入门级渗透测试，shop靶机

渗透小白适用的shop靶机

---

渗透环境开启：

• 打开配套k8迷你asp服务器
• 双击，即可出现网页，选择shop，进入本地网页环境
  

作为渗透小白，面对靶机中的网站首页，挨个功能，先都试试

• 网站首页中存在登录按钮，那么一定存在后台，可以通过目录扫描来查找后台，获取后台地址后，可以尝试从后台登录从而获取到管理员权限
  –>一般后台登录的用户通常是管理员的权限，这种权限要比普通用户在网站首页的登录权限大得多！！！

目录扫描

• 在靶机中存在wwwscan，御剑等扫描工具，均可以进行对靶机网站的目录探测
• 在这里，我是用的是wwwscan
• 进入wwwscan目录中，通过地址栏中输入cmd，可快捷进入当前目录下的cmd窗口

• 输入目录扫描命令
• wwwscan.exe 靶机IP -r "/shop2/" -p 80
• 扫描出结果，发现存在admin/login1.asp的地址可能为后台地址

• 尝试访问，确定后台目录地址

• 但是并没有获取到用户名密码，暂时还无法登陆

尝试SQL注入

这时只能返回网页中，在各种网页的资源窗口点击尝试利用

• 在尝试多个网站功能后可以发现url出存在id参数
  

• 面对id参数，首先就应该尝试SQL注入

?id=485 and 1=1
?id=485 and 1=2

• 无回显，但是页面有不同显示，说明存在盲注，可以继续尝试SQL语句注入
  d=485 and '1'='1
• 在多个SQL语句的查询下，页面的回显不同，说明可以通过手工直接注入出结果，但是这里有个小技巧，可以通过啊D注入工具来尝试注入，从而获取到用户名密码
  
  直接通过工具来尝试获取表名，和字段名
• 这里直接获取到用户名，和一段加密过的密码值，可以通过解码来得到其密码值
  
• 在通过解码后密码分别为： guanli admin888和neilyo neilyo
• 得到密码后，就可以尝试登录后台，从而获取到后台的权限，为所欲为！！！
  
  成功进入后台，用户为：guanli

上传木马

进入后台，所有关于网站的功能点，现在都对攻击者开放，那么为了获取到服务器的管理权限，我们应该对这个网站上传木马，从而实现完全控制

• 通过点击各种后台页面的资源属性值，发现可以上传文件，那么思路就来了，直接一句话木马走你！

• 对当前上传点，先尝试jpg文件能否上传成功，发现可以直接上传，那么就是对jpg，png这种后缀文件是不限制的

• 尝试写入一句话木马：

• 保存在txt文件中。
• 判断上传的验证方式（可能验证方式一种或多种），针对验证方式进行绕过：

黑名单验证（不允许.asp上传，可以改大小写，文件改为：111.AsP）
白名单验证（只允许.jpg、.gif等文件格式上传）
大小验证（只允许一定合适大小的文件上传）
内容验证（文件中不含图片，只含一句话木马）
参考连接：https://blog.csdn.net/weixin_45048331/article/details/120806299

• 针对内容验证可以采用合成文件的方式绕过：

cd C:\Users\kim\Desktop\实验1 #进入文件目录下（目录根据）

copy 11.jpg /b +3.asp /a 22.jpg #将图片文件（qq.png）和一句话木马文件（guo.asp）合称为同一个文件（test.jpg）

直接在当前文件下创建22.jpg文件，这个22.jpg是一个图片马

• 使用burp抓包，获取上传图片的包

• 这里filename为22.jpg，但是存在文件上传的解析漏洞

文件上传–解析漏洞

Apache解析漏洞
  Apache 是 从右到左开始判断文件扩展名 来解析文件，如果文件扩展名不被识别，就再往左判断。比如 cimer.php.owf.rar .owf 和 .rar 这两种后缀是Apache不可识别解析，Apache会把cimer.php.owf.rar解析成php。因此，上述00截断的方法，如果使用的是Apache服务器就可以在filename那里直接00截断。
  如何判断是不是合法的后缀就是这个漏洞能否利用的关键，测试时可以尝试上传一个cimer.php.rara.jpg.png…（把你知道的常见后缀都写上…）去测试是否是合法后缀。
IIS6.0解析漏洞
  在IIS6.0下，分号后面的不被解析，如cimer.asp;.jpg会被当做cimer.asp还有IIS6.0默认的可执行文件除了 asp 还包含 – .asa，– .cer，– .cdx都可被当做asp被解析的。
文件解析 xx.asp;.jpg
目录解析 /xx.asp/xx.jpg
在网站下建立文件夹的名字为 .asp /.asa 的文件夹，其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。如创建目录cimer.asp，那么 /cimer.asp/1.jpg 将会被按照正常的asp文件进行。
原文链接：https://blog.csdn.net/weixin_45048331/article/details/120806299

• 此时能抓到包，说明是服务器端验证。因为如果是浏览器端验证的话，上传时的包就应该被浏览器率先截断了，Burp Suite就不能抓到包了。现在能抓到包，说明浏览器段没有进行白名单验证。
• asp文件无法上传，只能上传jpg格式文件，通过Brup软件发现，asp与jsp合并的文件可以上传，可以通过Content-Type看到文件其实是text形式。既然上传的文件可以通过Brup抓包软件，说明不是浏览器端白名单验证，而是服务器端验证。否则无法通过浏览器后面的Brup。

既然是解析漏洞，那么构造filename，1111.asp 22.jpg

• 注意：

  • 这里的asp后面有个空格，这样直接上传是不连贯的，也就是最后服务器保存的文件名与预想的不同，所以需要再hex中找到asp对应的进制代码，将其中asp后面的参数值改为00，相当于绕过对空格的限制
    
    

  • 这样就能上传成功了，但是文件上传后，发现上传成功但是是图片格式 这对我们来说是没有用的 因为菜刀要用asp文件，我们看到这里有文件路径 我们再从文件路径下手试试

  • 修改抓到的包里面的路径属性
    

  • 在filepath中添加刚才上传的文件名，也需要对空格截断绕过（可在hex中找到对应asp值后修改）
    

  • 两个同时截断后数据包是这样的：
    

  • 这次直接ctrl+R 直接发送到Repeater模块

  • 

  • 点击go，直接发包，获取到上传路径，接下来就轻松了。
    

  此时，图片马文件已经上传成功，离我们完全控制整个服务器只差一步之遥！

  • 菜刀工具一把梭：
  • 
  • 用之前木马中的密码直接连接（chopper），我这里改为hacker了，如果前面跟着走的话，直接用chopper连接即可
  • 

  芜湖，已经上线，成功拿下服务器！ 可以远程 拖出文件，上传文件。

webshell获取成功！！

参考链接：
https://blog.csdn.net/yangtailang94666/article/details/120515999 https://blog.csdn.net/weixin_45048331/article/details/120806299