渗透第二课解题过程

重要说明：本文作为学习笔记，仅用于学习交流，请勿用于其它用途，侵删。

目标靶场：http://120.203.13.75:8001/shownews.asp?id=171，此靶场是腾讯课堂免费课程中的演习靶场，此笔记较为基础，请大牛勿喷

第二课是基于第一课所学的知识上进一步学习渗透，所以如果哪里我一笔带过没有详细说明，那就意味着该知识点为之前笔记的知识。

这次的笔记讲的是如果目标站点有WAF防火墙，我们如何绕过。什么是WAF？

简单来说WAF就是一个防火墙，可以有效防止恶意SQL注入，可以对提交的命令进行敏感词过滤。比如我们第一课笔记中在URL后面拼接了一段SQL，其中关键词有 and select from 等，有了WAF之后，我们上一节课中的方法就不能产生效果。

但是渗透之路，思路要灵活，一般来讲很多WAF只是过滤Get、post方式提交的传参，那么我们就可以试试使用cookie进行提交

废话不多是，开始干活。

访问目标站，并测试是否存在注入（既然是靶场，肯定存在的啦，注入测试过程就不重新演示了，第一课讲的方法在这里够用啦）

经过测试，我发现 order by 10 页面反应正常，order by 11  即不正常，由此可判断该页面确实存在注入，并且order by 10页面返回正常是告诉我们，这个表的字段有10个。

访问目标站点：http://120.203.13.75:8001/shownews.asp?id=171 order by 10

在上一课中，我们利用order by子句进行快速猜解表中的列数，再配合union select语句进行回显。可以通过修改order参数值，再依据回显情况来判断具体表中包含的列数。

那么这一课我们继续尝试此方式是否可行

http://120.203.13.75:8001/shownews.asp?id=171 union select 1,2,3,4,5,6,7,8,9,10

这时候我们发现，目标站点存在WAF，也就是防火墙，把我们给拦截了，那怎么办？

用cookie进行传递参数！ 什么是cookie，大家自行百度。

那怎么伪造cookie呢？可以用抓包工具和一些浏览器插件来实现，我们这次的笔记就先只讲插件。

浏览器插件ModHeader，就是这个小球球

 

我们点击+号新增一个Request头。

 

我们添加一个Cookie头，并写值为id=171，并确保已开启（打勾）

 然后我们把浏览地地址中的?id=171  删掉，用cookie的参数代替测试是否正常返回页面

返回页面正常！说明此方法有可行的几率，那我们继续，在id=171后面构造SQL语句来回显数据

在进行目标站渗透测试的时候，一般来讲都是对表进行批量猜解或者爆破或盲注。由于新闻中我们看到敏感词，发布者是admin

那说明开发者可能习惯使用admin，我们就可以猜一下用户表是不是也叫admin,我这个叫手动猜解。试试admin

我们在cookie的值后面加上  union+select+1,2,3,4,5,6,7,8,9,10+from+admin

哇，大家看你看到了什么，没有出现数据库错误，这证明admin表是存在的。且第2、3、7、8、9字段，可以用来猜测字段名，同时，可以直接回显在页面上。

 我们接着尝试猜测最常见的管理表字段名Username和Password，我们在2、3、7、8、9中任选两个，分别填入Username和Password，做渗透测试你手里一定会有一些字典表，字典表里面是开发者惯用的一些字段，比如账号的字段还可能是user或者name,密码字段还可能是pass或者pwd。字典表是什么就不多解释，自己去搜集去生成

id=171+union+select+1,username,password,4,5,6,7,8,9,10     我选择用2和3来回显数据。

很明显，我猜对了，已经爆出来了用户名为：admin，可是密码确加了密：b9a2a2b5dffb918c

但是如果了解过MD5的同学应该一眼就看出来，这个密码很想被MD5加密过的，是不是我们试试就知道了

首先我们将加密过的密码复制下来，去一个MD5的网站进行密文的明文查询，呐一下子就出来了，密码明文为：welcome

 到这里的时候，新同学可能就问了，我知道这个密码有什么用呢，这是个新闻网站我没发现登录的地方在哪啊，有账号也登录不上呀。

这时候字典表的用处又出来了，一般来说很多网站的后台都是在后面加上/admin或者/logon、/login等等，基于这个网站的开发者好像对admin情有独钟，那我就再猜一下admin是不是他们的根目录。在这里我强调一点，我的过程是提供自己的理解和想法，大多数还是需要用字典去爆破，像我笔记中这种运气基本上是一半一半的几率，有时候利用CMS指纹能更快捷的识别目标，去有针性的渗透，CMS我的理解是一种身份，包含了这个网站的开发语言，后台服务类型和版本，数据库种类和版本等等信息，什么是CMS自己去百度了解，这里不多解释。

好了，我在网址后面加上/admin试一下

120.203.13.75:8001/admin，我就只在后面加了/admin 

为什么给我返回的页面却是120.203.13.75:8001/admin/Login.asp

那是因为admin确是是这个网站的根目录，另外根据CMS识别，这是个南方的站，南方是一家公司，专门接做网站的，很多门户网站都是他们做的，其实就是同样的代码套用，就是换了内容和样式。既然知道是南方的站，其实我们就直接知道了根目录就是admin，那刚才我为啥还多此一举给大家说我是猜的呢，因为CMS不是万能的，互联网上有太多的网站了，并不是每个网站你都能识别出CMS。所以有一个伟大的字典表是帮助很大的。

好了说正题，我们加上/admin后发现，跳了一个企业网站管理系统，哇！这可就是管理员后台哦

我们尝试用刚才得到的账号密码登录试一下。

哈哈哈，账号密码都对，直接进去后台了，并且拿到了通关的FLAG!