渗透测试-实训记录

SQL注入—明小子

1、 在VMware Workstation中导入虚拟机WIN-2003-001，在虚拟机浏览器中打开http://192.168.101.130:81（192.168.101.130为虚拟机中的主机IP，此处可用localhost代替），得到以下的测试网页：

2、打开该网站上某个页面（如下）

3、 打开SQL注入工具

4、 将2中打开的页面的URL放入SQL注入中检测，得到以下结果（表示该系统可以进行SQL注入攻击）：

5、 点击“猜测表名”，进行数据库表名的猜测，得到两个表（admin和news）：

6、 点击“猜测列名”，对admin表进行列名猜测，得到如下结果（有三项：admin、password、id）：

7、 选择admin和passwd两项，点击“猜测内容”，进行帐户密码的猜测和破解，得到以下结果（获得MD5加密的密钥a48e190fafc257d3）：

8、 在浏览器中打开MD5在线解密工具（http://www.cmd5.com/），对加密密码进行破译，如下图（得到admin用户的明文密码为bendss）：

9、 然后，打开御剑后台扫描工具，输入原网站的URL进行后台扫描,得到后台网页结果：

扫描结果：

10、 从得到的结果中进行猜测和测试，得出后台登录页面为http://192.168.101.130:81/admin/default.asp，在浏览器中打开：

11、 在上面的登录页面中输入咱们获取到的用户admin和密码 bendss，即可成功登入管理系统!!!

至此，利用现有工具，进行SQL注入获取管理员帐户和密码，入侵系统的过程就成功结束了。

XSS—跨站脚本漏洞

1、跨站脚本漏洞之反射型XSS

原理补充： 反射型XSS也称为非持久性XSS，当用户访问一个带有XSS代码的URL请求时，服务器端接收数据后处理，然后把带有XSS代码的数据发送到浏览器，浏览器解析这段带有XSS代码的数据后，最终造成XSS漏洞。——《Web安全深度剖析》130页。

2、跨站脚本攻击之存储型XSS

原理补充：存储型XSS又称为持久性XSS。允许用户存储数据的Web应用程序都可能会出现存储型XSS漏洞，当攻击者提交一段XSS代码后，被服务器端接收并存储，当攻击者再次访问某个页面时，这段XSS代码被程序读出来响应给浏览器，造成XSS跨站攻击，这就是存储型XSS。——《Web安全深度剖析》131页。

文件上传漏洞

原理补充：此实验的也可叫中间人攻击，利用Burp Suite的中断拦截功能，绕过客户端验证。此实验也证明：任何客户端验证都是不安全的。客户端验证是防止用户输入错误，或减少服务器开销，而服务器验证才可以真正防御攻击者。——《Web安全深度剖析》114-115页。

本实验的原理是借助文件上传漏洞（中间人攻击——Burp Suite拦截），将“一句话”木马上传到被攻击网站，然后即可结合“中国菜刀”软件，获取和控制整个网站目录！

CSRF漏洞创建后台管理账户

Burp Suite进行密码暴力破解

1、在虚拟机windows Server 2003中打开靶机服务器DVWA



2、在物理机中的Burp Suite和火狐浏览器中设置服务器代理

3、在本机火狐浏览器中访问DVWA服务器(输入虚拟机IP即可：192.168.101.132)

4、在DVWA中，设置Security级别为【Low】

5、在DVWA中打开【Brute Force】，输入Username/Password，点击【Login】

6、在Burp Suite中查看Intercept，将拦截到的请求，右键【Send to Intruder】（可以看出，在low安全等级下，DVWA所传输的账号和密码已是明文）

7、 在Intruder-Position中设置，将自动设置的position【Clear】掉，然后在请求中username和password的地方点击【Add】添加position 。并且设置攻击类型为【Cluster bomb】，因为这是要同时对username和password进行爆破，选择字典的笛卡尔积进行最大程度的爆破。

8、在Intruder-Payloads中设置攻击载荷，分别选择payload set 1/2，并添加username和password的载荷(可在ADD中手动添加相应变量的猜测值，也可在Add from list中选择软件自带字典)——此处为了便于观察爆破结果，直接把用户名admin手动添加给出，密码猜测表包含password和a,b,c,d……26个字母。

9、点击menu中的【Intruder-Start attack】开始攻击。在结果列表中，通过Length排序，选出长度与其他不同的一个，查看Response，可以看到“Welcome to the password protected area admin”的字段，证明这对载荷是正确的，爆破成功。


10、在网页通过刚刚爆破得到的username/password登录，登录成功。

总结
至此，利用Burp Suite进行系统登录账号/密码就成功结束了。这里的载荷很简单，对于实际中使用，可能会需要更大的用户名/密码字典，而且需要web登录中没有涉及到验证码（部分软件能够识别简单的验证码，一样能爆破），而且web登录中没有失败次数封锁IP登录问题,实际应用要复杂的多，不容易爆破。
因为攻击者（我）知道系统的帐户和密码，所以此实验中对帐户猜测（攻击载荷）中名称直接手动添加为“admin”，实际攻击中在不知道账号名的情况下，应该选择数据字典（Add list from……），进行暴力猜测。
最后，本实验的参考教程：https://blog.csdn.net/huilan_same/article/details/67671531?utm_source=gold_browser_extension。

SqlMap破解数据库数据

【实验目的】
1、熟悉dedecms5.6版本注入漏洞
2、对menbergroup这个注入点的利用
3、对网站后台扫描工具的简单利用
4、上传一句话木马并配合中国菜刀
5、系统用户对文件的访问权限
【实验原理】
Dedecms注入漏洞
member/ajax_membergroup.php?action=post&membergroup=1”页面，存在该漏洞。构造查询语句利用menbergroup这个注入点（漏洞因为对menbergroup查询没有设置SQL查询语句的过滤），在查询语句前加入“@'”屏蔽查询语句中的其他元素，使后面的union联合查询可以生效。Payload为：@' Union select group_concat(table_name) from information_schema.tables where table_schema=database()。查询cms的表名，依次查询字段名和字段内容。通过扫描工具得到网站后台地址，并登陆。
【实验工具】
SQLMap、在线MD5解密、中国菜刀、渗透脚本
【实验环境】