者：

1
2

mkdir /var/www/webdav
chown www-data:www-data /var/www/webdav

配置Apache对WebDAV目录的只读访问。编辑/etc/apache2/sites-available/000-default.conf文件，确保配置如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    Alias /webdav /var/www/webdav
    <Location /webdav>
        Options Indexes
        DAV On
        <LimitExcept GET HEAD OPTIONS PROPFIND>
            Deny from all
        </LimitExcept>
        Satisfy all
    </Location>
</VirtualHost>

重启Apache：

1

service apache2 restart

通过浏览器访问WebDAV服务器：http://<your_server_ip>/webdav/

文件权限和访问测试

将文件放入WebDAV目录后，需注意文件权限。如果文件所有者是“root”而非Apache运行用户“www-data”，会导致权限错误。

更改文件所有权：

1

chown www-data:www-data /var/www/webdav/your_file

可通过Windows文件浏览器访问WebDAV文件，输入网络地址：\\<your_server_ip>\webdav

重要提示： 文件权限设置不正确会导致恶意Outlook规则尝试失败，用户会收到错误提示，且规则会自动禁用。

总结

现在您已成功部署WebDAV服务器，并可配置用于各种用途，包括渗透测试中的特定攻击场景。确保定期更新服务器并维护适当的安全配置。