一个简单web利用过程
工具
burpsuite_pro_v1.5.18(需要java环境),appserv-win32-2.5.10(需要php环境),一个dedecms的漏洞程序。
安装完环境,配置好漏洞程序。
测试步骤
可以先访问网站robots.txt文件,可以得到一些信息。robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。
根据这个目录,经验可以猜测是得dedecms写的。就可以看下后台,可能后台已经被管理员改成admin或者manager等,默认是dede。这是教学站,所以直接就打开了。找后台的原因是权限大一些。
然后就用brup,设置代理,参考博客https://www.cnblogs.com/slpawn/p/7235105.html
然后可以拦截一个包,打开
然后浏览器就卡住,然后就可以go请求几次,看到
返回值是200,发现中文乱码,设置字体和编码utf-8
然后发送去send intruder到攻击模块,先清理一下,然后需要的是把密码模块做成一个变量。重复替换这个变量,将其添加成变量,然后在payload里,挂载字典
加载上字典,然后选项可以多开一些线程跑密码,然后就可以开启攻击了。
为了看哪个是正确密码,可以进行通过length排序,因为正确错误返回值不一样。
然后查看request参数看到密码就是正确密码。如果服务器有检测尝试提交时间等,就可以在option设线程那里修改。
然后就登陆成功进入后台就可以修改一些东西了。反正根据服务器检测,灵活设置爆破参数。
接着为了获得更多的东西,就要上传webshell。
关于上传,网站有上传文件之类的最好,如果没有那就自己找上传点,比如上传头像图片等。
或者可以用中国菜刀管理。连接上之后执行whoami,就可以看到权限了。然后想做什么就按着渗透要求来了。
比如装namp或者其他什么的。
然后比如查看数据库。在菜刀数据库管理进行将查看到的数据库密码配置上
<T>MYSQL</T>
<H>localhost</H>
<U>root</U>
<P>123</P>
然后,就可以查了,如果遇到有md5加密的就去md5网站查询。
然后如果想了解加密算法可以访问http://tool.chacuo.net/cryptaes
HTTP协议简述
浏览器打开页面,解析URL链接,查询DNS对应域名的IP地址,生成http协议内容,通过IP地址与服务器简历Socket链接。
服务器解析HTTp协议内容,根据内容返回浏览器,浏览器拿到数据,进行渲染,浏览器显示html网页内容。
渗透常用工具
burpsuit,sqlmap,awvs,中国菜刀,耳机域名扫描工具,目录爆破工具,端口扫描工具(nmap),Python手动写各种工具。