渗透测试

本文作者：wasrehpic 0×00 前言 本题算是一道较为综合的渗透题，要求对两个服务器系统进行渗透，第一个是基于齐博 CMS 的信息资讯平台 http:www.test.ichunqiu，第二个是基于 Discuz! 的论坛社区 http:bbs.test.ichunqiu。 这两个 CMS 同样能在网上找到许多漏洞，常用作 渗透测试 的练习靶机。根据提示，第 1 题要求找到咨询平台的管理员账号密码；第 2 题需要登录服务器后台，并插入木马，再用 中国菜刀 连接，继而找到在管理员桌面上的 flag 文件；第 3 题要求在论坛社区的数据库中找到 admin 账户的 salt 值。 题目链接： https://www.ichunqiu.com/battalion?t=2&r=54399 解题链接： https://www.ichunqiu.com/vm/50629/1 0×01 获取 www.test.ichunqiu 后台登录密码 利用 SQL 报错注入是获取管理员账号密码的常见方法。在浏览器搜索齐博 CMS 的可利用漏洞，其中发现了一个 SQL 报错注入漏洞，在 /member/special.php 中的 $TB_pre 变量未初始化，未作过滤，且直接与代码进行拼接，注入发生后可在报错信息中看到管理员的账号密码。详情可参考： 齐博CMS整站系统SQL注入 下面打开

　第一周：入门 　　　　　　 在学习的时候，你起码需要对常见的黑客术语需要掌握，了解术语的话可以去看看这里的百度文库，写的还是可以，对大多数的黑客术语都有过渡，而且对计算机网络原理需要有着一定的基础，所以务必要去学习一下。 https://wenku.baidu.com/view/bd2ee7d249649b6648d747a8.html 　　　　　　 了解好黑客术语后，你可能就会认为，我现在是不是就能去入侵别人家的电脑、网站挂黑页了？ No，你需要一本《精通脚本黑客》第二版《Web安全攻防宝典实战篇》，了解一些渗透技术和技巧，本人秉着黑客这门职业就是对计算机技术研究的执着，并不是去恶意攻击、破坏别人的系统就是黑客。 　　　　　　　好了，你看完了那些书籍之后，也应该对黑客技术和渗透技术有了大致的了解，现在最快的学习捷径就是：思与勤 　　　　　　 思：是思考的思，需要有自己对常见漏洞的一些见解，不仅要学攻击技巧，也要在互联网学会保护自己，不要让自己的思维被现有的技术束缚住，需要自己动脑思考。 　　　　　　 勤：是多加练习，假使你看完了一两本书之后，对理论的理解已经非常的透彻，但是你个人在实战的时候就是在一种“懵”的状态下，所以，我个人推荐：边学习边实战，如若只学不练，那和纸上谈兵有什么区别呢？ 　　　　　 第二周：学习常见黑客和渗透工具的使用 　　　　　　 注意

前言 爆破在渗透测试中，对技术的要求不高，但是对技巧和字典的要求就很高了，本篇整理下平时学到的一些爆破思路和技巧(偏web渗透登陆)，当你无措可施时，暴力破解是最好的方式。 世界上最可怕的事情是你的习惯被别人掌握，一旦有律可循，You got Hacked。 爆破之字典准备 fuzz 字典 Blasting_dictionary :分享和收集各种字典，包括弱口令，常用密码，目录爆破。数据库爆破，编辑器爆破，后台爆破等。大型字典在big_dictionary.txt文件里 pydictor :一个强大实用的黑客暴力破解字典建立工具 猜密码 :密码网根据姓名、用户名、生日、邮箱、手机、历史密码、特殊数字等个人信息精确的分析出个人密码 genpAss :中国特色的弱口令生成器 somd5字典 :质量一般 姓名top10w/弱密码top21w :法师提供的字典 可以自定义规则的密码字典生成器 :该脚本的主要目标是根据定制的规则来组合生成出密码字典，主要目标是针对企业，希望对安全人员自查“符合密码策略的弱密码”有所帮助。 针对特定的厂商，重点构造厂商相关域名的字典，例如： 1 2 3 4 5 6 7 8 9 10 11 pwd_list = [ '%pwd%123' , '%user%123' , '%user%521' , '%user%2017' , '%pwd%321' , '%pwd

子域名枚举扫描器或爆破工具 https://github.com/lijiejie/subDomainsBrute(lijiejie开发的一款使用广泛的子域名爆破枚举工具) https://github.com/ring04h/wydomain (猪猪侠开发的一款域名收集全面，精准的子域名枚举工具) https://github.com/le4f/dnsmaper (子域名枚举爆破工具以及地图位置标记) https://github.com/0xbug/orangescan(提供web界面的在线子域名信息收集工具) https://github.com/TheRook/subbrute(高效精准的子域名爆破工具，同时也是扫描器中最常用的子域名API库) https://github.com/We5ter/GSDF (基于谷歌SSL透明证书的子域名查询 脚本 ) https://github.com/mandatoryprogrammer/cloudflare_enum (使用CloudFlare进行子域名枚举的 脚本 ) https://github.com/guelfoweb/knock(Knock子域名获取，可用于查找子域名接管漏洞) https://github.com/exp-db/PythonPool/tree/master/Tools/DomainSeeker

1、Whois 查询 爱站工具网 https://whois.aizhan.com 站长之家　http://whois.chinaz.com VirusTotal https://virustotal.com 2、备案信息查询 ICP 备案查询网 http://www.beianbeian.com 天眼查：http://www.tianyancha.com 3、收集敏感信息 4、收集子域名信息 https://dnsdumpster.com https://crt.sh https://censys.io https://phpinfo.me/domain IP反查绑定域名网站 http://dns.aizhan.com 5、CMS指纹识别 BugScaner http://whatweb.bugscaner.com/look/ 云悉指纹 http://www.yunsee.cn/finger.html 和whatweb https://whatweb.net 6、域名的IP历史纪录 https://www.netcraft.com 在线网站CloudFlareWhat(http://www.crimeflare.us/cfs.html#box 7、收集网站敏感目录 http://www.webscan.cc 来源： https://www.cnblogs.com/szwmd778

/*--> */ /*--> */ 原文链接： Kali Linux Web 渗透测试视频教程—第十九课 -metasploit 基础 文 / 玄魂 目录 Kali Linux Web 渗透测试视频教程 — 第十九课 -metasploit 基础 ...................... 1 metasploit ..................................................................................................... 1 基本体系结构 ............................................................................................... 1 Mestasploit 用户界面 .................................................................................. 1 启动 ............................................................................................................... 1 基本应用 - 端口扫描

0x00 信息搜集 主机发现： 端口扫描：只开放了80端口，只能从web服务入手 上面显示存在robots.txt。 接着查看robots.txt 分别浏览目录，发现一个nothing文件夹存在敏感信息：显示较多密码，可以搜集起来组合成为一个字典，可能存在用处。 其余目录都是这个亚子的： 尝试进行一下目录扫描：发现一个robots中没有显示的目录：secure 0x01 渗透测试过程： 访问secure发现存在一个压缩包，但是存在密码，将之前的密码全部导入，尝试爆破，密码为freedom: 扩展名是mp3文件，但是打开显示失败，用文件类型分析工具没有匹配到特征码： 直接用记事本打开，发现是一个文本文件，里面有下一步的提示： 访问上面的url，找到系统后台，更加文本的提示，登录名是touhid，密码是一个弱口令，使用之前按拿到的密码字典尝试爆破。（因为存在token校验，所以只能手动爆破），然后获取到正确的密码diana，成功进入后台： 在找到后台的同时发现是playSMS的系统，尝试使用searchexploit查找可用的漏洞，发现存在较多，但是都是需要登录后台： 经过尝试存在文件文件上传位置的命令执行，且有可利用的msf框架： 使用相应的模块，然后配置参数，一键攻击成功。 其中有一个很重要的点就是设置漏洞路径，如果文件上传的路径不正确就无法成功攻击。 0x02 手动测试

一、浏览器访问192.168.110.140 二、点击图片，进入后台 三、点击Employee portal进入登录后台 四、发现需要登录密码，接下来就是获得密码 按F12打开开发者模式，发现旁注里有解密后的用户和密码，用base64解码，得到用户和密码 五、登录进去之后，我们开始进行信息收集，我们发现了两条有用的信息 通过这个网址，我们下载下来了一个证书,生成的密钥文件 因为他是一个浏览器的认证所以解不开 通过这个网址我们得到了一个pcap流量包,截取攻击的流量包 我是在百度开始搜索nginx生成ssl证书 下面会介绍 六、我们来分析该流量，我们将流量包放在wireshark上，发现因为是https协议，所以都是密文的，我们无法得到什么信息 七、所以我们得想办法将其变成明文的，方便我们收集信息，这就是我们接下来的任务，我们首先知道刚才下载了一个keystore的证书，我们试着将这个证书导到wireshark中，看看可不可以，尝试过后发现不可以，流量还是密文的，后来我们知道应该讲证书转化成p12格式才可以被解析，那接下来我们来操作这步 首先我们把keystore传到moba上，然后在kali上敲 keytool -importkeystore -srckeystore /root/keystore -destkeystore /root/nima.p12

渗透测试之进行信息收集方法 攻击的重要阶段之一就是信息收集。为了能够实施攻击，我们需要收集关于目标的基本信息。我们获得的信息越多，攻击成功的概率就越高。 　　1.1 服务枚举 在这个中，我们将会展示一些服务枚举的小技巧。枚举是我们从网络收集信息的过程。 我们将要研究DNS枚举和SNMP枚举技术。DNS枚举是定位某个组织的所有DNS服务器和DNS条目的过程。DNS枚举允许我们收集有关该组织的重要信息，例如用户名、计算机名称、IP地址以及其它。为了完成这些任务我们会使用DNSenum。对于SNMP枚举，我们会使用叫做SnmpEnum的工具，它是一个强大的SNMP枚举工具，允许我们分析网络上的SNMP流量。 操作步骤 让我们以DNS枚举作为开始： 　　1. 我们使用DNSenum进行DNS枚举。为了开始DNS枚举，打开Gnome终端，并且输入以 下命令： cd /usr/bin ./dnsenum --enum adomainnameontheinternet.com 请不要在不属于你的公共网站或者不是你自己的服务器上运行这个工具。这里我们 将 adomainnameontheinternet.com 作为一个例子，你应该替换掉这个目标。要当心！ 　　2. 我们需要获取信息输出，例如主机、名称服务器、邮件服务器，如果幸运的话还可以得 到区域转换： 　　3.

（在拿到webshell的时候，想办法获取系统信息拿到系统权限） 一、通过常规web渗透，已经拿到webshell。那么接下来作重要的就是探测系统信息，提权，针对windows想办法开启远程桌面连接，针对linux想办法使用反弹shell来本地连接。 ① Webshell应该都可以调用系统cmd执行一些简单的命令，那么whoami（查看当前权限），netuser（查看用户/组），systeminfo（查看系统补丁修复情况）等常见命令应该是首先被执行 探测的。 I: 不具备系统权限： ① Serv-U提权，现在很多的webshell都集成了Serv-U一键提权功能，只需要点击一下就拥有了系统权限，简单快速。 ② SQL Server提权，利用webshell的目录翻阅功能，查找网站根目录下的数据库配置文件，以php为例则为config.php；查看文件内容一般都会发现数据库的登陆信息用户名/密码，（密码md5或者其他的加密方式解密一下即可），通过webshell或者数据库端口开放的话利用数据库连接工具Navicat等工具来连接数据库。 连接数据库检查xp_cmdshell是否存在，扩展存储过程是否打开，再利用xp_cmdshell来执行系统命令，添加用户、开启远程桌面等。 常用命令： select count(*) from master.dbo.sysobjectswhere