渗透测试的艺术Rootthisbox第二部曲.docx

渗透测试的艺术：Root this box第二部曲  HYPERLINK "/author/secroro" \o "由 secroro 发布" secroro @  HYPERLINK "/articles/web" \o "查看 WEB安全 中的全部文章" WEB安全 2014-02-10 共 17654 人围观，发现 28 个不明物体 +8  HYPERLINK "/articles/web/24733.html?wpfpaction=add&postid=24733" \o "收藏该文" 收藏该文 以下为我个人整理并验证测试，谨以此文纪念我的web安全学习之路。 一、评估阶段 服务/版本 Nmap扫描显示开放了2个端口，80/TCP端口的web服务以及666/TCP端口的服务（filtered）。 刚安装的虚拟机，不知道ip，扫一下： root@bt:~#?nmap?-sT?-p80?192.168.202.*|grep?-C?3?open Nmap?scan?report?for?65 Host?is?up?(0.00049s?latency). PORT???STATESERVICE 80/tcp?open??http MAC?Address:?00:0C:29:F6:34:D4?(VMware) Nmap?scan?report?for?54 扫到ip后，继续看看有无开放其他端口： root@bt:~#?nmap?-sS?65 Starting?Nmap?6.25?(??)?at?2014-01-2619:16?HKT Nmap?scan?report?for?65 Host?is?up?(0.00031s?latency). Not?shown:?998?closed?ports PORT????STATE????SERVICE 80/tcp??open?????http 666/tcp?filtered?doom MAC?Address:?00:0C:29:F6:34:D4?(VMware) Nmap?done:?1?IP?address?(1?host?up)?scanned?in?0.13?seconds web服务 让我们分析一下80/ TCP端口有什么。打开浏览器指向目标的ip，如图： 用dirbuster（填好地址，选择dirbuster自带的字典即可）可以发现phpmyadmin的存在： 二、漏洞利用阶段 突破第一个漏洞点 只有一个登陆界面，先从它入手吧。尝试过w3af及sqlmap没有发现SQL注入。采用burpsuite里intruder模块对密码字段进行 SQL注入的Fuzzing（配置好代理后，输入账号密码admin，admin，断在burpsuite里之后，右键发送到intruder，设置好要 爆破的参数，然后加载字典，可以从burpsuite pro里直接复制过来的）： 其中password为' or 1=1–'时，回应如下： 找出port-knocking组合 把那段内容拿去url解码，然后ASCII转换（/tools/xlate/），结果为： <---------> Knock?Knock?Knockin'?on?heaven's?door?..?:)00110000001100010011101000110001?0011000100110001?0011000000110001001110100011000000110001 <---------> 后面那段继续转换，结果为： 1001:1101:1011:1001 破开端口666/TCP 组合是：1001:1101:1011:1001。我们猜测这是打开端口666/TCP的Port-Knocking钥匙，这是一些的TCP端口。拿出nc，或者bt5下直接输入： #?for?i?in?1001?1101?1011?1001;?do?nc?-z65?$i;?done 也就相当于一个小函数，分别用TCP发SYN包去连接该ip的这4个端口（按顺序）（很有意思，类似于芝麻敲门，一般可用于防22端口爆破）。 运行完成后，我们打开浏览器，输入ip：65:666，回车，则进入另一个界面： 突破第二个漏洞点 观察页面时，发现左边的Main Menu下有个特别长的链接，地址为： 65:666/index.php?option=com_abc&view=abc&letter=List+of+content+items...&Itemid=3 丢进sqlmap，dump下来mys