Kali Linux滲透測試實戰 1.4

目錄

1.4 小試牛刀

1.4.1 信息蒐集

whois查詢

服務指紋識別

端口掃描

綜合性掃描

1.4.2 發現漏洞

1.4.3 攻擊與權限維持

小結

 

 

1.4 小試牛刀

本節作爲第一章的最後一節，給大家展示一個滲透測試的簡單示例。該示例操作簡單，環境真實，主要是爲了給您一個整體上的感知，同時提升學習滲透測試的興趣。滲透測試的每一步並沒有記錄完整的細節信息。

首先，我選擇了一個測試站點，下面對該站點www.xxxxoooo.cn，下面對其進行滲透測試。

1.4.1 信息蒐集

whois查詢

因爲是cn域名，直接到http://ewhois.cnnic.net.cn查詢，更方便。

結果如下：

服務指紋識別

很多個人站點，都沒有自定義錯誤信息的習慣。在url上隨便輸入一個不存在的地址，看是否會返回有用的信息。

通過上圖，我們知道該站點的應用程序由php編寫，web服務器爲Apathe/2.2.22，操作系統爲Ubuntu。

下面我們通過指紋識別工具，進行識別。

在終端啓動nmap，輸入如下命令：

nmap -A -T4 www.xxxxoooo.cn

如圖，識別出來的服務和系統信息與報錯信息一致。

端口掃描

在終端執行如下命令，使用nmap的tcp半開掃描方式來掃描打開的端口。

nmap -sS <targetiste>

 

綜合性掃描

該站點是需要登錄的，所以在非登錄情況下，常規掃描一般情況下意義不大。但是做一個基本的站點掃描還是必須的。當然很多工具是支持登錄掃描的。

因爲是web應用，一般情況下，我們是需要進行完整的web應用的漏洞掃描的。本實例忽略此步驟。

1.4.2 發現漏洞

對於web應用，我們通常從操作系統、服務、應用本身三個方面來挖掘漏洞。

從站點應用上分析，一般的php程序會安裝phpmyadmin組件，用來管理數據庫。google一下，我們就會知道phpmyadmin 默認安裝在站點根目錄下。測試一下當前站點是否也在默認目錄下安裝了phpmyadmin呢？

ok，確實存在phpmyadmin。

繼續google “phpmyadmin 默認用戶名密碼”。Googele之後，我們知道：“phpMyAdmin默認使用的是MySQL的帳戶和密碼”。MySql的默認賬戶是root，默認密碼是空，但是phpmyadmin是不允許空密碼的。

繼續 Google“inurl: phpmyadmin”,可以看到很多關於phpmyadmin的文章。

這些文章略過，google“hack phpmyadmin”，看看有什麼發現？

在這篇文章《Hacking PHPMyadmin (when import.php deleted)》（https://www.facebook.com/learnadvhacking/posts/556247631077238）中，我注意到

很多站點都配置默認密碼爲root。是不是也可以嘗試下呢？

輸入用戶名root，密碼root，奇蹟就這麼出現了，直接登錄管理後臺。

進入後臺之後，我們得到了更爲詳盡的信息，爲我們下一步攻擊打下了基礎

 

1.4.3 攻擊與權限維持

上面的步驟，我們完成了對網站數據庫的攻擊，其實拿到了網站數據庫，就是拿到了整個網站的控制權。

如何利用phpmyadmin進行提權，從而得到服務器的控制權呢？

目前在phpmyadmin後臺，我們可以操作表，向表中寫數據，如果數據庫有權限dump數據到web站點所在的文件夾，那麼可以先將一個網馬寫到數據庫再保存到磁盤本地，再從瀏覽器訪問網馬，是不是就可以了呢？

首先在phpmyadmin後臺找到一個數據庫，在“SQL”選項卡執行sql語句創建一個表“hacker”。

語句執行成功後，再插入一條數據，代碼很簡單，希望能用php的system函數執行系統指令。

INSERT INTO hacker (packet)
VALUES(
'<pre><body bgcolor=silver><? @system($_GET["cmd"]); ?></body></pre>'
);

下一步就是保存插入的記錄到站點目錄下，但是站點的物理路徑是什麼呢？我在觀察頁面請求鏈接的時候，發現一個404鏈接。

404鏈接的路徑是http://www.xxxxx.cn/var/www/productions/22_production.zip。這個是進行網站開發時候常犯的靜態鏈接的錯誤，那是不是說網站的根目錄在”/var/www”下呢，我把去掉”/var/www”，文件可以被正常訪問。其實這也是ubuntu默認的站點目錄。接下來就試試有沒有權限保存文件了。

經過一番查找，終於找到一個有寫權限的目錄，將網馬寫到web目錄中，得到了webshell，接下來就不用詳解了吧。

 

 

小結

這個簡單的小例子，只是想告訴大家，滲透測試有什麼並沒有那麼困難。也沒有哪種方法，哪個工具或者平臺是萬能的，最重要的是你自己的努力和思考。

從下一節開始，我們正式進入滲透測試的學習之旅。

2.1節--《DNS信息蒐集》。

轉自：http://blog.chinaunix.net/uid-26349264-id-4046363.html