还是kioptrix(LFI与注入)

kiotrix level 3 虚拟机一台(分配的ip——192.168.1.114)

——这台虚拟机主要是用来测试web渗透技能的,扫描后发现开放的端口只有22、80。很正常,你随便找个网页,它所在的服务器多半也是这样,不可能开放很多端口的。如何扫描端口

::: {.image-package}
\

::: {.image-caption}
:::
:::

echo 192.168.1.114 kioptrix3.com >> /etc/hosts

在kali
linux配置域名和ip,就可以通过域名访问网页了,不然该虚拟机的有些链接的内容显示不完全。

信息搜集:

用的什么CMS?      LotusCMS 是个开源软件项目,在github上。

                              
cms的版本在虚拟机网页上没有发现,然后搜索了一下,貌似只有3.0版本。

                              
而且搜索结果有很多有关该CMS远程命令执行的网页。

服务以及版本:Apache 2.2.8     php5.2.4(通过浏览器F12,response
headers获得)

操作系统:ubuntu5.6 with suhosin-patch

主页面上有login,省了找后台的功夫了。

http://192.168.1.114/index.php?system=Admin&page=loginSubmit

::: {.image-package}
\

::: {.image-caption}
:::
:::

测试下该网站有无明显的注入点。明显的意思就是在页面上显示sql错误的那种。

hp
scrawlr
爬行网站,这是windows平台的工具,有图形化界面,使用简单。

::: {.image-package index=”1”}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

::: {.image-package index=”2”}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

对该工具的分析:它仅仅适用于判断非常明显的数据库错误,它只测试GET参数,如果返回500错误,会提示有注入点。

该工具的适用范围:当你不想每个页面都输入’,看页面的反应的时候,用它吧。。

测试结果是  :(  没有

尝试搜索有无现成的exploit可用。

https://www.exploit-db.com/

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

metasploit使用简介
通过搜索结果可以知道,metasploit有现成的模块可以使用。

对于利用模块的流程可以参考kioptrix第一关。这里不赘述了。

因为有meta框架,所以获得shell变得简单。

为了达到练习目的,再深入探讨下。通过其他漏洞获得web数据库管理员账号和密码,并成功登陆的情形:

本地文件包含local file
include:该漏洞能够读取敏感文件源代码。这里获取到了linux用户名。

OWASP_ZAP

和burp
suite类似,不过burp是商业的,这个是开源的。该工具由owasp组织发行。owasp——应该听说过他们吧,owasp
top 10就是他们总结的,web安全界传说中的组织23333.

看到扫描结果,标红的一个,php代码注入,经过检查,发现就是metasploit的那个漏洞利用模块使用的。

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

看看还有没有什么新鲜的。

应用程序错误发现:说发现服务器500错误。

缓冲区溢出:就是在url上构造了一个超长的链接,检查以后发现都是些子虚乌有的玩意儿。。。。

Paros

java写的web扫描工具,我又手贱的试用了下kali下集成的web渗透工具。

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

效果不好,没检出什么有用的东西。

不过有用的一点是spider,获得网站上URL的树目录,呃等等。

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

gallery.php(id),是不是sql注入。。?

::: {.image-package}
{.uploaded-img
width=”auto” height=”auto”}\

::: {.image-caption}
:::
:::

可是我没有输入单引号,它怎么说sql语法错误,这个鬼设计。。。

url再输入?id=1,显示正常页面。

em。。。。 没有传参就出错,传参就正常,结合上图could not select category

说明sql语句可能如下:理由参考

select 列名 from 表名 where 目录(category)

这里category——目录应该是id=1,如果没有正确传参,那么sql查询语句就会出错。

再次验证一下,通过id=1,页面正常,id=1'
,页面出错,错误提示和上图一样。基本可以确认漏洞。理由

用sqlmap如行云流水般的获取到数据库管理员账号和密码。这里就不展开sqlmap用法了,不然文章就太长了。

下一步是登陆后台,传webshell,获取最高权限。

后续
:::
:::
:::