web漏洞测试笔记

shzhu   vulhub/ ，appweb 的HTTPd换行解析漏洞

创建一个uubuntu的虚拟机，要先搭建好靶场环境，我也不会。 在网站上vulhub.com找到自己需要的漏洞源码，直接下载下来保存到虚拟机中去，在虚拟机里面打开终端输入ls查看直接下载过来的源码叫什么名字，如何cd（进入） vulhub-master 中 就进入vulhub-master中 ls就可以查看自己下载的源码

 

 根据网页提示 编译及运行环境里面的指令复制下来粘贴到终端上执行

弹出这一堆提示是因为没有没有在root用户下执行，输入su root 切换到root用户就好啦，在执行这个指令之后按找顺序输入

用ifcomfig 查询直接的IP地址  en33开头的代码里面的ip地址就是

之后就可以去启动后的网站开始测试  网站就是 http://192.168.245.142:8080

|

burp抓包后发现后缀名是php的被阻止发送， 而在文件后缀加上\xoa就以发送

 还可以访问。

htpd未知扩展名漏洞

同样搭建好环境之后，测试上传一个后缀是php.jap的文件就会给一个网站

网站，平台识别 某cms无漏洞 默认数据库

在虚拟机上下载好需要的源码

要测试的是8003 的网站

注意下面的关键词 xysmc  知道这个就可以去网站上下载xysmc的建站源码来用，

这就是典型的源码，下载好之后打开会有很多文件 ，打开xycms的文件之后再打开直到打开xyscm的表格可以用access查询工具打开，通常的打开方式显示的表格是不全的，然后用access打开之后找名字为admin或者username的表格打开后就是网站后门的账号和密码adimi是账号 passwd是密码/。通常密码是md5加密的，去解开就好啦。然后在网站后面加上/admin之后就进入网站后门登陆界面，登陆进入就是网站后台。

第二个 php格式的

 进入测试网站，下面已经显示出来版本号了 metenfi 5.14  就可以直接网上搜索metrngi5.14漏洞根据网上搜到的步骤一步一步来就可以入侵，就不用在进行漏洞扫描,也可以下载出来cms指纹识别字典，在里面比对

 根据图片上提示

找不到特有文件的时候可以下载出来，就可以在网站后面加上/（cms指纹识别字段上有的特有文件如第一个的favicon.ico）注意如果可以搜索出来加上这个网站的特有文件可以直接下载到桌面上，如下图所示

下载到桌面上  ，就可以在命令提示符来查询md5密文，certuil -hashfile 文件目录.文件名字  md5

 

也可以搜所我们已经在网站上或许的metunfi 然后复制下载地址去下载，之后在命令提示符用同样的指令去查看，然后得出md5密文和字典里面的md5密文。

购买商品逻辑漏洞

打开测试网站，然后选好商品，在开启burp抓包软件进行抓包

箭头指向的后面跟着的数字就是购买数字1，而我们可以把1改成  -1在放包之后，因为买的东西是-1个支付金额不能为负数就显示0.00元

 个人博客搜索cms漏洞

打开源码查看，找特殊的文件点开看，第一天网站后面跟着的复制下来去百度上搜索就可以搜索出来cms

箭头指向的是cms，就可以在网上直接搜搜漏洞。

内部源码网站靶场

在网站后缀故意输错误一点源码会给个提示界面，往下滑直到看到框架的版本号 

 

 还是先去掉版本号去百度上搜一下是什么，才能确定是框架的，用thinkphp软件搜索一下刚刚的网站，就会显示出来存在漏洞如下图

用一个框架做出的网站，把网站粘贴上去验证也是存在漏洞的

找到源码的方法可以在菜鸟源码下载也可以在咸鱼和淘宝上买。

远程代码操控漏洞测试

打开搭建好的虚拟机和虚拟机测试靶场，打开搭建好的虚拟机打开终端进入自己的模块

如果找不到只能可以先用search  模块名字  搜索一下

配置一下payload

 打开第一个的文件夹的目录，进入模块，之后可以用show options查看一下模块参数。

之后直接输入直接的网站

 攻击成就可以操作被攻击的系统

 

MySQL身份认证绕过漏洞

先在ubtuntu虚拟机中搭建好靶场环境，在kill中进入攻击的模块第一种直接输入图片上的的代码可以直接攻击进去控制面板

第二种是远程代码攻击 ，进入攻击模块后 输入要攻击的ip的  输入run开始攻击

 出现红线上的就是攻击成功，已经创建了一个文件，这时候只需要进入这个文件然后查看密码表

 然后破解md5面膜，逆运算破译出来就是root用户的密码

 

反序列化漏洞

在ubtuntu搭建和靶场环境，进入指定的网站使用burp抓包

根据图片上修改字符数目和文件地址就可以查询随意想查看的文件里面的东西。

解密测试

自定义组合的加密方式，会给我一个自定义组合加密的代码，让我么自己一个一个慢慢推，然后写出来一个解密的代码。

 如下图加密代码

 解密代码

然后运算执行解出来

mysql数据库解密

条件如下图所示已经入侵到用户表

已经看到了password 密码是加密的，同时还加上了salt，通过观察的密文格式很可能是32位的MD5，但是复制下来去解密什么都解密不出来，这是看到salt加上了别的东西，来干扰，揭秘时候就要在MD5密文后面加上：再加上salt的值如图所示

加密方式md5(md5(Spass) Ssalt)  是自定义组合的。

网站信息泄露，解密。

不用管有没有上去先一段乱打再说，如图打

打完，扫到一个地址直接打开，刚好有解密下载链接。

为什么显示解密，因为网站显示出来本来加上加密的，如果写加密过程会对网站加密后的密文在进行一次加密。 

直接全程显示出来，aes加密方式，同时知道了面膜和偏移量最重要的两个值，还知道了二次加密， 

因为二次加密也有进行二次解密，所以先解密一次获取一次加密的密文，然后在继续aes选好对应的模式解密获取明文，如图所示

 就出来了，但代码里面写了过滤mozhe。

xueersi子域名查询ip小技巧。

进入xueersi网站，复制下来网站去超级ping工具拼一下

 返回的结果明显是节点ip，每一个ip地址都不一样。

而我们发现在网网站上不输入www.xueersi.com，输入.xueersi.com依旧可以访问，而不加www的就是它的一个子域名，我们就可以ping一下这个子域名试试。

而子域名没有设置cdn，所有ip都一样，所有我想这些ip地址就是主站地址就暴露出来了。 

dns历史记录==第三方接口

记录查询可以通过x情报社区，这个网站来查询一下网站。

这些都是历史纪录的ip ，

国外地址访问：比如sp910.com这个网站开头如果是www开头是会有cdn的，很难访问到主站ip，而前头加上m开头获取的是手机界面的浏览界面，虽然界面显示可能不一样，但是同一个网站，这时候就可以用国外的ping网站，去ping m.sp910.com，这时候在国外访问的，用国外网站访问用一些冷门的网站，不要用热门国家的，比如一些非洲的，澳大利亚的，意大利啊什么的，因为在这些国家里面，网站因为经济原因设置cdn的几率更小。下图加上国外地址访问呢的。

 那个大多数ip一样的就很可能你是主站ip。子域名查询方式直接去网上搜查询网站直接输入网站地址直接查出来。

mozhe邮件源码测试对比第三方查询（地区分析）：邮箱收到mozhe发来的邮件，然后去网上搜怎么用邮箱查ip按照网上的步骤来，在邮件页面大概就是右键，更多操作，查看邮件源码，如图

在查询网站查询出来的。

 

 两个结果不一样这时候就需要我们验证结果，我们先分别搜一下两个IP地址，搜索结果会显示具体地区，得知两个ip地址归那个地区，这时候我们就可以网站上看网站最下面的备案号，备案号都写着主站备案的地址找，mozhe的备案号是渝是重庆的缩写，这时候对比一下，那个ip归四川重庆的就是主站ip。还可以查询网站别的地址信息，比如在哪里办公。

第二种方法打开home，在里面配置和mozhe的ip，先输入一个ip，然后在命令提示符确定的ip更新后在网上搜索mozhe，发现进入了这个就是主站ip，访问不了就不是主站ip。

waf识别工具搭建

 解压压缩包，最好压缩到一个单独的文件夹里面

之后在命令提示符进入这个文件夹目录方便配置好环境

 waf，就是一个墙，我们要绕过他才能做漏洞分析，要知道他们的原理去分析，如果不会只能在网上公开的去翻墙，但是waf一更新就不行了，如果报错找不到文件，可以找到需要的python3的目录然后按住拉到命令提示符上来就在这段代码的后面然后就剋以啦，配置好环境后，在文件夹里面创建一个文本文档 把格式换成cmd.bat  之后

 这个里面加入这些，就会直接到这个文件的目录下面，点开新建的cmd就可以直接输入 ru't如图所示代码进入waf识别

 输入py -3而不是python的原因是因为我这个主机有两个python，一个是2一个是3需要靠py -3来识别我用3还是2，所有输入py -3来使用python3.之后

 进入这个文件目录开始配置和环境  输入

 

  

 这就可以啦。

对ip地址一顿乱扫演示

找到ip地址之后直接在三个黑引擎上面搜，shodan，钟馗之眼，fofa，还在电脑命令提示符上 nmap -sV IP地址  一顿打

三个黑引擎是结果上找返回数据包有不相同的附加内容的，点开看看，都点开试试总有有问题的就可以利用

 

有点嫌疑直接打

打开了直接试一下弱口令可不可以用，admin，admin直接进入系统管理系统。

小迪信息搜集演示

给了一个目标网站，先看看有没有子域名直接在网上三大黑引擎，查子域名网站全去查一遍，黑引擎查询结果里面看不一样的网站都点开看看，

 有些显示无法连接的可能是因为这个防护的软件，比如这个主机阿里巴巴的阿里云就会检测一些可能是来攻击网站的就会屏蔽这个ip的访问所以打不开，这时候就可以开个代理在访问一下试试确定是不是真的打不开。

 这个8000端口就可以成为测试目标，

这个端口也是测试目标 ，

搞完这些再用白引擎搜子域名试试，比如百度就是 site：域名，然后在搜索结果里面找跟主站不一样的，点开进去就可以直接复制全部域名用命令提示符ping一下就能获取一个全新的ip，就能再去重复一下上面的操作。

子域名查询网站在输入域名查一下

还有旁注也不难放过也在网上旁注查询网站去查，

c段的话目标太大了。先放一边去。 

再去找类似域名冲，总能给它冲烂，直接在子域名查询里面点开站长工具之后点击主页，输入域名查询，再点备案信息查询，还可以看到这个公司备案的别的网站，

用代理采访问到的新网站，敏感信息很多，有管理面板直接点开试试弱口令，点开的控制面板的网站也可以拿去cm，ping一下 看看ip，还有探针信息都打开i看看，php的看看存放路径，探针到数据目录到了数据库就试试弱口令看看，别的备案网站也都可以ping看看ip，都可以拿这个ip去用引擎搜一下重复上面的操作，冲烂它，在找找网站都有可能成为测试目标，信息搜集的方法特别多，

网站的主页看看下面有没有敏感信息或者防伪的东西都可以点开看看，有没有需要得信息或者作为测试目标，还可以去百度谷歌上搜索官网就会找到一些代理或者官网授权，也可以打开看看

直接找到了防护软件是什么，

谷歌里面搜到了一下写奇怪的域名，都打开看看这种特殊的大多数都可以是测试网 

 

发现是之前的缓存网站，以前的主站是php，选择即使用了伪造平台也可以发现主站是php搭建的，这些都是偶尔搜索到的，所以要大面积的搜索信息，总会遇到需要的东西，又是一个信仰与吗这个是在白引擎上面搜搜攻击成就是只有中间那一段域名去掉开头和后缀搜出来的，所以多去搜很重要，碰巧就发现了再去网上搜搜，后缀加上/robots.txt  试试 后缀加上/robots.txt  试试

就发现了好东西，在都试试发现了他是youdiancms管理系统，都可以直接去网上搜漏洞测试教程

别的网站ping出来的ip，都可以再去重复一下第一开始的查询方式，找到更多的测试目标。还有引擎查询出来的网站都有特别的

又一个用的什么搭建的都出来phpcms v9，直接去网上搜漏洞，后缀名加上/admin.php进入后台登陆系统试一下弱口令。多收集数据才会有机会。

信息搜集的爬虫域名

 

cdn测试可以用这个网站

ip定位用一个叫open的免费还可以 。

简单的sql注入演示

进入测试网站，这个网站明显有sql注入问题的，这是一个查询的

 

 这时候我们可以更改它的源码，找到文件，根据网站后缀的信息找到pikachu-master/vul/sqli/sqli_id.php的文件点开源码加入一条指令让网站显现出来口令，如下图的指令

 

 网站就显示出来了指令，这时候就已经证明它可以sql注入了，而我们的目标也无非是网站管理者的用户名和面膜就是下面这个表中的数据

 那我们要怎么利用这个漏洞去获取这些信息呢，来到我们可以抓包的浏览器进入这个网页

用burp抓包后修改数据试试可以执行

 

 放包出去，验证是可行的之后开始把1和2改成我们想要的数据名字

 放包检验结果

 查出来了这时就可以靠这些登入网站后台控制。

简单的目录遍历漏洞和文件读取漏洞，进入测试漏洞网站

 所以点击着两个分别进入的地址不一样，上面是第一个地址，下面是第二个地址，前面基本上都一样，就后面的参数值不一样，所以查看的文件不一样，

 这个时候把后面参数改一下是不是就可以访问别的文件？我们在目录下面添加一个1.php内容设置为1111吧，把参数值修改成1.php，试试访问一下加上访问1.php的内容呢

结果是可以的，这时候如果我们想访问它上级的目录是不是也可以，比如它上面的www目录，假如这个目录是网站根目录，在目录下面有一个文件假如xx.php里面敏感信息，试试能不能访问这个文件的内热，这是自己添加一点内容测试一下

 这个网站地址该怎么写，在网站参数哪里加上../../../../xx.php，../的意思是访问目录的上一级，访问一下试试可不可以是可以访问的，这个漏洞做的事情是跨目录访问文件，这个漏洞对网站有什么影响呢，既然可以跨目录访问，那么别的目录也会有些敏感信息吧，比如存数据库地址用户密码的，这里我们测试网站中 上级到pikachu-master  里面有个inc目录这个目录里面的config.inc就存放了数据库地址用户密码，我们该怎么去访问它呢，根据目录分析相隔了三层所以在参数哪里写为../../../访问这一级目录之后在inc/config.inc.php访问，这里没有超出了的原因大概是原查询文件的内容里面没有写显示出来的代码我们去写上再试试，如下图

 被读出来的数据

这里肯定会问怎么找到这写文件目录，怎么知道这些目录的，怎么知道叫什么的，其实直接用工具去扫就可以，

 再加上inc再去扫就扫出来了，也可以用爬虫都可以。

目录遍历的另一种，它有分类

现在网上搜到php文件夹遍历的代码，在www架设根目录下新建一个php文件，在内容上写这个文件夹遍历的，修改好参数。我命名这个文件夹就hanhan.php

 

为了方便读取指定文件夹，这里就可以优化一下代码

 

 还可以在后面是你加上..\可以访问上一级目录

 通过这些漏洞可以获取目录下面有什么文件，文件夹叫什么都能获取，通过这个漏洞获取是整个网站的源码结构，能够获取到对方服务器下面有什么文件，目录名字是什么，这个漏洞就会造成一种危害，关于网站上敏感东西的泄露，网站源码结构也会泄露，就是这个网站的源码会区分有数据库文件，后台文件，数据文件，假如这个网站有备份文件，备份到了这个目录的下面，你一开始不知道有这个文件，但是通过漏洞发现下面有个文件夹是备份文件命名，就可以通过网站下载这个网站们之间访问文件地址取下载，这个文件下载出来肯定有很大的帮助。所以这个目录遍历要结合一些思路去，这个漏洞的危害也比较单一，只能获取网站或者服务器目录，盘符里面的目录结构，根据目录结构对着访问一些敏感文件，下载出来在进行后续的操作，对比sql注入这个漏洞是不一样的他只能帮助获取一些目录结果需要去配合才能发挥作用，不会配合就没有做用。目录遍历和文件读取漏洞有一点差异，文件赌气能读取单个文件的内容，而不能读取文件夹里面的内容，目录遍历是可以获取到文件夹，文件但他不能读取到文件的内容。一个显示文件夹的名字，但不能显示你内容，另一个可以读取内容，但不是获取目录结构。这个原因是网站开发员的代码决定的，它的代码涉及到读取就能读取，没有就不能。

简单的文件上传漏洞，

先进入测试网站，这时候网站提示只有jpg格式的文件可以上传，我们就随便找一个jpg的格式，点开他的代码，里面插入一代码用于显示php的运行环境，<?php phpinfo();?>，这时候就可以上传但是访问他给的的链接还是jpg的没有什么用，这时我们就打开burp抓包，

 访问所给的链接 

 ，这个文件上传漏洞，第一点就是上传一个文件到对方网站上去，第二点在获取网站权限之后呢会进行一个通常的操作就是遗留后门留后门最直接的就是在网站目录下面遗留一个后门文件，这个文件上传又刚好就能上传，那么就等同于直接将后门文件上传到网站上去，文件上传漏洞就可以直接获取权限，植入后门，前提条件有文件上传漏洞，刚刚我上传php文件上传不了，因为php文件很可能是一个脚本文件，所以只能上传jpg文件，但是ipg文件不管用啊，我必须上传php文件就通过为文件上传漏洞，利用burp这个软件把软件格式改成php，进行一个绕过上传。还可以直接在原本上传jpg格式给的链接后面改成php，也是可行的

 所以这个漏洞是一个高危漏洞，直接能影响到网站权限，刚刚那个文件上传写一个后门代码就能直接植入文件直接获取权限。

思路，在漏洞测试的时候先想清楚漏洞的等级和危害，如果这个都想不清楚后门的渗透思路就很困难了，比如我们想拿下网站的权限，但是我们发现一个文件上传漏洞，这个漏洞能不能帮助你获取这个漏洞权限，是可以的这时候还有一个目录遍历漏洞，它能不能帮你实现这个目的，能也可能不能，能得愿意就是获取信息之后就可以操作下去获取下去，不能的原因是获取信息也干不了，谁也不能给后面的进度打包票。

简单的文件下载漏洞演示

还是先进入测试网站，之后点开两个图片下载试试，在分析一下下载链接，

 

这时候我们就可以试着利用这个漏洞下载，上级的文件，我们想要的文件，比如我在www是它根目录，目录中有一个hanhan.php的文件是敏感信息文件，

小迪实战 

 上面的信息只能到这一步，不能真正的去打，所有没有经过授权的渗透都是违法的，但到了这一步也已经把要演示的东西都演示出来了，因为是密文格式，所有我们想要获取的敏感文件的名字也要加密成相应的密文才可以下载。

墨者sql注入漏洞测试习

判断注入

猜解列名数量（字段数） ： order by 这里就是在网站末尾加上order by1，网站正常在order by2，网站正常在order by3，以此类推知道网站不正常就知道有多少个字段数，最好网站不正常的那个数字前一个数字就是字段数。

猜解准备

213.15349 221 48354/mew lst php？id= -1 and 2=2222 union select 1.2.3.4，，目的是让网站报错看看能下出来的数字是几，就在几哪里修改成我们想要的语法，只有让他显示出来外面才能知道。

 报错的显示出来的是2.3。

信息收集，下面这些是数据库语，数据库规定的

数据库版本：version()    5.7.22-0ubuntu0.16.04.1

数据库名字：database()  mozhe_Discuz_StormGroup

数据库用户：user()   root@localhost

操作系统：@@version_compile_os    linux

 通过，这个手段来获取我们上面所需要收集的信息。由于版本是5.7高于5.0是高版本就可以使用informationschema有据查询，

查询到了这个网站的表

也可以写为http://219.153.49.228:43123/new_list.php?id=-1 union select 1,table_name,3,4 from information_schema.tables where table_schema=‘mozhe_Discuz_StormGroup’ 搜搜的结果是一样的。
原文链接：https://blog.csdn.net/RichUee/article/details/128172756where是条件的意思，这句语法的意思要查询nformation_schema.tables中表名是table_name的信息条件是数据库名是mozhe。。。；结果查询到表名在查询列名

 http://219.153.49.228:43123/new_list.php?id=-1 union select 1,column_name,3,4 from information_schema.columns where table_name=‘StormGroup_member’。

语法跟上面的意思差不多，只不过查询的column_name

结果

 

 知道列名的信息就可以查询指定列的信息了

http://219.153.49.228:43123/new_list.php?id=-1 union select 1,name,password,4 from StormGroup_member 

 下面出现的那串md5加密的的root密码。加解密一下就可以获得密码。