渗透测试实训记录

SQL注入—明小子

1、 在VMware Workstation中导入虚拟机WIN-2003-001&＃xff0c;在虚拟机浏览器中打开http://192.168.101.130:81&＃xff08;192.168.101.130为虚拟机中的主机IP&＃xff0c;此处可用localhost代替&＃xff09;&＃xff0c;得到以下的测试网页&＃xff1a;

2、打开该网站上某个页面&＃xff08;如下&＃xff09;

3、 打开SQL注入工具

4、 将2中打开的页面的URL放入SQL注入中检测&＃xff0c;得到以下结果&＃xff08;表示该系统可以进行SQL注入攻击&＃xff09;&＃xff1a;

5、 点击“猜测表名”&＃xff0c;进行数据库表名的猜测&＃xff0c;得到两个表&＃xff08;admin和news&＃xff09;&＃xff1a;

6、 点击“猜测列名”&＃xff0c;对admin表进行列名猜测&＃xff0c;得到如下结果&＃xff08;有三项&＃xff1a;admin、password、id&＃xff09;&＃xff1a;

7、 选择admin和passwd两项&＃xff0c;点击“猜测内容”&＃xff0c;进行帐户密码的猜测和破解&＃xff0c;得到以下结果&＃xff08;获得MD5加密的密钥a48e190fafc257d3&＃xff09;&＃xff1a;

8、 在浏览器中打开MD5在线解密工具&＃xff08;http://www.cmd5.com/&＃xff09;&＃xff0c;对加密密码进行破译&＃xff0c;如下图&＃xff08;得到admin用户的明文密码为bendss&＃xff09;&＃xff1a;

9、 然后&＃xff0c;打开御剑后台扫描工具&＃xff0c;输入原网站的URL进行后台扫描,得到后台网页结果&＃xff1a;

扫描结果&＃xff1a;

10、 从得到的结果中进行猜测和测试&＃xff0c;得出后台登录页面为http://192.168.101.130:81/admin/default.asp&＃xff0c;在浏览器中打开&＃xff1a;

11、 在上面的登录页面中输入咱们获取到的用户admin和密码 bendss&＃xff0c;即可成功登入管理系统!!!

至此&＃xff0c;利用现有工具&＃xff0c;进行SQL注入获取管理员帐户和密码&＃xff0c;入侵系统的过程就成功结束了。

1、跨站脚本漏洞之反射型XSS

原理补充&＃xff1a; 反射型XSS也称为非持久性XSS&＃xff0c;当用户访问一个带有XSS代码的URL请求时&＃xff0c;服务器端接收数据后处理&＃xff0c;然后把带有XSS代码的数据发送到浏览器&＃xff0c;浏览器解析这段带有XSS代码的数据后&＃xff0c;最终造成XSS漏洞。——《Web安全深度剖析》130页。

2、跨站脚本攻击之存储型XSS

原理补充&＃xff1a;存储型XSS又称为持久性XSS。允许用户存储数据的Web应用程序都可能会出现存储型XSS漏洞&＃xff0c;当攻击者提交一段XSS代码后&＃xff0c;被服务器端接收并存储&＃xff0c;当攻击者再次访问某个页面时&＃xff0c;这段XSS代码被程序读出来响应给浏览器&＃xff0c;造成XSS跨站攻击&＃xff0c;这就是存储型XSS。——《Web安全深度剖析》131页。

原理补充&＃xff1a;此实验的也可叫中间人攻击&＃xff0c;利用Burp Suite的中断拦截功能&＃xff0c;绕过客户端验证。此实验也证明&＃xff1a;任何客户端验证都是不安全的。客户端验证是防止用户输入错误&＃xff0c;或减少服务器开销&＃xff0c;而服务器验证才可以真正防御攻击者。——《Web安全深度剖析》114-115页。

本实验的原理是借助文件上传漏洞&＃xff08;中间人攻击——Burp Suite拦截&＃xff09;&＃xff0c;将“一句话”木马上传到被攻击网站&＃xff0c;然后即可结合“中国菜刀”软件&＃xff0c;获取和控制整个网站目录&＃xff01;

1、在虚拟机windows Server 2003中打开靶机服务器DVWA



2、在物理机中的Burp Suite和火狐浏览器中设置服务器代理

3、在本机火狐浏览器中访问DVWA服务器(输入虚拟机IP即可&＃xff1a;192.168.101.132)

4、在DVWA中&＃xff0c;设置Security级别为【Low】

5、在DVWA中打开【Brute Force】&＃xff0c;输入Username/Password&＃xff0c;点击【Login】

6、在Burp Suite中查看Intercept&＃xff0c;将拦截到的请求&＃xff0c;右键【Send to Intruder】&＃xff08;可以看出&＃xff0c;在low安全等级下&＃xff0c;DVWA所传输的账号和密码已是明文&＃xff09;

7、 在Intruder-Position中设置&＃xff0c;将自动设置的position【Clear】掉&＃xff0c;然后在请求中username和password的地方点击【Add】添加position 。并且设置攻击类型为【Cluster bomb】&＃xff0c;因为这是要同时对username和password进行爆破&＃xff0c;选择字典的笛卡尔积进行最大程度的爆破。

8、在Intruder-Payloads中设置攻击载荷&＃xff0c;分别选择payload set 1/2&＃xff0c;并添加username和password的载荷(可在ADD中手动添加相应变量的猜测值&＃xff0c;也可在Add from list中选择软件自带字典)——此处为了便于观察爆破结果&＃xff0c;直接把用户名admin手动添加给出&＃xff0c;密码猜测表包含password和a,b,c,d……26个字母。

9、点击menu中的【Intruder-Start attack】开始攻击。在结果列表中&＃xff0c;通过Length排序&＃xff0c;选出长度与其他不同的一个&＃xff0c;查看Response&＃xff0c;可以看到“Welcome to the password protected area admin”的字段&＃xff0c;证明这对载荷是正确的&＃xff0c;爆破成功。


10、在网页通过刚刚爆破得到的username/password登录&＃xff0c;登录成功。

总结
至此&＃xff0c;利用Burp Suite进行系统登录账号/密码就成功结束了。这里的载荷很简单&＃xff0c;对于实际中使用&＃xff0c;可能会需要更大的用户名/密码字典&＃xff0c;而且需要web登录中没有涉及到验证码&＃xff08;部分软件能够识别简单的验证码&＃xff0c;一样能爆破&＃xff09;&＃xff0c;而且web登录中没有失败次数封锁IP登录问题,实际应用要复杂的多&＃xff0c;不容易爆破。
因为攻击者&＃xff08;我&＃xff09;知道系统的帐户和密码&＃xff0c;所以此实验中对帐户猜测&＃xff08;攻击载荷&＃xff09;中名称直接手动添加为“admin”&＃xff0c;实际攻击中在不知道账号名的情况下&＃xff0c;应该选择数据字典&＃xff08;Add list from……&＃xff09;&＃xff0c;进行暴力猜测。
最后&＃xff0c;本实验的参考教程&＃xff1a;https://blog.csdn.net/huilan_same/article/details/67671531?utm_source&＃61;gold_browser_extension。

【实验目的】
1、熟悉dedecms5.6版本注入漏洞
2、对menbergroup这个注入点的利用
3、对网站后台扫描工具的简单利用
4、上传一句话木马并配合中国菜刀
5、系统用户对文件的访问权限
【实验原理】
Dedecms注入漏洞
member/ajax_membergroup.php?action&＃61;post&membergroup&＃61;1”页面&＃xff0c;存在该漏洞。构造查询语句利用menbergroup这个注入点&＃xff08;漏洞因为对menbergroup查询没有设置SQL查询语句的过滤&＃xff09;&＃xff0c;在查询语句前加入“&＃64;&＃39;”屏蔽查询语句中的其他元素&＃xff0c;使后面的union联合查询可以生效。Payload为&＃xff1a;&＃64;&＃39; Union select group_concat(table_name) from information_schema.tables where table_schema&＃61;database()。查询cms的表名&＃xff0c;依次查询字段名和字段内容。通过扫描工具得到网站后台地址&＃xff0c;并登陆。
【实验工具】
SQLMap、在线MD5解密、中国菜刀、渗透脚本
【实验环境】