渗透第一个靶机 shop1.0 (还是简单渗透版)
环境:win7虚拟机
渗透工具 : burpsuite 和菜刀
shop 1.0
通过一些后台字典,简简单单找到了该网站的后台找到。
下一步,进入以管理员身份渗透进入该系统,,使用burpsuit进行暴力破解,或者使用sql注入,
此处使用sql注入来解决。
算了 此处多写一点。
解决一下找后台问题。有些后台会进行隐藏,并不是简单的/admin /logind等 而且网站开发语言也不一样,可能是php也可能是asp 就所以后缀就很复杂,所以就需要使用一些后台扫描工具来代替手工输入去找后台,比如御剑后台扫描和wwwscan等扫描工具
御剑不太好用,有不少扫不出来。
在此使用wwwscan 。老师给的是没有图形界面的。比较low 但是我还没有时间去自己摸索这个软件。暂时使用老师给的吧,找到该软件的文件夹存放位置,然后再位置处输入cmd 快捷进入该文件夹。 网上找到一些
wwwscan.exe options ip/域名
-p :设置端口号
-m :设置最大线程数
-t :设置超时时间
-r :设置扫描的起始目录
-ssl:是否使用SSL
例
wwwscan.exe www.baidu.com -p 8080 -m 10 -t 16
wwwscan.exe www.baiadu.com -r "/test/" -p 80
wwwscan.exe www.baidu.com –ssl
如何使用该软件呢 在cmd该目录下,输入wwwscan.exe +域名+后缀
该靶机 输入 wwwscan.exe 192.168.126.131 -r "/shop2/" -p 80
注意 这个地方很容易出错,-r 扫描的目录之间要打空格 -p 与80端口之间也要打空格 要不然怎么都扫不出来。多使用就熟练了,而且这个东西 就是一个简单的小插件,拿到手之后其实很容易上手解决,需要有解决问题的勇气和能力, 这个会随着时间去锻炼的, 首先一点 不要惧怕这个东西。这个也是我去公司实习了之后的体会。
扫描出来这么大一堆端口,分析发现,admin/login1.asp是后台端口。
直接进入。
确实进入到后台系统。可是现在被堵在门外,无法进入。
老师教了一种查看cms版本的方法,但是我还没有通关。 大体上就是cms cms是一种制作网页的魔板 跟ppt模板同理。就是可以去搜索该版本的漏洞,也就是说只要是使用该模板的网页都会有这样的漏洞,漏洞就是功能,管理员可以用,黑客也可以用,管理员用就是功能,黑客使用就是漏洞,所以,漏洞的定义就是未经授权即可使用的功能,本质上漏洞就是功能,找漏洞要从功能入手。
现在使用sql注入来试试搞定这个网站。sql注入,就是通过sql语句来与该网站建立联系,功能较多的网站一般都是会与数据库连接的,所以可以试着使用sql语句去查询该数据库里面存放的用户名与密码。进入该网站后台。
sql注入两种 一种盲注
首先在该网站找到与数据库交互的地方。
一些存放图片 数据的页面,可以观察到其网址上的后缀带有id= 等字样
可能存在sql注入点。
3、sql手工注入查询登录密码
1)判断是否存在注入点
在该地址发现id=485 进行手工sql注入
http://***/shop/productshopxp.asp?id=485
http:***/shop/productshopxp.asp?id=485 and 1=1
http:***/shop/productshopxp.asp?id=485 and 1=2
手工sql注入是需要多次尝试的
id=485 and '1'='1
可能有些是字符验证的
2)判断admin表是否存在
http:***/shop/productshopxp.asp?id=485 and exists (select count(*) from admin)
没有反应
输入这个说明admin表存在
3)判断字段 password 是否存在
正常页面。说明存在password的表
http:***/shop/productshopxp.asp?id=485 and exists (select count(password) from admin)
4)检测密码的长度
http:***/shop/productshopxp.asp?id=485 and (select top 1 len(password) from admin)>15 正常
http:***/shop/productshopxp.asp?id=485 and (select top 1 len(password) from admin)>16 错误
说明该密码的长度为16位
5)查询密码的第一位数的ASCII码
http:***/shop/productshopxp.asp?id=485? and (select top 1 asc(mid(password,1,1)) from admin)>54 正常
http:***/shop/productshopxp.asp?id=485? and (select top 1 asc(mid(password,1,1)) from admin)>55 错误
所以第一位密码的ascii码数是 55对应7 相同方法可知道 第二位是b
password存在。
前两位可以得出来
我们使用工具阿d注入工具来破解 进行自动注入
首先打开注入点,去检查
检查表端,检查字段
检查到admin和password两个表段
检查到了用户名,但是密码是一串很长的字符,一半使用的是MD5加密,将该字符串输入到解密器中
一个是 guanli admin888
一个是 neilyo neilyo
阿d注入工具比较局限性,可能在其他的靶机上不是很好用,所以使用sqlmap来注入
sqlmap
登录
成功进入后台,
继续进行渗透获取webshell 上传 木马,与木马通信获得服务器web管理权限。
webshell就是一个木马后门 shell是指“为使用者提供操作界面”的软件,类似于windows 的cmd.exe。攻击者常常将服务器能运行的脚本文件(木马文件)放置在网站服务器地web目录中,通过web方式,利用木马控制网站服务器,包括上传下载文件、执行任意程序命令等,这就称为拿到了服务器的webshell,也就是拿到服务器的web控制权限。webshell可以穿越防火墙 攻击者与被控制地服务器或远程主机都是通过80端口传递数据,因此不会被防火墙拦截
要获得webshell:
1. 找到上传途径
2. 成功上传木马(绕过上传验证),木马要能被执行
3. 知道木马存储路径
4. 执行木马获得webshell
以这个shop靶机为例
获取webshell
第一步 找到上传路径。我们已经进去了这个网站的后台管理系统。
搜索网页发现,该网页有好几个传输入口。但是只能传输图片。文件后缀名是jpg 等的文件可以上传, 所以首先做一个判断,这个上传拦截是在客户端还是在服务器, 在这使用burp suite抓包软件, 开启代理。然后传输文件,发现抓到传输的文件包了,所以说明这个传输拦截白名单是在服务器端进行的,因为如果在客户端的话,,这个文件根本无法上传。在此判断完成。
第二步 . 成功上传木马(绕过上传验证),木马要能被执行
这一步是获取webshell最关键的一步,成功上传木马。
首先 判断这个写这个网页的语言是php还是asp还是asp.net
然后使用 中国菜刀 去找到对应的一句话木马。
在前面渗透的过程中 admin/login1.asp 我们可以发现这个网页是asp语言编写的
1、PHP:是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言。
2、ASP:是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。
我们去菜刀里面查询到 asp对应的木马,然后用记事本写一个脚本,将该木马复制多次写入脚本。防止被过滤。然后改变后缀为jpg。再回到该管理系统去上传。
使用burpsuite开启代理
在ie浏览器找到工具栏,点击Internet选项。连接
将木马后缀改为jpg 上传上去。同时使用抓包软件开启代理拦截。
可以看见已经抓到了包了。
而且连内容都抓到了 显示出了木马。在此可以看出 连回显的路径都给你了。这个靶机的漏洞好还不少。分析出来的做法是。在burpsuite中可以操作,使用00截断。将回传的后缀截断,不执行。并且添加,将传入的jpg改为asp。
添加888.asp.111.jpg 使用888便于查找hex
找到断点位置 改为00
截断 成功
运行
关闭代理。
复制刚刚路径,也就是找到了木马传入的路径,shop2.0\shop2\img_shopxp\upfilepic\888.asp
然后选择asp格式,后面的输入chopper 连接,进入webshell
可以远程 拖出文件,上传文件。
webshell获取成功。暂时到这儿
渗透第一个靶机 shop1.0 (还是简单渗透版)相关推荐
- mysql-8.0.12语法_mysql-8.0.12 (免安装版) 安装详解
mysql-8.0.12 (解压版) 安装详解 错误解决 第一步:mysql-8.0.12 (解压版) 下载地址:https://www.mysql.com/downloads/ 第二步:配置初始化m ...
- 渗透 | 靶机Aragog-1.0.2本地定时执行脚本提权到root
靶机介绍 下载地址:https://www.vulnhub.com/entry/harrypotter-aragog-102,688/ 作者Mansoor R在VulnHub上上传了哈利波特系列的三个 ...
- Exp10 Final 类CTF(Webug3.0漏洞靶场—渗透基础)
一.前言 Webug定义为"我们的漏洞"靶场,基础环境基于PHP/MySQL搭建而成,整个web环境装在了一个纯净版的Windows Server 2003的虚拟机中. 此靶场包含 ...
- 为什么python除法结果会有小数点0_为什么Python返回0进行简单的除法计算?
为什么Python返回0进行简单的除法计算? 内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用回答 (2) 关注 (0) 查看 (296)为什么这个简单的 ...
- 【渗透测试】靶机渗透Vulnhub-bulldog
目录 前言 一.bulldog靶机安装 二.bulldog靶机渗透 1.信息搜集 2.Web渗透--后台登录 3.Web渗透--命令注入&nc反弹shell 4.权限提升 渗透步骤回顾 感悟 ...
- Web渗透测试对靶机注入shell(phpMyAdmin)
Web渗透测试对靶机注入shell 文章目录 Web渗透测试对靶机注入shell 1.寻找目标信息 netdiscover扫描 nmap扫描 利用御剑后台进行扫描 2.对登录页面进行暴力破解 启动bu ...
- Python开发第一步:如何制作一个简单的桌面应用
Python开发第一步:如何制作一个简单的桌面应用 前言 大家好,我是baifagg, 一个热爱Python的编程爱好者. 今天我们来学习一下, 如何用Python制作一个简单的桌面应用程序. 虽然桌 ...
- 【第一季】Vue2.0视频教程-内部指令(共8集)
[第一季]Vue2.0视频教程-内部指令(共8集) [第一季]Vue2.0视频教程-内部指令(共8集) 第1节:走起我的Vue2.0 学习这套课程你需要的前置知识: 下载Vue2.0的两个版本: 项目 ...
- python练习题(python之“求一个数的阶乘并求结果中从后向前数第一个不为0(零)的数” 等)
实验环境:python2.7 题目1:python之"求一个数的阶乘并求结果中从后向前数第一个不为0(零)的数" 程序: import math def factorial(n): ...
- 王爽 汇编语言第三版 监测点9.2 监测点9.3 补全编程,利用jcxz指令,利用loop指令,实现在内存2000H段中查找第一个值为0的字节,
补全编程,利用jcxz指令,实现在内存2000H段中查找第一个值为0的字节,找到后,将它的偏移地址存储在dx中. 而且,截图中给出了是字节.是8位,占通用寄存器的一半空间!区分出CL,CH! 为了区分 ...
最新文章
- 删除目录下大量小文件和清空大文件
- Spring MVC国际化
- 连接控制台_智能消防水炮视频系统连接方法
- Winform中设置ZedGraph的多条Y轴的标题和刻度不显示十次幂
- 求二进制数中1的个数
- 那个好好玩的特效,每个人都可以做到哦
- 基于webpack4.X从零搭建React脚手架
- node php聊天室,最简单的Nodejs聊天室示例
- [vue-element] 你有二次封装过ElementUI组件吗?
- Eclipse Console 加大显示的行数,禁止弹出
- 一个草根站长的创业故事之选择
- AS星尘粒子系统 初识2
- vue 拖拽产生连线_连接两个div的直线,拖动时保持连线。
- matlab如何计算方差分析,matlab-方差分析.ppt
- 组成原理之全加器实验
- 微信小程序开发入门需要学什么?
- Linux:冯诺伊曼体系结构 | 操作系统 | 显卡 | 主板
- 万豪环保系列之《紫外线消毒器》
- 3.处理死锁的方法——避免死锁(银行家算法)
- 多种非接触卡 ATQA 字节说明
热门文章
- 智鼎在线测评是测什么_人才测评工具和人才测评方法
- 移动端:纯html 基于 mescroll 插件实现上拉加载,下拉刷新,返回顶部
- python deap_看完必会的 python DEAP遗传算法库讲解+实战(中级)
- 无人机底层开发-MPU6050+磁力计的四元数解算姿态
- ae制作小球轨迹运动_教你如何用AE做出动画效果
- Charles抓包安卓端
- 斯坦福大学CS224N-深度学习与自然语言处理:课程1-笔记
- 如何快速入门PLC编程?
- Topaz DeNoise AI 3.7 人工智能降噪
- YOLO学习笔记4——YOLOV2详解+论文解读