在本次实训中,我深入了解了拒绝服务攻击 Dos 和分布式拒绝服务攻击 DDoS 的原理,以及 Web 入侵的一般步骤。还掌握了进行拒绝服务攻击的流量分析和 Web 入侵的溯源分析的方法。 文件包含漏洞是 Web 应用程序中常见的安全漏洞之一,攻击者可能会利用这一特性来调用恶意的文件,进而执行任意代码。 Webshell 是一种可以在服务器上执行命令和操作的工具。通过Webshell,攻击者可以对服务器进行各种操作,包括窃取敏感信息、篡改数据等。 Web 入侵的一般流程包括:信息收集、漏洞扫描、漏洞验证、权限提升、数据窃取等步骤。 在实训过程中,我通过实际操作,更加深入地了解了这些知识。同时,我也意识到网络安全的重要性。在当今信息化的时代,网络安全关系到企业和个人的切身利益。
在 Web 站点渗透任务中,我们首先启动靶机和攻击机,然后使用 Chrome 浏览器打开并浏览靶机中的网站。接着,选择合适的工具对目标 Web 进行扫描,收集信息,包括 Web 服务器类型以及是否存在可疑端口、地址或文件。根据发现的可疑信息,我们设法找到网站数据库连接的地址和 root 密码,并利用日志文件尝试进行 getshell。
然而,由于权限问题,我们需要修改日志文件的存储路径和文件名,将其改为站点根目录下的 shell.php 文件,然后重新写入 PHP 一句话木马。最后,通过浏览器访问 shell.php,检查是否访问成功,并使用 webshell 管理工具连接创建的 shell.php 文件,实现对服务器的控制。
同样启动靶机和攻击机后,使用 Chrome 浏览器浏览靶机中的网站。接着,对目标 Web 进行扫描和信息收集。找到数据库连接的地址后,查看数据库管理系统的版本号,并搜索互联网中可用的安全漏洞。
然后,利用 CVE-2018-12613 进行 getshell,执行特定的 SQL 语句向 shell.php 文件中写入一句话木马。通过打开浏览器的开发者工具获取 sessionID,根据漏洞利用原理构造特定的 URL,最终实现对服务器的控制。