合天网络安全笔记(七)
P44:第5天:WEB漏洞扫描器-AWVS及nmap - 网络安全就业推荐 - BV1Zu411s79i
现在开充电了哦,那个麦有没有什么问题呀,可以是吧,那我们就开始上课了,刚好八点有回音吗,那我把这个窗关一下看看,现在呢现在好点没有,因为这个房间还是比较大的,哦对今天是我给大家上课。
那那我说话大声一点吧,这节课呢我给大家就是点一下,我们的一个漏洞扫描器a w vi,这个呢是一个比较常用的一个扫描器,它呢是主要是针对web应用的一个扫描器,上节课上节就是前面那几节课。
我们老师给大家讲了,那个就是一个信息收集,比如说一些端口啊,或者网站信息收集,以及它的一个网站的一个子域名的信息收集哦,对今天呢会剪会剪一下这个批量扫描,啊那我们上一节课就是刘老师给大家讲了。
他的一个子域名信息收集,要收集到了子域名之后呢,我们就需要对它进行一个漏洞的发现,也就是我们这节课讲的一个内容,就是我们利用这个aw v s进行一个漏洞扫描,首先呢我们这里是分为三个的内容。
来给大家讲这个aw v s,第一个部分呢是讲我们的一个漏洞扫描器,就是讲我们什么是一个漏洞扫描器,以及我们的一个这节课的一个,aw v s的一个介绍,第二个部分呢就是我们的一个a w e s的一个。
安装与破解,因为我们一个正版的话,是需要进行进行一个收费的,所以呢我们这里呢去使用一个破解版,就是安装并并进行一个破解,第三个部分呢就是我们点一下,我们的一个a w e s的一个功能介绍。
比如说如何去使用,后面呢我们来看一下第一个部分,就是一个漏洞扫描器以及aw v s的一个介绍,这个有没有这个语速有没有就是比较快呀,好不发了那就好,首先呢我们来看一下漏洞扫描,就是就是什么是漏洞扫描。
漏洞扫描呢是一只基于我们的一个漏洞数据库,通过我们就是扫描要等一些手段,对指令的一些远程或者是本地,计算机系统的一个安全性进行检测,也就也就是说,我们就是通过这个这一个扫描的手段。
对我们上一节课给大家讲了一个子域名,信息收集,就是收集到的一个子域名,进行一个安全脆弱性的检测,也就是说我们对它扫描就是有没有这一个漏洞,然后去通过这个扫描去发现,可以利用漏洞的一种安全检测的行为。
也就是我们的一个渗透攻击,就是就是通过我们找到的一个漏洞,然后去对它进行一个利用,那么常见的一个漏洞扫描的工具有哪些呢,首先呢这个网络上公布的一些部位的,或者免费的一个漏洞扫描的工具,或者是脚本。
是很多的,比如说我们在giugia上面,就是有许多的别人写的一个脚本,那种脚本呢也可以说是一个漏洞,可以进行一个漏洞扫描,首先呢我们来看一下第一个点,就是针对某类漏洞的。
比如说针对我们的一个sql注入的一个漏洞,也就是,通过我们的一个有一个工具叫做叫做super ma,通过这个搜circle map这个工具,就是可以发现我们那个网站是否存在。
我们的一个sql注入的一个漏洞,第二个呢就是一个针对v和log,和一个biologic game,就是这个东西呢,我们可以在网上可以搜索到这里给大家来看,哦我们可以在我们的一个网站可以搜索,别怕。
我们可以在我们的一个网网上进行一个搜索,比如说是搜索这个外号magic tm,这个这个工具呢它里面也写了许多的一个,就是里面已经内置了许多的一个标记,也就也就是我们的一个漏洞检测的脚本。
我们可以看到这里呢有有许多的一个,比如说一些s h i f啊,还有一些反序列化,以及一些文音译文件上传等等的一些漏洞,但里面已经内置了,这个呢就是针对我们的一个weblogic的一个漏洞。
以及我们针对某类tm的的一个water flash的一个gm,也tm s呢也也叫做我们的一个内容管理系统,就那些ms,比如说我们的针对cms的一个w p cam。
以及一个gd t m s的一个dd t m s game,这个呢我们都可以在网络上搜索到的,比如说我们这里有一个wp,这里呢我们可以搜索到,还有还有一个就是我们的一个dd c s d d d。
这个呢是针对就是针对我们某一类漏洞的,这个呢也是内置了许多的一个检测脚本,这个呢是就是我们针对某类漏洞,然后让我们来看一下,就针对我们的一个系统应用层的,我们前面讲的都是一些web方面的,一个就是工具。
还有呢就是一个针对系统应用层的,比如说我们的一个nexus nexus呢,也就也就是我们经常是用来对我们的一个器,扫描系统的一个就是工具,它呢也是一个嗯收费的,还有呢就是针对某类框架的一个检测工具。
比如说struct to的一个一个框架,可以使用我们的一个stress to的一个漏洞,检查工具,这个呢这个工具呢,你们的一个工具包里面应该是有这个工具的。
还有呢就是针对我们的一个spring pool的一个工具,就是脚本,我们只有一个s b,然后这个工具,我们这个呢都可以在我们的gp上面搜索到,然后呢,还有呢就是一个针对我们的一个web服务的。
web服务,我们还有一些比如说我们的一个boss swit,我们这个bp swit,它不不不仅仅是一个抓包的工具,我们还可以使用它进行一个漏洞扫描,还有呢就是我们的一个长亭,长亭科技给了一个工具。
一个叉叉r a y,这个工具呢是最近比较火的一个工具,还有呢也有一些四驱版,还有一些收费版,就是高级版四驱版,它的功能没有那么多,第一个呢就是我们这一这一节的一个内容,1w vs。
那么什么是aw v s呢,aw aw v s,但是一名一款知名的网络漏洞扫描工具,它可以通过网络爬虫测试我们的网站是否安全,去检测我们的一个流行的一些安全漏洞,比如说我们的一些sql注入啊。
xxr以及更多的一些漏洞,然后呢我们是在11点版本以前呢,是我们是一个客户端的一个工具,也就是,也就是相当于是我们相当于是我们的一个,比如说是一个类似于qq这种客户端。
或者说是一个微信的一些客户端的一些工具,来找一下,然后从11点之后,11点之后呢,它就变成了一个使用浏览器端打开的一个形式,我们访问它的话呢,就是使用我们安装和自定义的一个端口,来进行访问的。
那现在呢是通过我们的一个网络,就是客户端,就是这个浏览器进行一个访问,比如说这个呢就是我搭建的一个,就是安装了一个aw v,那么它有哪些功能特点呢,首先呢就是一个web spanner。
就是我们的一个web扫描,这个呢是它的一个核心的功能,可以对我们的一个web安全漏洞进行扫描,这个呢就是它的一个爬虫的功能,就是便利我们的一个网站,站点的一个目录结构,就是可以可以去爬取我们的一个网站。
它的一个站点目录,第三个呢就是一个端口扫描,扫出web服务器,就比如说我们常见的一些八零端口,443端口等等,其实呢就是一个子域名扫描器,利用一个dns查询来发现我们的一个子域名。
第五个呢就是一个sql注入工具,也就是说他可以去发现我们的一个circle,输入,还有就是一个协议数据包跟仪器,下面呢我们会对它进行一个展开来讲,我们的这个功能特点,还有的一个就是模糊测试工具fs。
我们常常说所呈现所做的一个f,还有呢就是一个web认证破解工具,也就是可以去对我们的一个入口令,去进行一个破解,下面呢我们来看一下第二个部分,a w vs的一个安装与破解,首先呢我们下载。
将我们的一个工具进行下载下来,这个工具呢我已经在你们的一个预习内容里面,已经写在上面了,并且把我们的一个破解的一个呃,那个破解好像是没有讲的,但是呢我们这节课呢那里是写的比较简单一点。
这节课呢我们来给给大家讲一下如何去破解,首先呢这个是我们的一个下载链接,你们可以去访问进行一个下载,那我们的一个bt码,提取码是我们的一个和k lab,就是我们这个h e t r a m。
a a n l a d o s lab,所以呢这个呢是我们的一个a w e s,主要的一个安装包,以及它里面还有一个破解破解包,好bt就是我们所做的一个模糊测试,你这个呢你可以去就是就是模糊测试。
我们先来看一下这个,然后安装安装的话呢,是跟我们正常安装一些qq啊或者微信啊,是一样的,不过呢到这一步,就是,我们有一步是需要去对我们的一个账户去进行,一个设置的,就是设置我们的一个邮箱。
登录的邮箱以及我们的一个登录的密码,这里呢都是一些一些比较简单的一些设置,然后呢,我们还有一步就是去设置我们的一个端口,就是我们web访问的一个端口,就是浏览器访问的一个端口,这个端口呢你可以随意设置。
就是设置完了之后,我们访问的端口就是你所设置的一个端口,然后下面这个呢就是我们就是询问,我们是否允许远程进行一个访问,就是说是保值只允许你这个本机进行访问,还是可以允许其他的机器进行访问。
你这个aw v s我们我这里呢是没有选择进行,这是允许的,所以呢我这里呢是指,只能在我们的一个本地进行访问,下面呢就是一个破解,破解呢我们有当然里面呢就是有两个工具,就是我们的下载的一个下载包里面。
解压了之后,里面有三个工具,一个有三个安装包,一个呢是我们的一个aw v s,主要的一个安装包,另外两个呢就是我们的一个破解的一个破解包,首先呢将我们的一个破解破解包点一ex 1,还有一个d这两个包。
去复制到我们的一个aw vs的一个安装目录,那这个安装目录呢是我们默认的,它安装的是不能,我们不能去选择它的一个安装路径的,所以呢这里我们可以来找一下它的一个路径,我走我先走一下,在在这个c盘上面。
然后看一下是不是这几个啊,在这个flag lemon fllam,这个bet这个文件夹上面,就是在这个乘八六这个文件夹上面,那我们我们这里呢有一个这个第一个工具,就是第一个和这个h c n。
这个文件夹文件夹下面,然后呢,我们可以看到我们是不是将我们的这两个,一个两个破解包去复制到我们的这个目录下面,破解到了下面之后,我们运行即可,就是以我们以一个真,就是这个管理员的一个身份去进行运行。
运行了之后呢,它会提示我们去填写一些信息,比如说这个名姓名栏,公司名称啊,还有一些就是我们的一个电话号码等等,那那那里呢我们可以随意填写,因为这里呢我没有截图,但是这个呢都是我们看看都能看懂的。
我所以呢我这里就不进行演示了,下面呢我们来看一下我们的一个,我们的一个w vs功能介绍以及应用,首先呢我们它的一个页面布局,页面布局,这里呢我们第一个呢是一个仪表盘。
就是仪表盘就是这个第一部分的一个仪表盘,仪表盘里面呢第二个呢就是一个目标,就是一个他给,第三个就是我们的一个漏洞,就是我们手就是我们通过我们扫描到的,扫描的一个域名,或者是一个子域名所扫到的一个漏洞。
第四个呢就是一个扫描看,第五个呢就是一个雷p报告,就是我们导出的一个报告呢都在这里,第六个就是一个设置,要从仪表盘,我这里打开来讲吧,这里先登录我。
好像在登录的时候,我们可能会经常会遇到这一个的问题,就是遇到这一个它弹出,我们这个他说在我们的一个本地,已经有另外的一个账号进行一个登录了,已经有账号进行登录了,所以呢因为我们这个aw bs。
现在呢是只允许同时登录一个账号,也就是说就是说我们只只允许我们的一个,一个session,是在这同时进行一个登录的。
只允许一个,所以呢我们这里呢是点击这个退出就行了,点点击退出,这里呢我们这里呢可以看到流体这个仪表盘,这里仪表盘这里最上面呢,这里呢是我们所找到的一个漏洞,漏洞数量以及漏洞分布,比如说我们在这个。
第一个这里这个本应该说是一个粉红色的吧,粉红色这里呢就是一个高危漏洞,高危漏洞的一个数量,一个一个分布的数量,中间这个呢就是一个中规漏洞的,一个分布的数量,就是这个这个橘橘黄色,淡黄色。
这个这是一个中位漏洞的有的一个数量,然后到这个浅蓝色,浅蓝色,这里呢就是我们的一个dv漏洞,就是我们我们的一个dv漏洞的一个分布的数量,然后上面这里就是左下角,左下角这里。
这就是我们所找到漏洞的一个网站,比如说我们在这个car这个网站看点f l y m e,这个是一个网站,我们可以找到了这个88个这个红色的,也就是我们的一个高危漏洞,以及99加的一个中微漏洞。
这个呢就是我们的一个漏洞分布的一个站点,然后右下角呢,这个呢就是我们找到的一个漏洞的一个排列,比如说我们找到了89个,这个这是一个我们的一个目录目录,便利我们这里呢看这个英文呢也可以看出来。
这是它的一个排名,比如说把目录遍历,这个漏洞呢是39个是最多的,然后第二个呢就是一个ccs,也就是我们的一个xx这是88个漏洞,这个呢是按按它的一个数量进行排序,那第二个这个仪表盘。
仪表盘这个上方的零呢是一个漏洞数量,中间就是我们的一个任务进度,我们刚刚也给大家讲了,还有一个就是左左下角就是我们走找到logo的,有一个一个目标站点,交代表的就是我们的一个漏洞类型。
我们来看一下第二点,target,target就是这个目标,我们点击这个target,这个权限呢,就会展示我们之前新建的一些扫描网站的信息,就是我们今之之前今天的一个站点信息。
这个呢就是我们对我之前的一个目标信息,我这里呢就直接给大家访问这节课来讲吧,所以呢我们这里可以看到这个呢,就是我们我之前的一个目标信息,首先呢我们这里有一个scan,是这样,这里。
就在这里呢就是我们扫描。
就是我们比如说我们添添加了目标之后。
我们进行一个扫描。
比如说我们在这里添加了一个,就是添加目标at at target。
这个还有第三个呢就是一个delete,delete就是我们的一个删除目标,就是将我们这些水目标进行选中,然后删除,第四个ex flop,这个呢就是将我们的一个目标,添加到我们的一个组。
比如说我们新建某个组,然后我们呢比如说我们在这里,一个将我们的一个魅族魅族点,魅族点com就是添加一个魅族点com组,然后我们将这个魅族点cod,一个站点距都进行一个归类,就是将它去进行一个分类。
第五个呢就是我们找出我们的一个报报告,就是将我们扫描到的一个我们的一个目标。
就是的一个报告进行导出,这里呢我们也可以,就是选择我们导出的一个类型。
比如说我们这里呢我们等着第一。
第一个就是13909这个进行一个导出,比如说我这里就随便找一个吧。
要倒倒了之后,我们在我们在这里,在这个report reports这里,我们可以看到我们的一个就是导入的一个目标,这里呢我们只是将我们的一个导出到,我们我们的这个report这个选项。
我们还需要进行下载才可以,比如我们上将它进行一个下载,下载之后呢,我们可以看到它的一个命名,命名方式是我们的一个就是日期,加上我们导出的一个类型,以及我们的一个站点,站点后面的一个端口。
要将它导出一个pdf的一个文件,我们保存之后,我们可以来打开看一下这个文件,啊你哪里打不开呀,是有出现什么问题吗,打不开https是一个http的一个战略,我们之前安装这里面不是有这个吗。
我们安装这里呢也可以看到的呀,我们这里呢是不是一个http s加lol host,3443的一个端口,这个呢就是我们我们访问的一个端口,啊,这个呢就是我们就是刚刚刚刚下载的一个,导出的一个文件。
就是导出的一个报告,报告里呢大家都是一个英文的,我们报告里那就是他给出我们的一个dc信息,比如说我们的一个u r l,还有一个就是网站,就是一个host,还有呢就是我们扫描出来的一个漏洞,数量高为零的。
然后中位13个dv 4个,还有一些信信息泄露,其他的一些是八个,然后后面呢就是我们扫描出的一个漏洞,的一些介绍,这里呢我就不不展开来讲了,就是给大家说一下这个导数的一个后后,那你们点一下那个详细了解。
看一下,我那个有问题的话,我们待会儿之后再解决吧,我们先进行上课,能点到哪里,好我们点到我们的一个目标,目标这里就是一个,目标,我们刚刚讲到这个目标的一个就是导出报告。
然后后面这个呢其实也是一个导数的一个报告,这个bug,what is all,这个选项呢也是一个导出报告的一个选项,然后呢还有一个就是import import csv。
这个呢就是我们可以导入。
我们我们的一个csv文件,也就是将我们的一个目标进行一个批量的导入,在这里呢只是一个批量的导入,比如说我这里有有一个csb的一个文件,csv里面的文件呢是我们的一个。
域名这个呢是我们csv文件里面的一些实域名,现在我们进行导入,去进行一个批量的导入,比如说我们这里b import csv这个选项。
现在我们可以看到它的一个就是那个,csv文件里面我们的一个一个格式吧,前面呢是我们的一个例子,也就是或者说是我们的一个子域名,或者是一个ip,后面呢就是我们的一个描述,就后面跟一个逗号。
然后是我们的一个描述,我们这里呢导入一个js v。
然后呢然后导入了之后,它这里呢就提示我们成功导入五个目标,现在能看到了吗,就是这样子导入完你,你上面你昨天是这样的客户吗,但是我们可以新建就是新建一个excel的一个文件,在这里。
比如说我们这里呢有一个新建的一个,一个一个cel文件,那么我们这里呢有一些就是输入一些域名,比如我们这里呢随便输入一个,然后输入了之后,我们将我们的这个文件另存为另存为主,为我们的一个js v。
另存为我们的一个csv的一个文件,要你要点字,这样呢就可以了,就可以看到我们这里,这里呢是有一个csv的一个文件了,要导入了之后,我们就在这里呢,就是这个灰色的这些部分,就是我们我们导入的一个文件。
我们是没有进行扫描的,然后呢我们可以点击这个scheme进行一个扫描,然后我们这里待会会给大家进行一个演示,当然还有这这里面还有一个filter,就是一个过滤器,就是我们将我们的一个目标进行过滤。
比如说我们就是我们咱们就是过滤一个目标,是以一个地址或者是一个描述进行过滤,比如说我们这里就是选择三个二,就是我们这个描述呢是一个三个二的对吧,那我们这里呢就选择三个二,这样呢在这里呢就给我们演示了。
这个它的描述是三个二的一个目标,还可以呢去选择一些其他的,比如说一些选择上一次扫描的,比如说从没有扫描过的一些目标,比如等等去进行一个过滤,现在我们来讲一下,就是我们新建的一个扫描。
首先呢在我们他在那里,目标就是我们目标在那里点击at target,并新建一个扫描,然后上面那个address address,就是我们需要扫描的一个域名或者是ip,我们在这里点击我们第二个选项。
去添加一个域名或者是一个ip,比如说我们这里选择我们的一个http,哦天lab。com,我们可添加我们的一个和天lab。com的一个目标,后面呢是一个描述,比如说描述我们可以随意填。
而且保安前面是一比一个天上添加了目标之后,这里呢就是我们的一个目标信息,首先呢我们的这个比如说这个这个选项,business这个选项,这里就是我们的一个扫描的一个优先级。
也就是说是一个低级的或者是一个低级的,就是高高级的,还有一些顶级的是严重的顶级的,就是一些扫描的一些优先级,然后这个gsb,gsb这里呢就是我们扫描的一个速度,比如说一个best。
还有一些其他的一些loslow glower,狄仁杰,就是我们扫描的一个速度,扫描越快呢,那么我们就越越那个对我们的一个网站,就是越能越快完成进行扫描,但是呢怎么样的越快。
那也意味着我们扫描的一个并没有那么的仔细,我们呢可以去根据我们的一个需求进行扫描,然后上面呢还有一些data lock lock locking这个软件,就是去登录我们我们的一个网站。
这是去扫描我们我们比如说我们有一些网站,可能是你访问的时候就是什么都没有,就是只有一个登录的页面,那么我们这种呢我们就可以先进行一个登录,要再进行扫描,这种呢就是一个需要登录的一个扫描,现在我们前面。
前面我们就选随便选择一个,就是一个天lab。com,然后我们这边就不需要不点登录了,现在我们去进行一个点,我们点到保存了。
看到我们点击这一个scan scan,这里第一个这个spp part就是我们点击点击了game,只好在这里呢是需要我们去选择,我们的一个扫描的一个设置,比如说我们一个扫描类型。
这个安排扫描类型有一些全面扫描,就是第一个就是它默认的就是一个全面扫描,还有呢一个就是扫可以,我们只是扫描仪一些高危漏洞,或者是一些xx的漏洞,ak车头收入劳动等等,还有一些就是密码。
就是绕口令的一些漏洞,还有就是一些爬虫,就是爬虫爬是爬起我们我们的一个目标网站,然后中间这个就就是一个report,就是告诉我们需要生成什么样的一个报告,比如说我们它默认的是一个空,就是没有报告的。
这个冒药里没有报告的,然后呢还有呢就是一个标准标准报告,还有上上面呢就是一些合规报告,就是以什么样的一个方式并进行一个输出报告,还有呢就是一个扫描的频率,扫描的频率就是insteam。
这个就是我们的一些立立刻扫描,这个instea就是一个立刻扫描,然后中间这个呢就是我们未来,这就是以后的某一个时间,就是就是我们做一个定时定时任务,比如说我们在这个9月7号去进行一个扫描。
或者是我们还可以,或者是一个9月8号进行一个扫描,还有呢现在我们可以选择多少点多少分,以及一个就是一个循环扫描,循环扫描就是说我们在某一个时间点就没到达,那一个时间点就进行一个扫描。
比如说我们在周期进行一个扫描,比如说或者是哪一个月,就是每每周并扫描一次,或者是每月扫描一次,或者是一个每天都扫描等等,我们这里呢就选择一个立刻就是立刻扫描。
一个扫描车我们点击这里sm就可以了,然后它就会并对我们的一个目标网站进行扫描。
我们这里呢,因为我们机器的一个原因就不进行扫描了。
然后第三个,第三个就是我们我们的一个漏洞列表,这个漏洞列表给我们展示了,给我们展示了我们所扫描到的一个漏洞,比如说我们一些d o r s的一些漏洞啊,还有一些其他的,那么我们可以点击某一个漏洞。
就比如说我们点击这个漏洞,点击漏洞里面呢它有一个漏洞的详情,不过那都是一个英文的,我们可以就是找一些,就找一个汉化包去进行一个汉化,不过呢我们在这种一模的话,我们也可以去进行一个翻译一下。
p p p o i s的一个漏洞,没有呢,它会给出我们的给出,向我们展示它的一个http的一个request,也就是他一个请求包,还有一些返回包等等,还有呢就是一些就是我们的一个漏洞,漏洞修复。
这个给我给给出了我们的一个漏洞,修复的一个方法,或者我们选一个xx的一个漏洞,所以这个这个呢就是给出了,我们的一个工具的一个plot,也就是我们的一个工具的一个语句,我们可以看到它。
这里呢它在这里测完这个部分呢,实际上就是我们的一个攻击的语句,还有后面呢就是我们的一个原因包,就是我们再把比如说我们访问这个页面的时候,要插入某一些攻击语句放在这里呢,就给我们返回返回了,给我们。
你要拿,还有就就是一个st ok这里呢也有几个选项,一个呢就是new scheme,就是一个新建扫描到game就是停止扫描,还有一些删除扫描输出报告以及比较结果,比如说我们这里呢。
是我们这里呢是一个以前的一些扫描,我们可以先进行一个new scheme,要去扫描我们以前所扫描的eva站点,或者是我们将我们的一些人。
以前扫描了一些站点进行一个删除等等。
还有一些输出也是跟我们前面的是一样的,就是输出报告,还有呢就是一个比较比较结果,也就是说比较我们两次扫描的,一个就是相同的一个站点,两次扫描是不同时间段扫描的一个结果。
比如说我们在今天的时候扫描到了一个漏洞,然后呢我们去通知别人进行一个修复了,然后我们在明天的时候,就是他告诉我们已经修复了,那那我们再重新进行扫描一下,扫描一下呢。
我们再然后将我们的两个结果进行一个对比,要对比呢就可以,对比呢就会它自己会生成一个报告报告,我们将我们这的一个报告进行下载下来,看一下这两次扫描的一个结果,不是这一个是另外一个。
所以呢就会我们将我们的一个报报告,下载下来之后呢,就会将将我们的两个结果进行一个扫描,就是比较,比如说这里呢就是第一次扫描这个青蛙点,qq。com顶马二个呢就是一个第二次的一个扫描。
就是将原来就是立立志扫描的一个就是结果,一些扫描到的一些漏洞进行一个比较,还有一个就是我们的一个定理定啊,报报告这里报告这里呢就是一个report reports,就是这里呢就是我们前面我们导出。
导出的一个报告,就是生成的一个报告,都在在我们这个reports这里都可以看到,那然后呢我们想看一些报告呢,我们就将它进行一些下载下来,我们可以下载了一个pdf的一个文件格式的文件。
可以下载成一个就是导出为一个html的,一个格式的文件,我们点击这个download download,这里呢就可以进行一个下载,还有还有呢一个就是一个设置设置这里啊,还有一些就是我们的一些设置这里。
那我就会一一给大家讲了,因为我们的一个时间关系,我们主要是讲我们前面的一些,就是如何去利用这个工具进行一个扫描,还有呢就是我们我们在激活的时候,如何去去知道我们是否去激活成功能呢,我们就是在登录之后。
我们在这个右上角这个administrator这里,我们点击点开它,原来我们找到这个第二部分这个零件,这里这里呢我们可以看到我们的一个产品,就是这个产品的一个道具的一个时间,我们可以看到是一个到了。
到到了这个2118年来到t的,我们可以可以在这里去看看,我们是否激活成功了,然后呢这里呢我们就讲到这里,我们来讲一下这个这个音量,音量扫描,那为什么要进行一个批量怎么样呢,因为我们在遇到大批量的目标值。
比如说我们可能一个网站,它可能有一些几千个的目标,几千个的一个子域名,这时候呢就需要我们利用一个音量的一个脚本,来进行一个操作,因为我们不可能说每一个,如果说是一个单子的话,我们不可能是每一个嗯。
每一个网站都去进行看,都去看他,因为我们看一个网站,它可能一些功能多,这个功能点比较多的一些网站的话,那你可能要看,你要在上课之前呢,我们先讲一下我们上一节课的内容吧,上一节课呢给大家讲了这个aw v。
上一节课给大家讲了,这个aw vs的一个安装破解,以及它的一个使用的简单的一个使用的方法,它有它的就是它的一个,看一下,其实还有它的一个批量批量的一个小板的使用,然后呢我们我们就是还有同学。
就是我今天看了一下你们的作业,那你们的就是交经是交上来的,同学都已经完成了这一个破解,两个两个软件的一个破解了,如果你们就是还没交作业的那些同学,就是你们有什么不懂的,就是没有没有完成这个破解的。
你可以就是着火就可以在群里就是提问,或者是给我,你给我治疗也可以,然后我帮你们就是远程看一下是什么问题的,然后第二部分呢给大家,我先把这个给关掉,第二第二部分呢就是给大家讲了这个box swit。
你是一个工具,它的一个,放这边,这个工具的一个破解就是安装以及破解,安装的话我们是不用安装了,就安装一个a d k就好了,然后就是安装一个配置java环境,然后直接打开它的那个下包就可以了。
打开下包我们我们破解完了之后,就是我们打开的是这一个,啊比如说我这里我这里有个两个,我们我们的话就是由这是给你们发了两个文件,一个就是它里面有两个文件,一个是box box,sweet road。
就是它的一个运行了一个程序的一个包,另外一个呢就是它的一个破解程序的一个包,可以说是一个破解程序的话,这个一个这个一个load,包括k这个包,就是你们在打开破解完成了之后。
你们打开就打开这个lok是一个包就可以了,双击然后点击运行,关机之后它会打开这样子的一个页面,打开页页面之后,然后点击乱,这里要等一下,有点有点卡,我们点击运行图之后,它就会出现这个页面。
然后我们点击next就可以了,然后呢我们就可以使用这个工具,我们可以把原来的这个给关掉,我们我们我们就可以对这个工具进行一个操作,使用了,然,另外呢还给大家就是点了它的一个使用的一个。
或就是代理的一个抓包,以及我们就是简单的就是安装了一个证书,因为它默认的话是只能抓http的一个包的,还有呢我们需要下载一个证书,用来去抓取那个h t t p s的一个包,后面呢我们还给大家讲了。
就是它的一个快捷方式,就是我们直接使用一个扩展,使用扩展程序来代替,我们就是设置代理,另外呢就是给大家讲了,我们的一个模块的一个使用,就是各个模块就是我们常用的一些模块的使用。
比如说那个plus的一个模块,以及我们的一个intel的就是一个攻爆破,或者说是一个枚举,就是我们这个intel的这个模块呢,都是我们经常是用它来进行一个爆破的,还有就是一个lip这个模块。
这个模块呢主要是用来,其实可以说是一个进行一个东西,存放的一个模块,就是我们将我们的一个数据包,发送到我们这个这个app这里,我们就可以对里面的一个请求包,进行一个修改编辑。
现在我们看回我们今天的一个内容。
今天的我们,我们今天的一个内容就是我们的一个注入神器,sl map,我们在讲这个super map之前呢,我们先来看一下它的一个目录结构,就是第一部分,我们首先讲一下这个sql注入的一个产生的原理。
这一部分呢就是一个sql mate的一个安介绍与安装,第三部分呢就是它的一个功能以及应用,就是如何去使用这个sql map,对我们的一个漏洞进行一个注入,下面呢我们先看一下第一个部分车头。
车头就有的一个产生的原理,首先呢这个思考注入漏洞,是从1998年圣诞节大火以来长盛不衰的,就是在那时候,就是在1998年就已经出现了这个漏洞了,然后到现在呢,我们还是能经常看到这一个接口。
输入的一个漏洞,那么什么是车头注入漏洞呢,也就是说它的一个sql注入漏洞,是将我们的一个sql语句,就是sql一个查询的语句,或者是其他的一个sql语句加入,或者是添加到我们的一个用户的一个输入的。
一个参数中的一个攻击,然后呢,再将这些参数传递给后台的一个sl服务器,加以解析并执行,也就是说可以可以将我们输入的一个数据,就是输入的一个sql语句,去当成传递给后台的一个sql服务器去执行。
这个呢你们可能是有有一点点不懂,不过呢这个没关系,待会你们就是有就是我们实验室里,你们有有就是里面可以对这个漏洞,就是去进行一个读题,下面我们来从代码这个方面,我们来看一下它的一个输入原理。
首先呢它是由于同一个由于是没有过滤,也就是说我们输入的一个,只能将我们直接将我们输入的一个参数,或者说是一个语句直接进行一个执行的,或者说是一个过滤不严,也就是说我们可以对它进行一个绕过。
首先呢我们从这图中的代码可以看到,当代,我们从代码中可以看到,它对我们输入的一个id,并并没有进行一个严格的过滤,也就是这里的一个id并没有进行任何的过滤,就是我们通过一个get方法去你算了。
我不放过你点一下,那从我们就是我们通过一个get方法去,获取我们一个id,但是呢他并没有对我们获取到的这个id,里面的参数的值进行任何的过滤,那么我们就可以他就是输入一些搜索语句,来进行一个查询。
查询我们想要查询的一个数据,这个能不能理解你们,这个可以理解吗,就是讲的这个sql语句的一个注入的一个原理,就是你们就是你们学过这个sql语句的,就是学过学过数据库的话,应该是可以理解的。
也是不能理解挂超过二,哦那没问题的话,那我们就继续了,因为我们这里的更多的是一个,讲一个工具的使用,所以我们对它的一个并没有最大的一个,其他的一些方面并没有进行深入的一个对。
首先呢我们判断的方法我们可以看一下,等我们这一般呢我们对这个sql,这个是判断它是否存在一个sql注入漏洞,我们一般都只用一个单引号进行一个判断,比如说这里呢是之前的一个实例。
就是一个例子是真实网站存在的,我们正常的话我们在这个name这里,这个参数方面看后面,但是一串这个字符串,就是第一个ur l编码的一个字符串,嗯我们可以看到我们在正常的情况下,我们输入的时候。
它它返回的这里是一个正常的一个内容对吧,然后呢我们我们插入一个单引号,就是我们可以看到在这里呢可以看到,我们这里呢是插入了一个单引号,然后呢我们可以看到它后面这里,它返回包这里。
它跟我们前面返回的一个内容是不一样的,返回的不都不一样,之后呢,我们再来看一下,我们再再输入一个单引号,我们在输入一个单引号之后,我们可以看到在这里,在这里呢输入了两个单引号。
我们这里呢注入了两个单引号,然后呢在这里在这里返回的一个内容,也就是跟我们前面明珠带引号的时候是一样的,那么我们就可以说这里呢是存在一个注入,注入漏洞,啊比如说我找个网网站吧。
比如说我们这里有一个看一下就,比如说我们这里呢有一个网站,这个呢是我们用来进行一个练习的一个网站,我们这里有一个网站,我们在输入一的时候,它是给我们返回的,一个是这个是一个正常的,就是回填对吧。
就是给我们返回一个正常的一个页面,并且在我们这里呢大家的一个sql语句呢,也是相当于是这样子的,这是一个select,然后新the flauser where id等于一,where id等于一之后。
它返回的一个内容是正常的,但是呢如果说我们在这里加上一个单引号,单引号,这里呢是不是就会进行一个报错了,那为什么报错呢,我们可以看到我们这里sql语句,这里在这里是不是多了一个单引号。
我们在输入一个单引号的时候,在这里是不是多了一个单引号,那单引号这里就是不是就会引起一个报错,这个可以理解吗,啊然后呢我们在输入输入一个单引号的,是因为在这里输入了一个单引号对吧。
那么我们那怎么将这个单引号给就是闭合掉,或者是去掉呢,我们可以使用一个这样子,我们再输入一哦,好像不是这个,我看一下是不是这个,哦因为因为这个是一个,因为这个是数字型的一个注意。
我们来看一下第二第二个的吧,我们来看一下,因为前面那个是数字使用的,哦因为我们这里呢我们应该是这一个是这一关,嗯我们我们这里先查询一个a的时候,在这里呢是因为他我们输入的是一个字符,字符串。
是它这里呢是一个字符型的一个注入,或者说是一个字符型的一个搜索,哦就是如果是数字型的话,数字型的话,这个语句我们我们在在这里进行一个嘛,这里举个例子啊,比如说我们如果是一个数字型的话。
select新号要l user where i d等于一这个数字,这种呢就是一个数字零的一个看,一会将这,就这样子吧,但他数字性能的它的一个sql语句呢是这样子的。
这是一个select your single lauser,where id等于一,它没有没有利用一个引号进行扩起来了,但是呢如果说一个字符型的话,字符型的话可能就是a。
他就是里面里面的是一个我们搜索的话,我们是搜索一个这样子的一个东西,就是a b c d以a b c d这些,来进行一个开头的,是我们字符型呢是用有有有引号进行引起来的,数字型的话就没有引号引起来。
然后回回到我们这里,回到我们这里,我们在输入一个a的时候,正常有的一个查询的时候,他的一个sl语句是这样子的,我们将在这里,但它是这样子的,然后呢我们在这里,我们在这里再添加一个单引号对吧。
再添加单引号,这里它就会进行一个报错,为什么会报错呢,因为我们这里就相当于,我们在这里输入一个二幺,再输入一个单引号,在这里是不是就多了一个单引号说了,但以后是不是就会引起一个报错,要引起剥脱呢,我们。
那么我们就怎么怎么将这个报错给,就是让他没不再进行一个报错呢,我们这里呢有有两个方法,一个呢是我们可以将我们的这个语句,就这单引号给闭合,或者说我们再增加一个单引号,增加单引号,是不是。
我们就相当于是一个成成为了两两个部分了,这是第一部分,是在这一个,比如说我们在这里再增加一个单引号,我看一下它增加了一个单引号,再增加一个单引号,是不是都没有报错了,但是呢他这里就没有。
但是没有并没有查出一个数据,现在我们可以利用另外一个方法,就是将我们后面的这一个部分的内容给注释掉,怎么注释呢,我们在sql语句中啊,我们有注释注释的一个方法呢,也可以使用一个简简单进行一个注释。
那是什么意思呢,也就是说我们将我们这简简单,后面的一个内容给注释掉了,就是不起作用了,不起作用了之后,在这里呢就相当于是成为这样子了,是不是我们就正常了呀,这是我们可以利用一个简简章。
点检查或者是一个井号给注释,或者是一个井号进行一个注释,我们这里呢可以试一下呃,其实以后点点加我们注意一个点点大的时候,是不是就就会我们这个语句就会正常执行了,这可以理解吗。
简单来说我们就是将我们的一个报错,报错信息给注,将后面的一个信息给注释掉就可以了,好那要是没有疑问的话,我们就继续了,我们这边呢就简单的讲一下,它的一个sql注入的一个原理,以及它的一个判断方法。
下面呢我们来看一下,super map的一个介绍以及安装,首先呢我们来看一下sol map是什么呢,它是一个开源的一个渗透测试工具,它可以用来进行一个自动化的检测,利用这个sql注入漏洞。
获取数据库服务器的一个权限,也就是通过我们刚刚讲的那个sql注入漏洞,来获取一个数据库服务器的一个权限,然后呢它是用一个python python语言写的,所以呢我们如果要使用的话。
我们需要安装一个python的环境,安全的环境呢你们在前面的课已经安装了,我这里呢就不给大家做一个演示了,当然我这里有一个一个是官方的一个网站,还有一个是githu,我们来看一下这个。
这个呢是它的一个官方的一个网站,我我之前呢也给也给大家在预习内容里面,也给大家写了这一个,你们就是将这个下载先下载这个压缩包,然后进行解压就可以进行一个使用了,并不并不用说像其他的那些要激活或者什么的。
没有呢,另外一个呢就是这样的一个别的号,这个呢,是它的一个官方的一个仓库,这里也有一些它的一个安装安装方法,以及它的一个使用方法,还有他在这里呢也做了它的一个版本,运行的一个版本,刚刚我也给我。
我也在我的一个就是网盘里面。
给大家放了一个链接,你们可以也可以在我这里下载。
下载了之后,那是这样子的一个,用充满,啊这个呢就是我我找一个设计,有点解压了之后是它的一个cl map so map,我们可以看到它这里它的一个运行的一个脚本,实际上是使用这个qq map屏py。
我们就运行这个文件,但是呢我们就是说每一次每一次都需要进入到,进入到里面来的话,就是进入到我们文件里面来的话,是不是有一点点麻烦,那么我们就可以为它创建一个快捷方式,怎么创建呢,我们可以新建页面。
新建这个桌面呃,这个右键桌面,然后新建一个快捷方式,新建快捷方式,然后我们在这里呢就是需要我们去填,让我们填入一个对象的位置,我们我们这里呢是为我们的一个cmd,一个cmd的一个窗口,让我带你给我放。
所以呢我们这个右键创建一个快捷方式,然后为这个填入一个cmd它的一个路径,再然后呢我们就是右键属性,在它的一个起始位置,便于我们的一个super map文件的一个位置。
就是说我们在这里填入了我们的一个dmd之后,我们点击下一步,这里呢你可以命名,随便命名,或者是一个circle map,要完成完成了之后,我们在右键右键属性这里最大的一个起始位置,将我们的一个。
这个map的一个路径给放上去。
对我们说用起始位置这里将它放放进去,再点击应用就可以了,你应用之后,让我们就可以在桌面去对它进行一个使用冷门,双击它问题,他在这里呢是直接进就可以,直接进入到我们的那个路径这里。
然后我们输入一个python python,要看你们的一个python是是输入python呢,还是一个直接来一个那个就是多多多版本,一个共存的,比如说我这里是一个多版本的,可以的文件。
我的一个python改为一个python 27,人家输入一个python 2 t单,这里呢就会出现我的一个拉了一个版本后,我们这里的不是这样,然后我们去执行这个python 27。
然后再执行我们的一个sl map,sql map,点py这个文件,听到吗啊,这里少了一个b y g o python prt n o max,原来我们就可以看到它的这里。
这里的一个它给我们显示的一个版本信息,环境变量环境变量,你那个我我我没事了。
环境变量,待会你们也可以试一下,我这里就是我们主要是我们将我们的一个,python的一个环境变量搞好就行了,这个的话都是不重要的,我们也可以就是我们在运行的时候,我们也可以进入到它的一个目录里面。
进行一个cmd,然后去运行它,然后呢我们这里呢有有一个中文的一个手册,中文手册呢也介绍了一个比较很详细的,我这里呢只是给大家介绍它的一个,简单的一个用法,首先呢我们可以看是可以看到。
这里给大家列出了几个参数,一个是杠一曲,上一局参数呢是查看到的一个一个基本用法,以及它的一个命令行参数,还有呢就是一个杠h h,就是查看所有所有的一个用法以及命令行参数。
还有呢就是它的一个刚刚word查看到的一个,版本信息,下面呢我们先来看一下它的一个用法,我们先将我们一一边介绍这个用法,一般来讲这个课,所以呢我们进行一个漏洞的一个检测,漏洞的检测呢。
我们主要是使用一个杠u的一个参数,杠u参数呢在后面呢就是跟我们的一个u r l,或者是一个杠m参数,也就是我们可以去批量去对我们的一个uri,进行一个检测,注入就是检测它是否存在这个注入漏洞。
比如说我们这里杠我们来给大家测试一下。
要passion 2。7,你要circle map,杠优杠u呢就是跟我们的一个url。
后面跟我们的一个u r l,这里大家双引号,然后这个这里呢就是跟着我们的一个。
跟我们的一个ui好,就是我们的一个参数的一个值,这里因为我们ui ul,要进行回车,回车呢。
在这里呢就会给我们进行做一个检测,检测的话在这里呢大概大家询问我们,其实如果说我们不懂这些英文什么意思的话,我们也可以进行一个复制,那这个意思呢就是告诉我们,我们后端的一个数据库。
看起来呢现在是一个mysql的,看起来像是一个mysql数据库,然后你要再询问我们是否去跳过测试,其他的一个数据库。
我们这里呢也可以去翻译一下,在这里呢是别问我们是否要跳过,设置其他的一个数据库。
啊然后然后呢我们就确定就好了,最后一个y就确定,然后这里呢我们就是看不懂的话。
那我们我们也可以继续进行一个复制,看看它是一个什么意思的,刚刚在这里来询问。
我们是否要包括所有针对一个mysql的一个测试,我们这里呢也可以可以就选个n n也可以,这里我们可以就随便去,就是要是我们不懂使用的话,我们都都可以去多进行一个尝试,就是可以输入y。
第一次输入输入y看看一下会是什么结果,你要输入ne看一下什么结果,那到这里大家询问,我们就检测到这个id的这个参数是脆是脆弱的,也就是说它检测到了这个id的这个参数,可能是存在一个漏洞,然后面这句话呢。
就是问我们是否要还要去测试其他的一个参数,我们这里呢就不进行测试其他的一个参数了,我们这里呢就是测试一个id的一个参数,现在我们都有一个n注意n这号,那这里呢就是我们的一个检测的结果。
那这里呢就是检测到了它的存在了一个注入,就是存在了一个get型的一个注入,然后呢如果是我们使用的一个杠杠m参数,二七秒co map。
杠m杠m参数呢,我们可以就是将我们的一个u i l复制到一个,文文本里面有说文复制复制到这里,要一行一行一条,比如说这里是一个一,还有一个二,比如说比如说这样子,如果我们是自己单加一个。
就是我们一一行一个ui。
如果我们使用的一个杠m参数,就是进行一个批量的一个检测。
下面呢我们检测到了它存在的一个操作,那么我们在这怎么去进行一个利用呢,首先呢就是一个第一,第一步就是枚举到的一个数据库,这里面没举到的一个数据库呢,就是我们要注意的时候,那就是一个地方。
就是我们后面的是一个杠杠,bp s刚刚db刚刚dbs,也就是说枚举所有的一个数据库,也就是在我们的这个,数据库系统里面的一个所有的一个数据库。
哦这个呢就是就是它的一个测试的一个等级。
比如说我们这里呢是一个也,因为我们一个注入的话,我们并并不是并并并不仅仅只有一个get,或者是这个post,我们还有一些我们您的学友,也可能会存在一些cooki cookie注入。
还有一个h t t p桃注入,h t t p头部作用就是这是什么意思呢,就是说如果我们我们注入的一个参数,就注入点并不在这这里面,get或者post里面就是并不在这里,那么他们就大。
如果说在这个cookie的话,如果我们选择你刚刚说的这个,那么他就会去测试其他的一个地方,动一下,比如说他的那个level,就是你就是那个等就是等级的level,那里它一共有五个五个等级。
在默认情况下呢,这个事后map只支持我们的一个get,还有post参数的一个注入测试,但是呢如果能当我们这个level大于等于二的时候,就会测试它的一个htp http里面的一个cookie。
以及一个usa转,还有ak follow diva头等等,这个呢你可以看一下那个中文手册,里面也有一个介绍,可以设置,但是我们对啊,就是你你扫描,就是跟我们前面讲的一个扫描器一样,就是aw v s一样。
你你设置的就是越越慢,那就是我们不是有一个选择码可以设置快的,还有一个慢的,如果你设置五的话,那就会走得很慢,但是呢它就会可能就是走的比较详细,就是我们我们可以根据我们我们的一个需求,来进行一个设置。
好下面呢我们来看一下我们的一个继续,我们不能管,原来我们在凹面加上一个刚杠杠,dbs就是我们每枚举我们当前的一个数据,那个数据库管理系统里面的所有数据库,我们可以看到我们这里呢已经给我们枚举了。
我们的一个所有的一个数据库。
存在的一个数据库,这里呢跟我们的一个是一样的,这里,哦对诺亚呢是一级默认为一单就可以测试。
我们get还有post参数里面的一些参数,比如说我们这里mysql杠u o的上一,搞错了,mysql can u fold,上新,好比如说我们进入,进入到了我们这个数据库这里了,然后呢。
我们来看一下它里面的一个所有的一个数据库,这一应该背的背。
我们这里可以看到呢,它这里它的一个数据库跟我们跑出来的,这里呢是一模一样的,在这里呢是12个,我们跑出来的也是12个,原来我们读了好,我们的这一个所有的一个数据库之外,我们还可以去跑。
我们当前当前的一个当前所使用的一个数据库,就是我们将我们的一个课堂地点改为一个q,r e n t杠dd这个参数,kn这个参数,q an杠b b这个参数就是没几没,就是查询。
我们当前当前这个网站所使用的一个数据库。
现在我们这里呢可以看到在在这里在在在这里,我们已经注册了一个它的一个数据库名字,当前的一个数据库的名字和一个和天lab,那么我们在实际发s i c的时候啊,我们就是跑出这个数据库名就可以了。
就是我们在使用这个super map,还是一个人工进行一个输入的时候,我们都是我们一般来来一般来讲的话,我们跑出了这个数据库名就可以提交了,并并不再需要进行后面的一个e注入了。
那当我们注入了一个注入出来,跑出了一个数据库之后,我们就还还可以去对它进行一个数据表,就是跑它的一个数据表,数据表中的,我们前面的一个数据库呢是一个杠杠d b s。
然后数据比较数据表呢就是一个杠杠黑保tables,就是一个表表明对吧,这个这个杠b杠b参数就看大学第一,这里后面呢就是跟我们上一步,美女到的一个数据库名,比如说我们上一部。
上一部是不是枚举到了一个和天lab,那么我们嗯这里报到的一个数据表呢,就可以将我们的那个数据库名就是写写出来。
比如说我们比如说我们这里,我们前面是,前面我们跑出了一个天lab,然后让我们更低更低,也就是我们的一个database,就是数据库嘛,要和和天,然后后面刚刚一个刚刚黑宝黑宝。
他就会对我们的这个数据库里面的一个表,进行一个查询,现在我们可以看到我们查查到了这个八八个表,一个user,他们以及email liquid等等,那我们我们跑出了一个表名字。
我们是不是还可以跑它的一个表列,就是它的一个列名。
那你比如说然后呢我们可以在这里,我们前面跑出了一个表明有杠杠t,杠t呢就是我们跑出来的一个前面的一个表明,比如说比如说我们这里呢好一个u,这里是一个user。
是不是这个user就是我们前面跑到的一个表明,那我们在列宁列宁是哪一个呢,就是colin c o l u m m n x,这个呢就是从它的一个列名,好内名之后,我们来看一下。
这里呢可以跑到它存在的三个类,分别是一个id password,一个以及一个username,啊对这些呢是自己自己添加的,就是那个呢是我们用来练习的一个网站的,这个你你你在上一个的时候。
应该也也有做过这一个吧,对这个是不是给我们做一个练习的,现在我们跑出来这个id还有一个excename,password之后,password之后呢,我们还可以对它进行跑出,它里面的一个具体的一个数据。
那么怎么要到了这一步呢,也就是还要再继续的话。
也就是我们所做的一个拖库,就在前面,我们前面这里呢我们跑出了它的一个枚举,得到了它的一个数据表列,然后呢我们这里呢有还有一部是拖库,拖库这里呢我们在挖s i c啊,或者是做一个做一个极大的一个漏洞。
挖掘的时候,我们这个呢就尽量不要去使用,除非说我们是在做一个渗透的项目,就是别人有一有的一个授权要,并且说明这个情况了之后,我们才可以对这个进行一个使用,不然的话我们这个拖布这个杠杠杠。
这个命令就是我们最好是不要对它进行使用。
因为这个很很容易就,那个被抓进去了,那我们怎么我们前面呢我们跑到了它的一个,跑到它的一个数据表列,然后我们杠七杠七呢,后面就是跟我们的一个列列名,比如说我们这里的一个i p id,要user name。
你要打好大的还是word,后面就有一个杠杠杠好。
P45:第7天:Weblogic,Thinkphp,Jboss,Struts2历史漏洞讲解 - 网络安全就业推荐 - BV1Zu411s79i
现在我们可以看到我们查查到了这个八八个表,一个user,他们以及email liquor等等,那我们我们跑出了一个表名称,我们是不是还可以跑它的一个表列,就是它的一个列名。
那你比如说然后呢我们可以在这里。
我们前面跑出来一个表明有杠杠七,杠七呢就是我们跑出来的一个前面的一个表明,比如说比如说我们这里呢好一个u,这里是一个user,是不是这个user就是我们前面跑到的一个表明,那我们在列宁列宁是哪一个呢。
就是holland c o l u m m n s,这个呢就是从它的一个列名,搞内名之后,我们来看一下,这里呢可以跑到它承载了三个类,分别是一个id password,一个以及一个username。
啊对这些呢是自己自己添加的,就是那个呢是我们用来练习的一个网站的,这个你你你在上一个的时候,应该也也有做过这一个吧,对这个是不是给我们做一个练习的,现在我们跑出来这个id还有一个excename。
password之后,password之后呢,我们还可以对它进行跑出,它里面的一个具体的一个数据,那么怎么要到了这一步呢,也就是还要再继续的话,也就是我们所做的一个拖库。
就是前面我们前面这里呢,我们跑出了它的一个枚举,得到了它的一个数据表列,然后呢我们这里呢有还有一部是拖库,拖库这里呢我们在挖src啊,或者是做一个做一个其他的一个漏洞,挖掘的时候。
我们就这个呢就尽量不要去使用,除非说我们是在做一个渗透的项目,就是别人有一有的一个授权要,并且说明这个情况了之后,我们才可以对这个进行一个使用,不然的话,我们这个拖布这个杠杠杠杠p。
这个命令就是我们最好是不要对它进行使用。
因为这个很很容易就,那个被抓进去了,那我们怎么我们前面呢我们跑到了它的一个,跑到它的一个数据表列,然后呢我们刚需刚需呢,后面就是跟我们的一个列列名,比如说我们这里的一个ip id要user name。
你要打好大概的查询,word后面就有一个杠杠杠法,也就是一个拖布,要使用了这个命令之后,他会将这些数据,我们可以看到。
在这里将它会将它的一个数据会保存到我了,我们的一个本地,保存到本地,然后我们可以是保存了。
成了一个csv的一个文件,我们可以看一下在此电脑在c盘里面有,看一下用户,在这个等一下这个a b a a b b在这里,让我们每一个搜索麦,那么这个时候map也要在output这里。
我们可以看到这个dump,这里呢我们可以看看到,我们刚刚是已经将我们的一个数据给拖下来了,原来这这个呢就是我们所跑道的一个数据,当然了,实际上我们正常的话,我们这里呢,这这这个呢是给我们做一个显示用的。
就是展示用的,我们就可以去,比如说我们这里呢是否其他的一个表。
比如说我们这里前面这一步不跑它的一个优势,不跑user给我们,我们可以跑这个user杠wd这一段,哦还有就是你们挖挖漏洞的话,就是你们在上传的时候,最好是上传一个p s p for。
你上传一个p p1 p就可以了,因为你因为你你这个不是做了一个,就是我们在挖挖漏洞的话,并不是我们的一个渗透,就是我们上传一个漏洞去证明它,去证明它存在就可以了,并不是并不需要对它进行一个。
后一步的一个利用。
首先呢我们这节课的一个super map就讲到这里,那我们先休息一下。
你们有什么不懂的吗,有不懂的话就把发在上面啊,我们休息十分钟,然后到九点我们再开始下一节课,哪一个跑调法的,哦我在我前面,不是在预习内容里,啊那个因为我们一个时间的一个原因。
币就先不讲这一个方便我们抽有时间的话,对待会需要换一个教室,后面我有时间的话,也会给你们讲一些其他的一个就是方法,而且你们这个这个sol sol mp和脚本呢,并不是那个刚刚splay那一个参数。
一般都是用来就是做一个wap。
我们是使用所使用的是这一个下参数,就是手动的话我们还是需要进行一个手手动的,因为我们在测试的时候,我们一些参数啊,或者是一些其他的,我们可能并没有做的那么详细,我们可以在手动的时候。
就手动跟这个工具进行结合相结合,比如说我们手动可能tip劳动的时候跑到,我们发现它存在这个漏洞了,存在了这个漏洞的话,我们就可以使用工具进行一个跑,因为因为使用工具是使用工具跑的话,我们直接加速杠杠。
那个杠杠怎么处理不了,加个杠杠bbs就可以了,而不是我如果我们手动的话,我们还得一步一步的拆拆到的一个数据,这个ten temple这个脚本的话,它其实也是,比如说他会可能它可能是它里面。
它内置了许多的一个four bu的一个解法,比如说可以有一些可以绕过空格的,我来看一看它是在哪里的,好比如说在这个tap里面,他已经它内置了许多的一个底板,但默认的这些脚板要到我这里呢。
给你点一下这个吧,ptember吧,让我看一下,比如说我们这里有一个select,我这里呢,这里这个语句已经将一个select进行一个过滤了,比如说我这里,你你懂的话,就直接那个吧,就那个那个,哦不对。
这里不用不用这样,我们对这个是一个数字型,what the fu,斯内,哦我们我们可以看到我们这里呢,我们这里呢输入了一个select对吧,这里呢我们注入了一个select。
但是在这里将我们的这个select,将我们的一个select我们它的一个sql语句在这里呢,将我们的一个select语句给过滤掉了,过滤的过滤掉了,那么我们这里呢就就使用这个小节的一个select。
就不能进行一个诱惑了,但是呢我们可以使用我们的一个脚本,因为我们脚本的话,有一些它内置了许多的一个绕过的一个脚本。
就在我们这里,房间是一个一个,python,pen 27的cfm,等一。
bbs,然后看一下后面,让bbs,然后再加加上我们的一个杠杠。
放小一点吧,刚刚ea,sample,em,e r,然后后面后面跟我们加上一个刚刚temple,就是使用我们的一个脚本,使用它的一个过waf的一个小本,在后面呢就是跟我们的一个脚本名字。
比如说我们这里要过滤过滤了一个select,我们可以找一个关键关键词绕过的一个脚本。
比如说我们使用这个,这个脚本可以做一个关键词的一个绕过,这个呢这个脚本呢,它的一个实际上它的一个用法呢,就是在它的一个关键词,在关键词里面插入它的一个注释符,比如说我们这里一个select对吧。
然后他使用了这个脚本之后,就就会演变成这样子,就会前面演变成一个s1 ,它可能是这样子插入,也要直接杠插入一个注释符,这样子,那他这样子,但这样子呢是不是,但实际上它里面这在我们使用了这个脚本之后。
它就会将我们的这个语句演变成为这个select,演变成为这样子,那么我们就可以对它进行一个绕过,还有他或者哎呀,那就是一个比如说在关键词添加一些百分号,比如说这个脚本,这个脚本大的一个作用呢。
就是在我们的一个关键词里面,一添加一些百分号,比如说这里有个百百分号,在这里也有一个百分号,就这样子添加一个百分号,但实际上就是这样子的一个原理,就是在我们的一个就是看它的一个脚本的不同。
然后插入的一个地方也有不同,插入的一个内容也不同,比如说这个脚本是插入一个注释符,要要第二个呢就是加入一个百分号,我们还可以,就是可能是通过一些双鞋关键词双写,这就是这个这个脚本就是做一个关键。
关键词双写,进行一个要过,我们这里呢也可以试一下。
就使用这一个吧。
应该有有这个标本吧,哦诶没没有没有这一个三内置,我找一个摇的吧,比如说我们使用这一个吧。
我看一下这个行不行啊,现在我们加上一个杠杠的一个参数,大v参数呢,就是显示我们的一个python的一个变化,反转,第一个pon,那我们可以看到它跑跑的一个数据。
我们这里呢我们可以看到它的这个,我们这里呢可以看到它是不是将我们的一个,这个东西就是我们的一个关键词,进行一个随机大小写了,明白了那就好,那我们我们再再休息几分钟吧,唉我去上个厕所啊。
我们这个这边呢先上课,你们遇到另一个教室吧。
啊。
好了,我们开始第二节课的一个内容,就是我们上一节课的那个,刚刚那个temple那个参数,我们在使用那个参数的时候,我们就是需要知道我们的网站,就是对哪一些关键词进行了一个过滤。
然后才可以对它进行一个对应的一个使用。
然后这节课呢我们给大家讲的是我们的一个,我们比较常见的一个漏洞,with a logic的一个应用里面的一些漏洞,还有一个think pad p里面的一个漏洞,为什么点这个呢。
因为我们在实际上的一个声道中啊,我们也会经常会遇到这些漏洞,我们前面呢我们讲的是,我们前面那个三节呢都是讲的一个工具,这节呢开始我们就开始讲这一个漏洞,现在就分别对这两个就是应用点一下。
它存在的一些漏洞,以及它的一个利用方法,我们先来看一下我们这里呢分为四个部分,其实也可以说是两个部分来讲,第一个那就是我们讲一下weblogic,这个apologic是什么。
以及它的一些漏洞的一个利用方法,第二个部分呢就是我们讲一下,我们这的一个think pad p是是什么东西,然后用来干什么的,以及它的一个漏洞产生的一个位置,还有一个它的一个利用方法。
我们先来看一下第一部分,relogic的一个相关介绍,它实际上是美国onica公司出品的一,个epileelication server,这是一个应用服务,就接着说它是一个基于java一的。
一个java的一个中间件,你可以说是一个容器,web容器,如果说你知道那个阿帕奇以他们k的i s,那么你就应该知道,这个weblogic,实际实际上就是把我们开发的一个java应用程序。
运行起来并提供服务的一种程序,这实际上它是一个中间件,或者说是一个web容器,那么嗯那有哪些特征呢,首先呢第一个是端口,端口呢它是一个开放在7001,就是默认开放在t001 端口上面的一个不。
170011端口,你们在前面讲的一个端口信息收集,应该也也提到过这些部分,第二个特征呢就是excel的一个web界面的一个特征,这是一个l404 ,然后放的一个页面,它是这样子的一个页面。
比如说我们在这里呢给大家做一个访问,看一下是多少都搞来的哦,7001我们前前面点了它的一个,它的一个特征就是它的一个7001端口,第二个呢就是它的一个web界面,这个界面呢我们访问这个砖头。
但默认的就是这样子的,一个就是404的一个界面,如果我们在一个渗透或者是一个挖漏洞,就是挖s i d的时候,我们看到这种呢,就是说明它是一个riologic的一个中间件。
那么你们前面就是有同学不知道什么是s i c,s r c呢,就是我们一些厂一些那种大的公司啊,比较大的公司,比如说比如说一些百度,百度啊,阿里啊,360啊等等的一些,一些那种大公司。
他们是一个一个应急安全应急响应中心,也就是一个叫做src,比如说这些aj华为啊,京东啊等等,我们我们的话你们前面就是收集的一个子域名,就是在应该就是在这里面进行一个知道的。
比如比如说一些爱奇艺或者是一些叮叮咚,以及一些什么我的世界等等,那你们这个应该就是收集这些,s rp的一个子域名,现在我们在平常那时候,就是可以在这里面做一个那个挖洞挖漏洞。
所以你们可以把你们所学的一个知识,就是在这在这上面进行做一个练习,比如说现在在这里呢也也有一些礼品,分别是一些京东卡或者是其他的一个东西,啊这这个呢就是它的一个特征是,分别是17001的号。
已经是零四东方的,那么我们为什么要剪这个weblogic呢,首先这个vivlogic的应用非常的广泛,特别是在我们在内网中啊,在内网中我们可以可以,你们如果有一些同学是在公司里面的话。
应该有也有看到过这些apologic的一些应用,它应用的非常的广泛,应用广泛呢,而且它的这个漏洞也非常的多,它的一个历史漏洞非常的多,比如说门这些常见的,比如说一些d v1201 g10271 l。
一边28942618等等,以及它的一个入口令,还有今年今年的aj发生的一些漏洞,这里呢都给大家列列起来,接着呢我们只做一个简单的一个介绍,下面呢我们来讲一下它的一个利用,所以呢我们这个利用方法呢。
我们先来看一下去怎么去获取到它的一个资产,也就是说获取到存在,就是安装了这个vivlog这个中间件的一个地址,领着我们,第一可以通过我们的一个网络空间搜索引擎,比如说炸弹魔法生活之眼等等。
诶这个不都可以,不过呢建议就是挖一些比较小众的,就是那种那种肉,就是sg,因为你那种就是挖那种比较大众的话,都比较多人挖,像这种的话都很多人挖的,可能就比较难进行难挖到,就你们可以将收集到的一个子域名。
然后放到aw vs里面,让他去进行一个扫描,就是要注意一点的的时候注意要注意一点的是,我们要注意注意,不要把他的一个网站给搞崩了,腾讯这里呢可以看到啊,我给你们发这一个吧,在这里呢列了许多的一个fc。
现在你们就先做一个信息收集,然后再进行一个漏洞挖掘,好这里刚讲完这个,比如说我们在这个佛法,这佛法呢实际上它是一个网络空间搜索引擎。
我们这里面大有也有一个,就是我们可以在这里发现一些想要的,我们想要查询的一些东西,比如说我们这里呢就查,我们这个讲了一个weblogic,所以呢我们这里可以查询这个weblogic,点击查询。
因为我们这个不是会员的话,我们能查询到的数量有限,比如说我们这里呢随便走一走一台啊,我们这里走一台看一下,我随便找一台机器,那么它这里呢访问呢也是一个404。
404的一个页面,他端口的话它是开放在5555,这就是他修改了它的一个默认端口。
现在呢我们也可以就是找到这里,来让我们找这个7001,我们找到这个t001 这个端口。
现在我们可以发现我们应该访问的话,都是都是这个7001端口,另外呢就是通过一个谷歌a课,就是利用我们的一个搜索引擎这个语法,我不知道你们有没有讲过,就是in ur l也要加上一个漏洞地址。
比如说我们那个漏洞,他可能是,发生在这样子的一个链接上,我们举个例子啊,比如说他在这里要怎样,比如说它这个ui l它可能是它的一个漏洞,但是这样子发生在这这样子的一个地方。
那么我们是不是就可以在这个另一个谷歌语法,的in u i l,u r a l l,要加上这这样子的一个链接,然后呢它我们注入这样子的一个语法,它就会给我们列出我们从这个ip里面。
然后后面这样子就是它会就会列出,u21 里面存在这样子的一个,一个结果,就类似于这种,还有一个呢就是一个in title,就是再就是它的一个意思呢,就是在我们的一个标题里面。
有一个weblogic的一个标题,包含了这个weblogic这个字段,原来我们前面呢主要是简单的讲了一下,它的一个特征,还有他找如何去寻找它,看到我们这里呢就点一下它的一个利用。
利用呢首先呢我们这里有一个脚本,就是可以对它进行一个变量的扫描的,并且这个标本标本里面已经结合了,就集成了许多的一个p o c uc呢,也就是我们一个漏洞验证的一个脚本。
这是一个检测我们漏洞是否存在的一个脚本,也就也叫做b c,它的使用方法呢是非常简单的,我这里,哦我我这里呢我我下载下来了,你们待会呢也可以,可以是自己去进行一个下载啊。
我就不下载了之后我们打开一个cmd窗口。
我们这里呢我们是使用一个一个python 3,python 3进行一个执行的,这个二的话好像是也是可以的,但是但是最近改成一个删了,现在我们国家的人呢就使用一个python 3,我们下载下载了之后。
我们可以看到,这里呢是它的一个下载下来的一个文件,我们我们在从上面下载东西之后,我们一会就看到这个有这这个脚本,就是这个requirement,requirement,这个脚本就是这个文本。
我们就去那里面呢,就是告诉我们需要去下载的一些模块,这需要去安装的一些模块,你们可以将它理解为就是它的一个依赖,就是需要下载的一个依赖,安装的一个依赖,那么怎么下载呢。
我们只执行一个python 3条杠,m杠m后面加上一个p i p pp,就是通过这个p i p进行一个下载p p store,然后干啥干啥,就是搭了一个文本名称。
加上一个文本叫ie q requirement,requirement,这个加上这个文本要让我们回车,回车就会像我们我们的一个依赖,就是或者说是一个模块进行下载下载,下载完了之后,我们在这个插件等。
tx t这里输入我们的一个地址,就是web logic存在的,使用了这个apologic这个中间件的一个地址,然后我们输入进去,输入进去之后呢,我们执行一个进行一个检测。
然后杠s杠f呢就是跟跟我们的一个文本发给。
那我们也可以看到它,这里呢已经在进行一个扫描了,并且他已经给我们找到了许多许多的一个漏洞,存在的一个漏洞,因为我们这个apologic上面他经常是一个版本,比如说这里呢是一个10。3。6这个版本。
它一个版本里面,就会可能会存在很多的一个漏洞,经常都经常都是,可能是今年在这个10。3。6,发动的这个漏洞,然后明年明年还是在这个10。3。6,发生了另一个漏洞,就是这样子,我们需要等它进行一个扫描。
然后我们可以看到360扫描到了许多东西,比如说今天它扫描到了第一,第一条就是扫描到它承载了一个控制台。
控制台呢也就是它的一个web的一个登录界面,我们输入一个consol就可以进行一个访问了,cn r l e,是这样的,啊大家大家正在一个步骤啊,那这里呢应该是一个控制端的。
一个这个web端的一个把那个管理界面,哦这里进不去。
我我访问一下。
看看能不能,哦它是这样子的一个界面,就是它的一个管理端,我们这管理都断了,因为单单做了一个就是限制,但是我们不能进行一个爆破,不能使用进行一个报告,我们就可以就是对这种,就利用一个手工进行一个尝试。
手工去找可能存在的一个入口令,比如说它的一个默认密码,找它的一个它的一个默认密码就是一个web mobi,口令呢也是一个wiflogi,那默认密码呢是这一个,如果说他没改的话。
那么我们就可以通过他的一个默认密码,进行一个登录,在这里呢是不能登录的,他们的密码并不是一个maplogic。
那么我们还找到了上面的这些漏洞,比如说这个这个28932725等等,那么我们怎么去利用呢,用我们的话我们就善于去利用这个搜索引擎,也就是我们的一个百度,或者说是一个谷歌。
我们这里呢可以通过百度它的一个利用方法。
像这种的,我们都可以找到我们他的一个相关的一个文章,多多找几个看看是怎么去进行一个利用的。
下面呢我这里呢有一个利用,就是2725的一个利用的一个脚本,我就这里呢就不再进行一个字找了。
这边左脚一个利用了一个脚板,这个呢就是它的一个利用的一个摇摆,或者说是一个他的一个e x p,也就是我们的攻击的一个去用来执行命令,或者是上传,上传我们的一个木板,或者是其他的一个这个e x p。
也就是可以说是一个pilot的,因为这个e x p p o c以及这个拍照的,就是有些人就是觉得它是一样的,其实这个呢也也可以这样子进行一个理解,并没有太大的一个区别,我们呢就出现这个第一个调法。
可以啊,那漏这漏洞存在的一个路径是在这个的,就是一个2725的二的一个漏洞,存在的一个路径是这个,看一下能不能,我这里抓猫给抓了,啊这个呢就是它的一个漏洞存在的一个路径,就是说我们能访问到。
就是访问到了这个我们这个2725,我们扫描到这个2725之后。
然后并且我们能访问到这个路径的话,那么它就很可能会存在这个漏洞,哦我刚扫的是一个13909。198。30,这个可以可以看一下这里。
并且我的一个。
这个这个它这个目标也也是一个13909点,198。30这一个,刚刚访问不了的,刚刚我访问不到,是因为我这里抓包将来进行一个拦截了,那那这个这个呢,这里一个利用方法是比较简单的。
我们直接将我们的这个我们先进行一个折包,我们这里呢也抓到了它的一个数据包,这个呢就是它的一个数据包嗯,原来我们可以直接将我们这个2725的,它的一个拍照的,下面的一个2725的一个final的。
直接复制过去就可以了,比如说我们先将这一个地址是换一下吧,在这里是一个13909019,8。3017001这一个,那我们接下来我们也在这里呢,将它做一个这个house进行一个修改,修改了之后。
我们直接将这一部分的一个内容,所有所有的内容都复制到这边来,现在我们我们这里呢我们执行的一个命令是k,是查看这个edc password能执行一下,可以看到我们现在已经执行了一个,这个执行了这一个命令。
edc password去查看它的一个密码文件,我们还可以去执行一些提到的命令,比如说查看它的一个i p,你可以看到我们这里呢,就可以去随意去进行执行命令了,下面呢我们来讲一下这个dp hp 5。
首先呢我们来看一下这个think p h p h p,它是一个快速电源,化解轻量的一个氢,简单的一个精量国产屏,国产的一个p h p开发的一个框架,这个呢我就不全不念了,简单的看一下这一刻吧。
然后呢我们来看一下这个think的菲律宾,它有什么特征,首先呢就是这个它的一个页面,那因为呢我们能很明显的就是看出来,它是一个link菲律宾的一个网站的一个页面,比如说我们这里可以访问一个。
啊比如说我们这里你可以看到这,我们可以很容易的就发现它是一个think bp sp,使用了这个框架的一个网站,还有呢就是搭载一个页面,就说我们可以随便输入一个页面,8089嗯,比如说一个pd pc官号。
等于是随便输入看一下,我们可以看到它的一个错误信息,它的一个错误信息哦,那也也可以看到它的一个,它是一个使用一个定的ppt开发的一个网站,那么大那有哪些应用呢,我们很多一个gm。
就是其实就是基于这个定p p h p,进行二次开发的,所以说如果我们一个dk p p,h p要出现问题的话,就会影响很多,基于这个dk p p开发的一个网站,就是就是可以理解为。
我们前面就是有一个一个主主应用,我们可以理解为是一个主应用,是一个定的pc p,要上面呢有很多一些只应用,如果说我们一个主应用,就是我们的一个think的菲律宾出现了一个问题,就是出现一些漏洞的话。
那些子应用就是基于这个think p h p开发的,一些子应用,也会也会受到一个影响,我们最常见的就是一个kn cms,一个内容管理系统,以及一个think cm f。
你还有一个b u t gm s e1 cm等等,这些gm都是基于我们这个dk psp,进行二次开发的,这个think的bp跟我们前面讲了一个vivlogic,是一样的,但存在着很多的一个漏洞。
就是发生过很多的一个漏洞,我们制定了一个呢就是一个pink pg p,五点几的一个远程代码执行的一个漏洞,这个呢我们在网络上搜一下,你能发现很多的一个介绍,比如说有一个远程代码漏洞。
我看一下这个漏洞能不能找到,我们随便搜一下呢,他也可以去找到很多它的一个相关的一个文章,那么下面呢我们来讲一个,这个一个漏洞的一个利用,首先呢我们分为两个部分,一个是一个五点点二三的。
还有一个就是五点点二,还有一个5。1。29的这两个部分,我们先来看一下五点点二三的,它的一个就是,由于在五点点二三以前的一个版本中,获取这个mac的一个方法中,没有正确的一个处理方法名。
导致攻击者可以调用request任意方法,并且构构造大的一个利用链,从而导致到我们的一个远程代码执行漏洞,那么我们正常的话,我们去怎么去发现这种漏洞呢,就是说发现他已经就是历史是否存在这些漏洞。
这个呢我们就需要利用到我们的一个工具,或者是我们去进行一个自己进行一个测试,我们去测试它是否会存在什么测试呢,我们先来看一下这个版本的一个漏洞,利用,首先呢它是在这个这个ui l里面,就是。
get这个参数里面,我们来访问一下吧,看index s等于c a t t t h就在这一个里面,现在我们怎么去进行一个利用呢,首先呢我们开启一个抓包,我们将这个包给抓下来,这个呢就是我们的一个包。
现在我们将这个包改为一个post一个请求,因为因为我们访问的话,我们这里的访问是一个get请求,我们将它改为一个post一个请求,我们怎么改呢,我们通过一个右键硬件以后。
我们找到这个change request mech的quest man,这个人在这里,骗子就是改变请求方法,这里我们点击一下,就会将这个请求方法进行一个修改了,我们要重新将我们的一个路径。
给重新复制到这里来,那么它的一个post一个参数呢,就是我们这这一串,就是这一串呢就是嗯像我们的一个系统。
执行一个id的一个命令,就是id id呢就是查看我们,有一个系统的一个用户或者一个会员卖都可以。
都可以去执行一些其他的一些命令,比如说if it from it,it compete,这里查看一个ip,诶这里也错误了,看一个视频,其他行不行,在这里读错了呀,我看一下,204,是前面是打手打的一个。
比如我们执行一个,或者是指一些提到的一些系统命令,比如if装备,那直屏你不跟别个不行啊,我现在是不行了,或者是我们执行渠道的一个命令吧,图片啊,我们可以看到也可以进去查看,我们当前的一个用户。
就是一个负mi或mi命令,就我们可以看到在这里呢,并且我们返回了一个3w6 杠date,也就是我们一个阿帕奇启动的一个用户,这个呢就是我们的一个五点点二三的一个,利用的一个方法,变更大。
下面呢我们来看一下另一个,这是我们一个五点点二的一个漏洞,它的一个原因呢,就是由于没有正确处理它的一个控制器,而是在我们的一个网站,没有开启强制路由的一个情况下,就是说它的一个默认情况下。
就可以执行任意的方法,从而去导致远程命令执行漏洞,那就是我们遇到这种这个定个p7 p5 ,就是定个p c p,我们呢可以使用我们的一个脚本,是进行一个检测,进行一个批量的一个检测。
因为我们这个是实际上它存在的一个漏洞,是非常多的,它的一个拍照的也就是有各种的一个变化,我们呢就可以就是利用我们的一个脚本,去去便利这些拍照的是否能被执行,我们这里呢这个脚本这个讲法呢。
就是用专门用来扫描我们一个think的pdp的,那里面呢它内置了几几个给他一个pilot,我们可以看到它这里呢实际上是有一些变化的,所以呢我们遇到这种的话,就将这些都进行一个尝试。
这种呢是就是因为它的一个版本不同,所所所的一个做的一个变化,那我们怎么使用这个脚本呢,来看一下,这甲板,然后呢,我们在cmd里面指定一个python,python,然后我的这一个python 2。7。
9了,我就python 271电k t p1 ,后面就加上我们我们的一个杠u杠一参数,后面再跟上我们的一个url l,就是比如说我们这里呢有一个这个ui呢,就一个8090的。
这张图是这一个是一个8090的,加上我们这一个刚刚我们那的那个8089呢,是一个五点点二三的那一个版本的,然后这个呢是我们的另一个版本,也就是我们,是我们这一个五点点二版本的,能执行一下,然后看看它。
要看到它在这里呢就是检测到了一个漏洞,就是检测到我们这个ui啊存在这个漏洞,并且给出了他的一个利用的一个plo,我们直接将这个final呢进行一个复制,要拿好别杠。
后面呢就是它的一个就是echo echo它的一些内容,比如说echo test,是不是在这里呢,是不是就给我们echo了一个test,一个数据,就是现在就说明它执行了我们的一个代码。
现在我们除了那一个的话,我们还可以就是去寻找这个版本,但实际上这个版本有许多的一个i load,比如说我们找一个这一个,这是一个beat bbo,现在实际上它的这个内容呢是这样子的,就这这样子。
这里呢就是这个ph变弱,那就是它值实行的一个代码,就是给我们打印我们的一个这个服务器信息,这个呢你们都可以在网上去进行一个搜搜索,然后进行一个利用。
那么我们这节课呢就讲到这里了,你们有没有什么那个问题的话,去就私聊我吧,或者是发到群里也可以,我们就讲到这里了。
可以,那我们开始上课,然后在上课之前呢,我们看等一下,然后在上课之前呢,我们先回顾一下,我们,在上课之前呢,我们先回顾一下我们上一节课的内容,上一节课呢我们给大家讲了两个部分的内容。
一个是一个的那个注注入工具,也就是用来考我们一个sql注入的一个工具sql map,另外一个呢就是讲到我们的一个漏洞,也就是我们的一个weblogic漏洞,以及sp sp的一个漏洞。
我们先来看一下我们上一课,上一节课讲的第一个部分,就是我们的一个sql注入的一个程序,也就是一个sl map,然后呢我们是给大家讲了,简单的讲一下我们的一个思考注入,产生的一个原理。
就是简单的讲讲了它的一个原理,也就是它主要的主要是,由于我们那个对我们用户输入的一个数据,没有过滤,或者说是过滤不严,所以导致了我们可以将一些恶意的circle代码,就是参考语言的一个代码给执行。
然后就是带到我们的一个服务端去进行执行,第二个呢我们也点了,在我们的长常用来判断是否存在一个sql注入,的一个方法,就是利用一个单引号进行一个判断,点了我们的一个判断的方法。
第二个呢就是我们讲了他的一个sql map的一个介,绍,就是还有它的一个安装,介绍呢我们这里呢是一个免安装的,然后我们是使用python,因为它是用python写的一个工具。
所以呢我们是需要进行一个python的环境配置,在它执行,而是比较简单的直接执行我们的一个,一个python,然后加上我们的那个直行夹板,就可以使用对我们的这一个工具的使用,刚才我们讲到它的一个应用。
是讲了他的一个检测漏洞的一个方法,包括是单个u i l,以及那个p音量的一个u r l,当然了,我们这个呢是一个get方法的,我后面呢我会找时间给大家,就是点一下这个qq map的一些其他的一些方法。
比如说如果如果去跑那个post一个请求,我们这里呢只是给大家列出了,就是跑一个get请求,也就是直接加上我们的一个u r l,我们还点了它的一个单核u l l,以及一个批量的一个u r l。
还好这里还有我们跑出来的,它存在的这个注入之后,我们就是去对它进行一个利用,就是跑它的一个数据库名,包括说我们的一个美女所有的一个数据库,或者是就是查找当前他所使用的一个数据库。
第二个呢就是我们通过报出来,就是枚举出来的一个数据库,然后再去枚举最大的一个数据表进行枚举,以及我们媒体到它的一个数据表之后,再根据这个数据表去媒体到的一个数据表列,也就是我们的一个媒体大的一个列名。
d第四个呢就是我们根据我们的一个列名,也要去告诉它的一个数据,也就是脱裤,在多部呢就是使用一个杠杠断法的一个命令,这个命令呢我们在就是在一个漏洞挖掘,比如说我们在一个s i c上面。
就是挖最后一个漏洞的时候,我们千万不要使用这个命令,因为我们有有个那个网络安全法吗,就是你获取了一定数量的那个信息,就会就就会就是造成一个违法犯罪,这个包括这个命令呢,一般都是我们就是我们就是授权。
就是别人给你给你授权了,然并且是说明说明可以托付,然后你才可以使用这个命令,并且您做到了一个就是下载到了一个数据,也不能去进行一个传播,可能是你那个项目完了之后,人家人家让你去把它给删除掉了。
那这里呢就是一个turtle map的一个回顾,下面呢我们来看一下一个weblogic,还有就是think ktp的一个漏洞的回顾,我们讲weblogic呢,我们是主要是讲了他的一个特征。
也就是我们常用就是它的一个默认端口,默认端口是它默认是开放在7001端口上面,第二个呢它就是它的一个web界面,web界面呢它是一个404,就是我们访问的时候,是默认的是404的一个端口。
找了一下,比如说我我在这里找一个,啊比如说我们在在这个合法,也就是我们的一个网络空间安全搜索引擎上面,去搜一个vlogic。
现在我们进行访问,这个访问不到。
我看一下能买哪些能防范的。
哦类似于这种,我们默认的话访问呢,就是它是一个404的一个页面。
原来你们可能会有一个疑问,就是它这个端口端口为什么不是t001 ,因为它这里已经修改了,修改成了一个902的一个端口,所以如果说我们一个端口没改的话,就认为是在一个7001端口上面。
或者我这里找一下。
哦比如比如说这种就是没改的。
这类似类似于这种,就是它的一个默认端口是没有修改的,所以它还是在一个7001端口上面,包括这个也是我们可以看到我们访问访问的话,这些都是一个404。
这个呢我们这里也给大家介绍了,他常见的一些漏洞,比如说我们是最近的是就是今年2020年的,就是一个cv 1,它的一个cv一编号是一个20202551,还有一个是2020255。
然后呢对于这种cv cv一编号,我们怎么去找到的一个利用方式呢,我们这里呢可以利用到我们的一个搜索引擎,或者是一个give up,就是利用药水,充分利用我们的一个搜索引擎。
去对我们的一个漏洞进行一个搜索,比如说cv杠2020杠二五哦,哦我们随便找一下药,那在这里呢就会有一些复现的一个文章,那第二个呢我们就是捡到它的一个利用,以及首先呢我们讲了。
就是如何去寻找我们这个weblogic的,一个就是资产,第二个呢就是我们利用它的一个扫描,批量的一个扫描脚本去发现,就是对我们的一个资产,对我们所收集到的一个资产,要进行批量的扫描后。
发现哪哪一些是存在了这个漏洞的,以及它的一个漏洞的验证方法,好这个呢我们定pc p5 呢,我们就简单的介绍一下吧,我们呢这个think ptp 5呢,也是出现过了很多的一个漏洞的。
并且它的一个每一个版本的那个利用方式呢,也有有一点点的不同,这个呢我们需要自己去百度,或者是在我们的一个实验室,我们的一个网安实验室呢,也有这个相关的一个漏洞,好比如说我们找到一个。
就是比如说我们前面所说的,我们那里就是找到一个找一下这个,比如说这里是吧,比如说就是这里我们找到了一个就是漏洞对吧,就是在这里呢扫描到了一个漏洞,那么我们就可以利用,我们别怕上面我们访问一下。
你在上面呢也要有许多的一个,比如说我们cv一杠2020杠255,然后我们就搜索就可以了,你搜索呢我们可以看到,在这里已经有许多的一个相关的一个仓库,或者是说是到了一个对,就是一个我们可以看一下。
并且呢它这里呢它一些小板呢,可能现在都有一个摇摆,有一个详细的一个介绍,也有一些其他的一些,可能是其他的一些利用方法,然后呢我们就可以去使用这些脚本,要去对我们所扫描到的一个漏洞的一个地址。
就是比如说我们前面我们上一节课给大家,给大家给大家演示的一个13909。198,这个是我自己取了一个服务,别说找到这种了,就是找到它存在的一个漏洞,那么我们就可以就是将我们的一个u r l。
然后要用这些脚本去跑一下,有一天呢我们就是我们可以看到它在上面呢,有一些是有一些它的一个利用方法的,就是具体的一个利用方法,我们前面呢我们用脚本跑的话,只是去跑它是否存在。
但是呢我们用脚本跑它是否存在还不够的,我们需要对它进行一个利用,比如说去执行命令啊,或者是就是get shell之类的,就是不过呢,我们一般都是执行一个命令就可以了。
或者是我们在这里造一个c v一杠202杠,2019杠2725,然后我们在所有的一个上面进行一个搜索,看到这里呢我们也可以看到它,这里呢有一些危险的一个python脚本,也是一些执行命令的一个脚本。
并且在这里呢还有一些是上传微博下的,可能我那个环境的话可能是存不了的,但是呢你们可以在我们的一个实验室上面,去搜索这个漏洞,这个这个dvd这个就是我们哪个漏洞,哦然后呢我们这里呢就就过了吧。
我们开始上我们今天今天的一个内容,那你播放一下,我们今天呢也是给大家讲一个漏洞,就是一个常见,就是我们比较常见的一个漏洞,是dust to以及debu这两这两个的漏洞,那么这里呢我们也分为两个部分。
就可以说是一个两个部分,一个第一部分的,一个是一个struct to的一个部分,这个部分呢一般为两两个小部分,一个是它的一个相关介绍,第二个呢就是它的一个识别以及它的一个漏洞,利用。
第二个呢就是一个jboss的一个相关介绍,以及它的一个jboss的一个识别,与它的一个漏洞利用,看到我们我们先来看一下第一部分,just to的一个相关介绍,什么是gest to呢。
但是美国阿帕奇软件基金会,负责的一个开源的一个项目,所以到用于创建企业级java,web应用层应用的一个开源mvc框架,这个mvc框架呢,也就是我们常数常数所做的一个模型,视图以及控制器。
但主要是提供两个版本的一个框架产品,一个是start true的stress stress 11,以及一个start true,就是一个词的二,它本本质上,是相当于一个类。
然后呢他在这个mvc设计模式中,它是作为一个控制器来建立,立模型与视图的一个数据交互,我们简单的来说它这个呢就相当于是一个框架,然后呢我们可以就是对这个框架,就是设计一个网站。
就是我们的一个网部分的一些网站,可以基于这个框架进行一个设计,然后呢他这个structo,他在历史上是爆出过了非常多的一个洞,比如说s2001 s2003 ,s2005 等等,大大大概有十几20个吧。
这个呢cv第一编号呢我没有写上面,然后呢我们最近最近的话是,我看一下,毕竟的话就是我们的一个19年,等一下,最近的话是一个19年产生的一个漏洞,也就是也就是一个s2059 。
它的一个cv编号是cv 120190232,这么牛逼的吗,哪里的呀,那个e d u s i p的吗,好另外一个呢就是一个s2060 ,它的一个是一个cv,120190233。
那么除了我们这边最近的一个漏洞的话,我们就是以前的那些漏洞呢也是会存在的,比如说我们可能是比较嗯,就是比较常见的,就是一个s2045 的一个版本的一个漏洞,以及一个诶我这里没有052的,052057。
我这里都没写上啊,我这里呢就我待会我补充一下吧,所以因为呢他这个这个用的用的比较多,所以它这个漏洞也也发发送的比较多,所以呢我们在日常日常的一个渗透的时候,我们都可以去试一下这些漏洞。
虽然说他可能离得稍微远,就是离得我们稍微远一点,但是呢它也是会存在的,下面呢我们来讲一下它的一个识别方法,以及它的一个漏洞利用,首先呢带着一个框架的一个识别,我们有我们这里呢有两种方法。
第一种呢就是通过它的一个网页后缀,来进行判断,判断的,比如说我们点d o或者是一个点action的一个后缀,那么我们怎么去发现这种呢,就是我们这可能在访问一个网站的时候啊,找一下。
我们在访问网网站的时候,我们可能是有一可能看到那像类似于这种,就是点d o结尾的一个后缀,那么我们就可以说,他这里呢是使用了一个struct to的一个框架,进行一个设计的,就比如说我们这种点d o。
或者还有一种呢就是一个点sn的,可能这里是一个可能呃,这里呢应该也是可以的,就相当于这种我们在访问的时候,就是我们在网浏览网站或者是访问网站的时候,我们在看到这种往后退,那么我们就可以试一下。
就是尝试一下它是否存在这个,stressful的一个漏洞,第二个呢就是我们可以通过判断它的一个,这个是它的一个开发开发模式,就是一个web control这个页面。
这个页面呢是我们的一个struct的官方,为了方便我们的开发人员进行debug,而提供的一个功能,所以呢我们可以嗯由此认识到它,这是一个调试的功能,只有在调试的模式下才能进行使用的,那么怎么去判断呢。
我们这里呢可以看一下,要有,好比如说这里这里呢我们是我们的一个start to单,就是取的一个服务,就是取了一个网站用到我们前面呢,就是可以说是跟可以不用跟这个index index extron。
就是这种转后缀后缀的一个路径,这种就说明它是一个用的是just to的一个框架,第二个呢,就是我们我们的一个web console的一个页面。
就是我们通过访问这个页面,看看它是否存在,如果说它存在的话,那么我们也可以就是确定它是使用了这个,just to的一个框架,同样的我们这个呢这个呢是有条件的,就是需要开启的那个。
dv dv mod这个功能。
就是它开启了一个开发者的一个模式,原来我们就是判断到它使用了一个,structo的一个框架,那么我们就需要对它进行一个漏洞的一个扫描,我这里呢是使用的一个工具,就是直接使用一个工具进行对它进行一个扫描。
这工具呢就是在里面呢也内置了许多的一个,just to的一个版本,就是可以找其他的一个版本的一个漏洞,这个工具的话,我不知道你们那个工具包里有没有啊,要是没有的话,我待会发一下给你们,就是就是这一个。
哦我们运行的话,他可能那个火龙可能会进行一个爆头,这个呢也不一定的,因为我们这种可能一些人就是大意,就是那种配置不大,因为我们很多漏洞都是可能都是由于一些运维,运维或者是一些开发人员。
就是配置不当而导致的,就像我之前看到过,就是有一个是一个正式的一个网站,要要发直接一访问那个网站,然后那个密码都直接记在那里的,并且是一个管理员的密码,所以呢这种的话就得看。
就是别人的一个安全的安全意识,并不是说特别是像那些开发开发的话,安全意识他可能是并没不是,可能是它是一个开发的一个安全意识,它并没有那么强,所以呢有些人就可能是为了图方便对吧,先一些入口令之类的。
他直接为了图方便,直接搞一个入口令一零,你直接随便输入一个账号密码,可能就进去了,而且我们这个呢是只是他的一个,判断的一个方法,啊这个呢就是我们的一个工具,现在我们可以直接将我们的一个ui要输入进去。
现在我们就可以进行一个验证它的一个漏洞,验证之后,在这里呢会,就找找到了我们这个地址存在了这些漏洞,当然了,我们我们呢也可以在我们的一个网上去搜索,这个脚本,比如说这,比如说这这种脚本,是吧嗯对。
啊,我们这里呢就用我们的一个工具进行一个扫描,现在我们这里呢找到了它就是存在的这些漏洞,那么我们就得需要对扫描到的一个漏洞,进行一个利用,因为我们正常的话,就算我们扫描到扫描到的话,那我们肯定还不行。
那我们来得最大性于一个利用才可以,下面呢我们先来看一下这个045,它的一个漏洞介绍,但是由一个安全信息安全,安恒信息安全研究院的一个研究员,发现的一个漏洞大的一个c v1 ,编号是20175638。
并且它的一个音响的版本范围为,2。3。52。3。31,以及2。52。5。10,现在我们来看一下这个漏洞,会不会对我们的一个服务器造成哪些危害呢,它是在在使用基于这个插件的一个。
文件上传功能词,比如说像我们这里。
这里有一个文件上传的一个功能,第二这个呢就是基于它的一个插件,就基于这个插件的一个文件上传,那么如果说他只用了这个插件来进行,做一个文件上传的功能,就会可能存在这个远程命令执行当中。
天呢导致系统被黑客入侵,然后我们恶意的一个用户可以在上传文件时,通过修改它的一个http请求头的,用了一个content type的的一个字段来触发该漏洞,进而执行它的一个系统命令。
一般来说这种漏洞能执行命令的一个漏洞,危害都都是很大的,那么我们去怎么对它进行一个利用呢,首先呢我们利用了我们先进行内部,是执行一个命令,然后第二步呢是我们进行一个反弹效。
就是将它的一个终端的一个bug去反弹给我们,我们先来讲一下这个执行命令,首先呢我们开启我们的一个boss box switch,我们这里呢开启了我们的一个boss,然后再先关一下,然后开启了之后。
我们这里呢随意上传一个文件,待会待会我发发到田里,然后我们随意上传一个文件,上传什么文件都行啊,我们在这里呢先抓包了,比如说我们这里呢点换成一个一点tp p,hp的一个文件,现在我们开启抓包要进行提交。
提交了之后,我们这里呢是抓到了他的一个包了,抓到了,包括我们前面说过,我们是我们今天这个包发到我们的一个中继器,这里,也就是这个repeat,我们可以发送到这里,然后进行一个修改。
我们一般的话我们就是我们将设置,将包发送到这个app,然后进行修改,就可以随意的修改,让他修改我们的一个content type的一个字段,我们找一下我们的这这个字段。
这个呢就是我们的一个content type的一个字段,要怎么修改呢,也是修改为我们这一部分的一个内容,这部分的内容呢,我们可以在我们的一个网上去搜索到,比如说我们这里吧到一个pv一杠二杠045。
我们可以在网上去搜索,然后上面呢应该都会有一些就是拍照的,你看你也可以呢,就是我们这样220直接在搜索引擎里面搜索,嗯我们可以就是通过这些文章去找他的一个,利用的一个方法。
现在我们将我们这个final的,就是这个china的呢就是执行执行一个命令,但因为这里呢就是它的执行的一个命令,的一个内容,就是执行一个bomi,执行一个户外mi的一个命令。
因为我们将我们这些全部都复制到,我们这个存在菜这个字段里面,然后点击渲的点击线了之后,就是点击发送,发送之后我们这里呢给我们回旋了一个root,也就是回旋了,执行这个会卖后面以后的一个结果。
做了一个户外慢呢,我们还可以去执行一些其他的命令,比如说id,i d的一个命令,就是这边呢就是我们linux上面的一些命令,或者是l l s3 l,就查看我们一个目录,但是呢执行命令。
我们在我们可能是我们执行命令的话,我们在那个挖srt的话是可以的,但是我们在做一个渗透,渗透的时候啊,渗透的时候我们单单执行命令呢,我们还不够,我们因为我们正道不单单是只只有这一台机器。
我们还还是要去拿下更多的一个机器,或者是拿下更跟内网的一个机器,可能这台机器呢可能是它的一个外网机器,我们需要通过这个外网机器,去拿下它的一个内网的机器,所以呢我们这里呢可以就可以将垃圾反弹一个。
需要回来,天呐这这里就是这个文件,这个链接里面的一个文件,就是我刚刚执行命令的那个文件,你们使用的话可以就是下载下来也要使用,也可以自己在网上去搜索,现在我们来讲一下它的一个反弹效。
那为什么要反弹一个这样呢,通常就它本来叫,那就是由这一个控制端去监听,一个ttp的一个端口,或者是一个udp,udp的一个端口,然后在被控端发起请求到该端口上面。
并将其命令行的一个输入输出转到控制端上面,那它有一个前提,那就是需要有一个公网的ip,也因为我们我们这里的i p的话,因为我们正常的话,我们是这个这种内网的一个i p。
比如说像这种i think complete,这里面呢是它的一个内网的一个ip,找一下是哪一个,哦比如说这个它是一个1920168网点,八三网段的一个机器,但是呢如果说我们就是将我们。
我们比如说像我们这一台机器,将它的一个终端就是它的一个输入输入,命令行输入输出去,转到我们控制端,就是转到我们这台机器上面,但是在这台机器上面,它一个192。168。83。29,这是这是一个内网机器。
大家怎么可以去访问就访问到呢,所以呢我们就是要有一个公网的ip,啊对我们就是有一个v p s,或者是你们一个内网的,就是可以这样你们的一个ip可以就是转出去,你们这个呢你们后面的一个课程会讲。
就是怎么给转出去,应该会有这个部分的一个内容,就是利用一个ff rp,一个就一个内网穿透,这个呢你们后面的一个课程会讲到,这个f2 p的,不会啊,就是我们这个有一个v p s的话,还是比较方便的。
如果你们是来自学生的话,并且他还有一些学生机,学生机可能是119,要1年,我我这个呢是一个华为云的一个直升机,是199的199的,但是它嗯他是比正常的一个学生踢大一点。
因为我们很多时候我们就需要用到这个功,就是很多时候都是需要用到我们这个v p s,可能我们让我们的一些请求啊,或者就是发送到我们的一个v p s上面,或者是我们可以在上面去跑一些脚本,当然了。
我们在自己本地的也可以,但是我们本地的话,我们一关机或者一断网就没了就停了,啊我们继续讲我们的一个反弹sha,然后它的一个场景,场景就是就是通常用于被控端,也就是我们这个139090198。30。
这个机器上面可以被控端,因防火墙受限以及获得权限不足,端口被占用等情形,为什么呢,因为我们,正常的话,比如说在这里已经这里,他有已经有了一个8081的一个端口对吧,那么如果说我们还需要一个正正向。
正向的一个连接的话,那么我们端口就会进行一个冲突了,比如说将我们通过用我们自己的一个本机,要去连连他的话,那么他两边的端口是不是进行一个冲突了,不一一边是一个http的一个端口。
一边是我们据一个正向校的一个端端口,但是这两者冲突了,所以呢就不能去连接成功,另外一个呢就是它的一个端口受限,也就是它的一个防火墙做了一个限制,比如说在这里呢只只开了一个8081端口。
八只只派了一个8081端口,然后呢,我们如果是用一个正向效进行一个连接的话,在这里呢也是用它,因为它这里81880813号已经被占用了,就是嗯已经使用了,我们也不能去进行一个正向的一个连接。
所以呢我们这里呢就用到一个反向反向的,反向下就是反向连接,那什么是正向连连接呢,比如说我们封闭了一台机器,就是攻击了一台机器对吧,要打开了该机器的一个端口,让我们攻击者在自己的一个机器去连接,目标机器。
或者就是一个目标ip跟一个目标端口,这个呢就是一个比较常规的一个形式,我们就叫做它的,它为正向连连接,比如说我们的一个远程桌面,远程桌面服务,是不是我们是需要输入它的一个i p,跟他的一个端口对吧。
比如说139。9。198。30,298,像像这种呢就是我们主动向他发起一个连接的,就是一个正向的连接,比如说这种诶做远程桌面服务,还有一个就是我们的一个x的h服务,还有一个就是我们的一个x p服务。
好我们连接的话,我们是不是需要就是是是输入到的一个i p1 。
一个端口。
这个呢也叫就叫做一个正向的连接,还有我们的一个web服务,web服务也也是一个正向连接,就是这种我们去主动访问它的,这个呢就叫做一个正向连连接,那么看一个,哦我们我们这里呢,到这里呢,我们先休息一下吧。
我们待会我们再继续接着讲啊,嗯我们我们还是先先讲完这一个吧,我们先讲完这一部分的一个内容,然后我们后面的一个内容就上一节课讲,然后怎么去进行一个反向反弹,反弹向呢,我们这里我们前面呢。
这里呢是不是已经执行了一个命令了,执行可以执行命令了,就是我们这个ios杠幺这里,现在我们就进行一个反弹跳。
首先呢我们在我们的一个公网ip。
P46:第9天:Java反序列化之Fastjson,Shiro漏洞 - 网络安全就业推荐 - BV1Zu411s79i
嗯我们我们还是先先讲完这一个吧,我们先讲完这一部分的一个内容,然后我们后面的一个内容就上一节课讲,然后怎么去进行一个反向反弹,反弹效呢,我们这里我们前面呢,这里呢是不是已经执行了一个命令了。
执行可以执行命令了,就是我们这个ios杠幺这里,现在我们就进行一个反弹跳,首先呢我们在我们的一个公网ip,就是一个公网机器上面去,首先监听一个端口。
比如说我这里呢是我们是一nc适用于nc,一个nc的命令,nc呢我们也在做一个net ca,我们linux上面呢是一个nc命令,如果是我们windows上面的话,大家可能就是一个netcp。
是我们下载下载下来,它是一个net cat,现在我们首先呢我们nc接近一个端口,nc要杠l v e t,然后后面加上我们的一个监听的一个端口,1234,我这里呢是鉴定在一个1234端口上面。
然后呢这里呢是这个杠a杠幺是什么意思呢,就是将我们的一个nc,就是指定nc要处于一个镇定的模式,然后如果说他只用了这个杠l的一个命令,这个杠压的一个参数,则意味着nc被当做一个服务端。
神经病接收它的一个连接,这个nt杠l l v l v e t v呢,就是输出交互或者是一个出错的一个信息,比如说我们他会给我们做出一些交互的信息,你杠p杠p就是指指定我们的一个端口。
我证明呢是一个1234,指定一个nc端口就鉴定了之后,这个呢这里呢是我们的就是我们的一个服务端,就是用来被连接的一个机器,就是被连接的一个端,原来在我们这上面去执行。
我们的一个反弹下的一个命令,啊我这里呢复制一下,现在我们首先输入我的一个u,39090698,后面是一个,一个三四,哦这里呢就是我的一个反弹效的一个命令,我这里先关掉。
然后这里呢呃我把它复制为一个文本吧,那这里呢就是指指指到的一个意思。
就是在我们的一个bs上面,也就是在我们的一个终端终端上上面,类似于这种,我们先类似于这种追着一个b,在上面要去执行后面的一些命令。
要杠a杠i参数呢,就是只是产生一个交互式的一个shell,也就是一个bug,然后后面后面这一部分,这个d v d c b指着一个特殊的一个设备文件,我们在在链接上面呢,当一切都是文件。
但是实际上这个文件呢是不存在的,但它只是用它只是在选实现的,用来实现网络请求的一个接口,然后打开这个文件呢,就相当于发出了一个socket调用,并建立一个socket连接,然后读写这个文件。
就相当于在这个socket连接中传出一个数据,后面呢就是跟上我们的一个i p,以及我们就是我们的一个公网ip,这个139是一个公网的ip,我们的一个公网ip,11234就是我们坚定的一个端口。
也就是我们这里坚定的一个端口。
那么我们点击线的,点击发送之后,那这里呢需要等一下,139,啊怎么我把连接了,等一下我换一下什么原因。
好,这里呢我们这里在这边,我们鉴定的一个就是我们的一个服务端,服务端上面已经接着就是监听到它了,到了一个连接,就是我们这一台机器上面发起的一个连接。
这个139。90198。30,因为我们这两台机器是实际上是不一样的,这里是一个8081端口上面的一个机器。
然后呢我这里呢是我们外面的一个机器。
里面,这个呢是我们的一个docker,就是docker里面的机器。
现在我们这里呢,实际上就接收到了它的一个反弹角,也就是说我们已经拿下了这台服务器,比如说我们执行一些id id的一个命令,或者是who am i外卖的一个命令,我们可以看到我们可以随意的执行他的命令。
好这个呢就是我们利用我们的一个s2045 ,是just to 045做的一个反弹效的一个操作。
然后我们这里呢先休息一会儿,休息五分钟,你们有什么问题的话,也可以在那个提问,哦对我们我们这里这边呢先上课吧,然后我们换一个课堂。
我们零五分开始了,那个要是你有那个公网ip的话,是可以拿的,但是你拿得下并不是我服务器上面的价,是我服务器里面的一个docker的一个叫,就是你你拿到了,你可以随意在上面操作。
但是不会不会影响到我的服务器了,我们第一次我们的一个内容,把它换掉,好我们继续我们的一个内容啊,然后我们第二部分就是讲我们的一个debu,首先呢看一下tvt是否是什么呢,它是一个基于j211 的一个。
开放源代码的一个应用服务器,但是用来管理e e j b的一个容器和服务器,但是它的一个核心服务并不包括,支持这样一个车类dsb的一个web容器,一般一般上它是有一个tocat。
或者或者是一个jk绑定使用的,那这个呢,那这个呢历史上也出现过许多的一个漏洞,首先呢第一个是一个访问控制不严,导致的一个漏洞,比如说它的一个dgm x concel。
它的一个未未授权访问get shell,以及他的一些要不那是一个控制台安全验证,要不劳动,这这些呢都是比较老的,但是呢有一个有一个呢是一个,还有一个就是一个人命关手,它的一个入口令,get shell。
也就是我们一个运维管理人员,或者说是一个开发,就对我们的一个网站就是做了一个入口令,他通过我们可以通过入口令,进入我们的一个网站,要怎么进行一个cc,还有呢就是一个反序列化的。
比如说我们对这个17年的一个debt,debt s6。3的一个反序列化漏洞,它的一个基变量是一个201712149,以及到了一个另外一个20177504,的一个漏洞,那么我们怎么去识别,怎么去识别。
这个就是使用了这个jboss的一些网站,首先呢当然这个c force一般的话,当默认呢是开放在一个8080端口上面,它但是使用的是一个h t t p协议,它的一个默认端口呢是在8080端口上面。
并且带了一个访问的一个页面。
默认的一个页面就是这样子的一个页面。
幺三就是这样子的一个页面,并且我们那个魔法刀应该也能搜到。
我看一下,好比如说这个我看看一下它是是不是嗯。
还有另外还有一个就是相当于是在这种页面,因为我们前面那个是一个六六点几版本的,这个呢是一个七版本的,我们也可以,就是很很明显的看到他的一个就是网站。
但是使用的一个day boss,我们再找一下其他的。
比如还有这种,在这里呢我们也可以看到。
它也是一个jboss的一个网站。
它的一个版本版本不同,它的一个页面可能就有所不同,我们可以看到。
在这个呢,也也是开放在它的一个8080端口上面,八零。
还有还有还有这种也是在8080上面的,我们都可以看到,在这里很明显的一个信息就是使用了一个jb,对这个图标,现在我们来看一下就是如何去发现这个漏洞,我们这里呢也可以用到轮到的,一个批量的一个检测的脚本。
我们这个呢我们也是在贴画上面的,原来我们这里呢使用这个脚本器,对我们的一个网站进行扫描看看,现在我们下载下来之后呢,主要有两个文件,另一个是一个target,还有一个skatebot,点py。
只需要将我们的一个目标,这个目标放到我们这里就可以了,因为我们的一个目标,还有一个端口,就一一行一个一行一个放上去,一样一样的放上去,比如说我们这里这样子,然后我们执行一下。
我们这个脚本呢是使用我们的一个python 3,python 3执行的,你们就是之前有一些同学,你们说就是怎么执行完了之后,现在怎么没有反应,那是因为你们可能那个环境可能是一个python。
python 2的,就是可能你们直接输入一个python,它可能就是那直接是相当于这这样子,你们注意一个python,可能是类似是我这样子的一个输出,可能是你们可能是一些是2。7。4。
或者是3年级的一个版本,因为如果说你们输入的话,有我这里呢,因为我配置的话就是将它的一个命名为一个二,就是python,所以呢我这里呢使用的一个python就是一个python 2。
要不我还有一个三版本的,就是一个python 3,怎么我这里给你们点一下吧,就在这里进行一个修改,比如说我这里呢安装了几个python版本对吧,比如说我这里有一个python 33。7的。
现在我这里我们这里呢可以看到,我这里它的这个命名,python这个命名为是一个python python 3的,所以呢我这里10 零的话,我这里呢执行一个python 3的话。
那就是一个python 3。7的,还有呢我这里呢还有一个就是python,比如说我这里有一个python 3。8的对吧,然后呢我这里它的一个命名是python 38。
所以呢我这里输入一个python 38,然后呢他这个环境呢就是一个python 3。8的,如果说你们输入输出就是输入这python或者是python 2,python 3没有输出的话。
那么一个是你们没有安装,第二个呢就是你们那个命名就是没有命,命名成这样子,好呀,那我这里这里是一个,是用一个python 3的一个脚本simple要回车。
回车之后呢,他这里呢就给我们做一个检测,那第一个呢就是检测到,和这个添加了一个控制台,就是说它可能存在一个漏洞,那第二个呢就是它的一个cv,120157501的一个漏洞,也是可能存在的。
第三个呢就是一个是就是一个admcsol,它的一个漏洞在这里呢也是可能存在的,第四就是一个q1201712149 。
现在我们这个呢是一个b量的,那么如果是一个单个的话呢,那怎么去进行一个判断呢,就是我们访问我们的这个ui,就是这个u i l,就在我们的ip后面加上这这一部分的一个内容。
现在我们这一部分后面加上这个的内容,那如果我们访问之后,如果说它的一个状态码就是500,如果说它的一个状态码显示为500呢,那就说明他是很可能会存在这个漏洞的,然后呢我们来看一下它的漏漏洞的一个代数。
但是由于是一个java环境的话的一个错误类型,存在于z box的一个http smoker的一个组件中,的一个过滤器中,就是我们刚刚的访问的这个ui,invocal,那么这个时候欧洲人也会。
就是导致了一个命令执行,也就是可以去对我们的一个服务器就get shell的,那么我们怎么去get下呢,我这里呢是直接使用一个脚本,就是直接使用一个脚本来进行一个反弹下,哦我们脚本子地址地址呢是在这里。
这个呢就是我们的一个脚本的地址,那它使用的也是比较简单的,看一下,然后直接把我进入到我们我的那个目录片。
我们这里呢先进行nc一个端口,这个监听一个端口,我们这里这里呢是前面监听的一个端口,我们先进行退出,我这里卡了,我说怎么防连不上了,啊这没连上,首先呢我们这里也是nc一个端口,要l e d要1234。
我们这里呢是鉴定1234砖头。
那之后呢我们执行我们的脚本,啊这个脚本执行我们的脚板,那么在我们的陆地上打开它它的一个cmd,然后直接papython,我这里是一个python的,要python要j1 。
之后呢加上我们的一个杠杠house杠就是可以杠house,我看一下是house还是杠杠ho,好杠house啊,然后加上我们的我们的一个ip,对我们的一个u r l让我们回车一下嗯,我我这里少了一个。
那个你们之前就是有一些同学就执行完之后,再没有任何的一个显示,就是因为你们那个环境就是没有,比如说你们有些同学是一个python的python 3的,也要执,执行完之后,这里呢是一个python 3的。
执行完之后它并没有任何的一个显示,就说明你没有那个环境,或者是那个环境变量是没有最好,这里呢是一个python 2,然后c e x再加上我们的一个house,加上我们再加上我们的一个url,然后回车。
这里是三的吗,我看一下,我这里使用,我这里不用三吧,回车之后它就会进行一个检测,这个脚本呢还是比较方便的,但我们可以直接输在这里,输入我们的这个ip跟端口,就可以将他的一个buff给反弹回来。
那我们这里呢作为一个yes yes之后呢,它就会攻击我们这这台服务器,就是13909。198。30这台服务器,那我们等等待它进行攻击,哦然后呢我们在这里呢,那请问询问我们就是让我们输入一个ip。
就是一个远远程地址的ip,也就是我们的一个公网,公网的一个ip,63909。198。30,那这个ip呢就是我们就是接收接收下的一个ip,要端口就是1234,也就是我们这里鉴定了一个1234端口。
好,在这里呢就会将他的一个bs给反弹到了这里。
没有成功嘛,再看一次,星星,1234,在这里报错了,但是连接连接不到我们的一个机器,这里看一下,应该,重新执行一下的话啥意思,这号好,然后我们在这里在这里出现一个错误了。
这个站可能是打崩了吧,我看一下,8080。
我这个赞给打崩了。
要是不行的话,我们在这里呢就先跳过,然后139,我们这里等等待一下。
重新监听一个端口,要,l v t1234 。
啊这里对打打不成功啊。
我们这里先跳过吧。
它里面的服务应该有问题,那么我们这里呢就先跳过啊,我们开始下一节课的一个,就是下一部分的一个内容,这个网网站崩了,下面呢我们来讲一下这个first jason的一个漏洞,因为这个漏洞呢。
最近这2年还是比较火的一个漏洞,所以呢我们我们这里呢给大家讲一下,那么我们这里就因为一个时间关系,我们先讲前面的两部分的内容,然后第三部分的一个漏洞的利用内容呢,我们再再下一节课再讲。
我们先来看一下另一部分fast json的一个介绍,但是post jason是什么呢,但是阿里巴巴公司开源的一款,jon的一个解析器,我们最近的话这个漏洞呢还是比较火的。
就是这个bus jason的一个漏洞,然后呢那最早最早的话好像是在17年,17年出现的一个漏洞,原来我们这里比较比较火的话,就是一个1。2。4g也要1。二点,1。2。24l一点2。47吧,这题。
就是一般的话我们可能都是都是听说的,这两个版本的,就是主要听说这两个版本的,就是一个1。2。24,还有1。2。47,它的一个原因就是fast的json再点击,就是我们的一个jason。
就是会在简历的一个过程中,支持使用的一个out太白实例化某一个具体的类,并且调用该类的一个set get方法来访问属性,通过查找代码中的一个相关的方法,就可以构造出一些恶意的一个利用类,然后1。2。
4g的话就是在下一个fast fast jason,在1。2。24版本后,增加了一个反击列化的白名单,而在1。2。4发以前的一个版本中,这里的并不包括1。2。4发,攻击者车。
就可以利用特殊构造的一个json字符串,绕过白名单的一个检测,成功执行任意的命令,那么我们来看一下第二部分,它的一个bujason的一个识别与漏洞的发现。
我们来先来看一下first season的一个识别,也就是我们如何去找到,使用了这个faster阶层的一个网站,首先呢我们前面也讲了它的一个作用呢,这个bujon的一个作用呢。
就是用用于对json格式的一个数据,进行解析和打包,所以呢出现了这个json格式的地方呢,就有可能使用了这个fast fast jason,比如说我们这里呢是之前的一个例子。
这个呢是一个之前一个真实和网站的一个,一个例子,我们在抓包的时候,我们在抓包的时候,我们可以看到它这里呢有一个content type,是一个json格式的,就是这个,这个地方是一个json格式的。
现在我们看到这个地方的话,我们大可以就是猜测,就是他可能是利用了这个json,就是利用了这个bust json,所以呢我们发现了这个的话,我们就可以对它进行一个尝试的一个检测,检测它是否存在漏洞。
并且我们呢你可以看到它的一个格式,它这个post,这个body就是上面这部分的一个内容的一个格式,也也是以一个json格式的一个形式,我们可以来看一下,我这里呢看看能不能找到一些,好比如说我们。
比如说我们在这种这种呢看到一些json格式,看到一些阶层格式的话,我们可以可以猜测,他可能是使用了这个bust json的一个,那一个那个组件,不过呢我们因为是一个看你会找一下这个,啊类类似于这种。
就是我们类似于这种的一个格式啊,比如我们这里呢可以看在这里呢,这个找一个很这,这这不是我们需要载在这个connect time这里,我们如果是看到它是使用的是一个这样子的,一个格式的。
比如说大家可能他使用了这个af z黑色,然后后面呢是一个json格式,j a j s o n,比如说我们看到他这个connect type,这个字段里面是这样子的一个内容。
那么我们就可以让我们的一个plc,进行一个尝试的,就是嗯去打就用这个plc去打,看看能不能进行一个解析,比如说我们这里呢有一个网网站,我,幺三,比如说这里,这里呢我们是使用了我们的一个bust。
jason的一个网站,我们我们正常的话,我这里呢先构造一个包法。
123,这里怎么,我看一下。
20182可以,不会是华为云对我ip给算了,我先访问,我用手机访问一下,你们你们帮我访问一下,看这地址能不能访问,不是可能是刚扫描,可能是刚扫描的时候那个了,我看看能不能解决一下,访问不到是吧。
那我重新起一个吧,等一下,看这里有能不能找那个,8183,我这里重新起一个吧,823,那本意,啊比如说我们这里我重新改一个,68083,然后抓好包,我们在这里list里,这里呢找我们的一个包。
这才是我们的一个包啊,我们我们先叫我先改为一个post的一个请求,然后呢,我们将我们的这个content type,改为了我们的一个json格式,我们正常的话应该是这样子的,就是我们访问我们这个。
如果使用了这个bujson的一个组件的话,我们这个存在type的一个字段,是这样子的一个类型,appalacation your json,然后看一下后面,然后面复制一下。
然后大家再加上他类似类似于这种这种东西,就是一些json格式的一个内容,就是我们在访在访问网站的时候,就是我们抓包的时候,我们可以如果是看到的这一个是它它的一个content,type的一个字段。
是这样子的话,那么我们就可以利用我们我们的一个p o c,去进行打,就是去打一下它有没有存在这个漏洞,原来我们这里呢就是利用了,利用到了我们的一个dnf log,就是将,就是将它的一个请求。
就是可以说去发送到我们的一个dns log上面,是去请求了这个dns s log,我们直接将我们的一个plc,然后复制复制到这里,原来那一个我们在我们的一个dnf log和上面去。
查看它是否能接收到他的一个请求,好对,这世界整合是因为我那里,我们我是说我们的一个正常我们访问的一个网,是抓到的包,如果是是这样子的话,如果是这样子的话。
那这个contact type的一个一个字段是这样子的话,那么我们就可以去试一下,我我们刚刚,我们刚刚在这里,它的一个数据虽然是一个json的一个格式。
但是它的一个他的那个content type并不是,就将他的一个请求,就是解解析到我们的一个dns lock上面,这个呢是我的一个别人的一个dnf的一个平台,dn我看一下,e d w t。
啊这个呢是我的一个点添加我的一个添加,我的一个数据给删除掉,如果如果这个你看到你啊,这个是别人别人的一个,我看一下是是什么牌子,反正也是一个dnf的一个lock的一个网站,就是可以将我们的一个请求。
发送到这种的一个网站,这是一个哪里的,我忘了,待会待会看一下吧,然后呢,我们可以看到,我们这里呢是现在是没有任何的一个数据的,啊我也不是说不能这么利用,就是得看他是不是使用了那个fast jason。
就是使用了那个的组件,如果说你你也可以就是将我们刚刚刚刚那里的,就是在那里,比如说在这里可能是一个xml对吧,你可以你可以你也可以修改一下,是不是613,这样子行不行。
不过呢我们一般的话都是检测它的一个分,type的一个字段,检测它这个字段是否为这样子的一个格式,让我们在跟我们的一个p c去打,这个呢就是我们检测的一个plc,如果说我们在输入我们的一个p o c之后。
在我们的一个dns的一个平台上面,接收到了这个数据,那么我们就可以尝试进行一个利用,这个这个漏洞呢也是可以get shell的,也就是可以反弹的一个它的一个shell回来,好像我们发送一个。
诶别别要埋了吧,8083,有啊,好像他的一个ip可能是被华为云给办了吧,访问都访问不到了,好不行的话,那么我们就就先到这里吧,我们下节课下节课我们在简单的一个利用方法,就是我们这里呢是它的一个就是发现。
以及它的一个检测的一个方法,就是就是它的一个格式,这是它的一个post,它的一个格式是一个jason的,还有它的一个横get type是一个application,要是一个json的。
如果说它指出它这个层叠看法是出现,那这个地方就出现了这这样子的,所以呢他就有可能是使用了这个,bujon的这个组件,然后呢我们就如果使用了的话,我们就可以将我们的一个b c a可用来打一下。
就是如果在我们的一个dnf平台,接收到了这个数据,我们可以看到这里我们的一个内容,这个test dsr 3,后面这个name,这里呢也是这样子给我们返回的,就接收到了一个数据。
那么我们就可以嗯对它进行一个进一步的利用,也就是一个get cell,现在这里呢因为我们的一个网站也打不开了,我们那个后面的话,我们上一节课,上一节课再给大家讲,怎么这么回忆啊。
啊我们这里来看一下有没有一个请求,现在我们这里呢也可以看到,我们这里是接收到了这个dnf的一个解析请求,啊这个呢就是它的一个检测的方法,然后利用方法的话,我们下一节课再讲啊,我们就这节课呢就先到这里。
嗯能听懂吗,不好可以是吧,那我们等两分钟就开始上课了,我先闭一下麦芽,好了,那我们开始上课了,声音能能听到吧,要是没什么问题的话,我们就开始上课了,这节课呢给大家讲的是。
我们就是应该说都是今年还有去年吧,就是这个比还算是比较热门的一个洞,za它的一个系列的一个洞,首先呢我们有一个课程内容呢分为三个部分,第一部分呢我们点一下sl,就是什么是这个衰老。
这个呢就是它的一个识别,就是我们怎么去发现我们哪一些服务器,或者或者说是哪一些网站使用了这个组件呢,第一个还有一个,第一个呢就是它的一个漏洞的发现,就是怎么去发现它使用了这个组件的网站,是否存在漏洞。
第三部分呢就是它的一个漏洞的人利用,所以我们单单是发现它存在高中利用,就是发现它存在漏洞还不够,我们还得对它进行深一步的利用,下面呢我们来看一下第一部分,jo的一个相关的介绍,首先呢嗯它是一个强大的。
而且应用的一个java java的一个安全框架,它提供了验证授权,加密和绘画管理等的一些功能,但是它的这一个框架呢是比较直观的,而且应用同时呢也能提供一些电动的安全性。
那么这个框架当历史上发生过哪一些漏洞呢,首先首先我们来看一下第一个漏洞,就是zero 550,我们就是一般的话就是加了这个漏洞名呢,就像一个衰老550,我们这个是阿帕奇travel这一个框架。
它提供了记住密码的一个功能,也就这个member me,也就也就是我们平常登录网站的时候,就是有一些网站它有一个就是选项,就是可以提供我们去记住那个那一个密码的,那么那一种麻站呢就可能使用了这个框架。
然后用户用户登录成功后,就会分成经过加密并且编码的一串cookie,也就是我们的一个身份验证的一个,就是一串字符串嘛,然后在服务端,你要对这个remember me的一个cookie的一个值。
先进行一个base 64解码,然后使用一个a a a a s的解密,再进行反击类化,就导致了我们这个版序列化的一个,i c e的漏洞,也就是我们这的一个jo 550,第二个部分呢就是衰老g21 。
那这个漏洞也是这个漏洞呢,是去年19年出现的一个漏洞,那么是由于阿帕奇衰老cookie中,也就是我们前面所说的一个cookie,它通过一个ae x128 c b d的一个模式。
加密的一个remember me的字段存在问题,然后我们用户呢就是或者说一个恶意攻击者,就可以通过这个pending oracle加密,生成了一个攻击代码,来告诉恶意的remember me字段。
并重新请求网站,当然就会导致了我们的一个建议代码的执行,那么我们怎么去发现这个logo,就是这个组件或者说是框架,就是拿一些网站去使用了,一个就是我们前面所说的,就是一个记住密码的一个功能。
我们这里呢做一下演示,我们这里呢是举个例子啊,比如说我们这里有一个网站嘛对吧,1391看一下是哪啊,对就这一个,比如说我们有一个网站,就是我们访问网站的时候对吧,然后呢我们进行一个登录,登录的时候。
就是它有一个登录框对吧,一个登录表单,然后然后上面呢它可能会有一个选项,就是让我们去记住,记住它的一个密码,也就是记住密码的话,那么我们下次登录,可能就下次登录,就不会再使用这个密码进行登录了。
就不会不用再输入这个密码,比如说像这种,它有一个remember me的一个功能,就是这种网站呢,就可能很可能是使用了这个方向,第二个就是它的一个返回包那里,就是我们在抓包。
就是我们登录一个网站进行抓包的时候,然后进行一个存放,就是我们让我们抓到的包,放到我们的一个lip那个模块里面,然后呢我们就是发送一下,如果它的一个返回包就是那个set cookie。
set cookie那里,它显示了这个remember me,等于直let me,这里就是有存在的这个字段,那么就说明了,这个网站使用了这个衰老的一个组件,我们这里呢可以给大家看一下。
比如说我们这里一个网站对吧,然后呢我们进行一个抓包,我们先开启这个代理,先开启代理,然后进行优化包,我这里呢已经,我搬到这边来,啊这个就是我的一个要我们重新访问一下,比如说我们随意随意进行一个登录啊。
我们这个直接进行一个登录,登录之后,它这里他在这个包这里,我们可以将我们将抓到的这个包,在这里将我们的一个历史包,然后发送到我们这个lip模块里面,然后呢,我们then现在就是发动发送这个请求之后。
我们在这里在它的返回包这里,我们可以看到有一个set cookie,这里它有一个字段就是零,member me等于零lime,这里如果说它它显示了这个的话,就说明是使用了这个组件,或者说是一个框架。
就是我们这个地方,这个呢是比较容易识别的,然后我们来看一下第二个,就是我们有有时候我们的一个服务器,并不会主动返回我们这个remember me的这个点,这个字段,就是也就也就是说我们有时候。
我们的一个不就是我们的一个包,这里呢可能没有没有返回这一个字段,那么我们也可以在这种这种地方就进行构造,加上一个remember me,m m m m m8 就是我们自己构造一个。
对我们就随便去构造一个前面波比的一个字段,那么然后呢,它我们可以看到我们这里构造了一个零,member me的一个字段,在这里呢就会就会多返回了一条大的一个set cookie。
就比如说我们原来的话就是我们举个例子,我们举这里就是这两行,可能它原来是没有的,然后呢我们去加上这个lemme,在我们cookie字段里加上这个remember me,然后呢他在返回包这里呢。
也会返回这个remember me to lift me,那么我们来看一下它的一个漏洞检测,就是我们前面点了,点了的,是一个如何发现网站是否使用了那一个框架,或者说是那一个组件。
刚才我们发现了使用了那个组件的之后,我们就需要对它进行一步检测,就是检测它是否存在漏洞,我们这里呢有一些现成的工具,并且是一个图形化的一个工具,那怎么怎么检测呢。
我们这里呢也是配合我们的一个dns s log,也就是一个可以帮助我们测试一些无回旋的,一个漏洞是否存在的一个平台,因为这个漏洞呢并没有,像我们之前讲的那些漏洞那样子有回旋,我们这个漏洞是没有回旋的。
也就是我们抓包的话,他并没有将我们的一个结果去给我们,在我们的返回包这里可以显示,所以呢我们就需要使用这个dns s log的一个平台,来帮助我们进行一个测试,啊这个,不在意这个那个那个工具呢。
也是在我们github上面的一个工具,我们我们ppt里面,有待会我把这个ppt发下去的时候,你们自己带带载下来,然后呢我们访问之后,我们在右边,在右边这里呢可以看到有一个人类,这里我们下载这个炸包。
就是chlopj,这里这个是一个包哦,我首先这个链接替换一下吧,下载了之后它是这样子的一个图形界面,我找一下,哦我这里呢有有几个,然后呢我们下载的下载下来之后是这个shut,1。1版本的一个这个炸包。
看到我们双击进行打开,打开之后它是这样子的一个图形界面,然后呢我们这里可以看到它,这里呢是一个比较简单的,就这前面呢就是一个ui l,也就是我们这个识别到的一个组件,比如说我们这里呢这个网站就是这里。
现在我们复制过去,复制了之后,然后呢,我们这里下面我们可以看到他说就使用哪一些,就是进行检测,我们使用一个dnf log,现在我们在dnf log u i l这里呢,我们可以填填写一个dnf log。
我们这里呢可以看一下dnf,我们这里呢就用这个dnf log。cn第一个网站,这个网站呢,我们平常就是可以用来帮助我们测试一些,无回显的漏洞,看到我们get get the mail。
这里我们去获取到的一个子域名,获取到的一个子域名之后,我们建立一个子域名,这里去复制到我们这个dnf u l l这个部分,现在我们进行一步检测,检测之后,如果说它存在漏洞的话。
那么它就会在这这里面就会产生一些结果哦,那这里呢已经选择完成了,还是比较快的,我们来看一下它是否存在结果,然后我们刷新一下,在这里没有结果,第七,这就尴尬了,我们等一下,默认dx,39090698。
能重新刷新一下,这个没有结果啊,来看一下这里,那我两边x a19 ,我们从我们重新获取一个值域名,看看要重新进行一步检测,周39。96085,308085进行检测,你这之后我们再重新刷新一下。
我们可以看到它这里呢,我们这里可以看到它,这里呢已经给我们返回了一些结果,那么说明他这个网站呢,就很可能是存在这个漏洞的,为什么我并没有说他肯定的,因为我们这个工具的话就是检测。
那么也也有可能就是检测不出来,就是或者说是一个误报,因为工具嘛肯定有有部分的一个误报的存在,所以呢在这里呢是有可能是存在这个漏洞的,然后我们就既然我们发现它是存在这个漏洞了,那么我们就可以进行。
对它进行一个进一步的利用,其实我们除了这个方法,就是除了这个这个图形化的一个工具的话,我们也有一些是一个脚本,就是通过一些脚本来进行检测的,脚本的话,我们这里呢也是在吉他上面的一个脚本。
我们可以我们这里的链接呢也复制在那里了,待会发下去,你们也可以下载,再来看一下,然后在这个脚本呢是用一个python 3,就是用python 3来进行运行的,它使用呢也是比较简单的。
就是我们执行我们的一个脚本之后,然后后面跟上我们的一个一个ui,后面跟上我们的一个url之后,在后面呢就跟上我们的一个命令,比如说一些ping命令啊,或者是其他的一些命令。
那么我们使用也可以使用这个脚本来进行检测,这里呢先将那些零关掉,这个这个脚本,然后是tmd,然后python 3的一个环境,这是在用python来写的python 3。
然后我们的一个脚本名字zero zero i s e,然后后面呢就跟上我们的一个网址,就是我们的这个这个网址,8050这个,在在后面呢就跟上我们的一个命令,比如说我们执行一个pin的命令,并命令。
也就是这里呢也是借助我们我们的一个dns s log,听命令,然后呢我们这里像我们的一个dl,我们先将这个重新获取一下,我们重新刷新一下吧,这点是好,我们重新获取它的一个子域名,哦那那刚刚不是被拦截了。
就是他可能有一点有延迟吧,刚刚获取到我们的一个子域名之后,我们在我们执行命令,这里就是听一下我们的这个值域名,如果说如果说它存在的话,那么它这里呢也是可以,就是收取到它的一个结果。
在这里呢又要跑一跑几秒钟吧,然后除了这个dnf log点击,我们网上还有一些就是dnf的一个平台平台,或者是一个c e y一点i o,这个网站呢就比较卡,这个网站是一个比较比较卡的。
然后我们也可以用这个网站,来帮我们进行一个测试,那么在我们的一个域名,就是这一个我们常用的就是这一个域名,就是帮助我们检测的一个域名,这个呢是一个自己的一个专属的,现在我们也可以将我们的这个域名给复制。
然后让他去配这个域名,我们先来看一下前面这个有没有结果,这里呢我们也可以看到,就是我们这个dns s log。cn呢,我们也可以看到它,这里呢也也收取到短暂的一个请求,dns的一个请求。
这个呢就是它的一个脚本,就是使用脚本进行验证,啊我们就继续下一步了,我们,哦然后呢我们前面就是我们讲到它的一个漏洞,漏洞发现以及它的一个漏洞验证,那么下一步呢,我们就需要对它进行一步一个漏洞利用。
高中利用呢,这个呢是也并不是很复杂吧,它这个漏洞呢也是可以就是获取一个下的,也就是通过一个反弹下的一个一个方法,然后我们可以获取到它的一个c,那这一部分是我们的一个员工的一个方法,就是一个手工的方法。
那么我们有没有更简便的一个方法呢,是有的,我们也可以就是去找一个下载一个工具,我这里呢我待会给大家发出来啊,我这里呢也有一个是一个比较简单的,他的也是一个sha。
就是用来帮助我们检测这个框架是否存在漏洞,及利用的一个一个就是工具吧,原来双击双击打开之后,我们可以在我们在给卡上面呢,也可以报一下,我找一下,有一个这种名字啊,黑红,sc in cd浪漫。
找一下是哪一个,应该不是等于,我待会我我给你们发下去吧,找不到是哪一个了,应用题不是这一个好,待会我给你们发一下贴吧,那我们这这个这个工具呢,它可以帮助我们验证两两个漏洞,一个是sl 721的。
一个是sl 550的,这里呢我们是验证它的一个,pl 550的一个漏洞,看到我们这里呢是使用比较简单的,将我们的一个地址,ui ui l复制到我们这个目标地址之后,然后点击下一步。
下一步呢它就会帮助我们进行一个测试,呃也不是也不是回血,结果就是我们那一个漏洞并没有回旋的,并没有一个亏损的劳动,所以呢我们可以执行一个pin的命令。
需要让大家去听我们的这个dnf dns log的一个平台,如果说我们这一个dns log的一个平台,如果就是收到了这个dns的一个请求,那么就说明那个网站就是很可能存在,那一个漏洞的,我们来。
让我们来看一下我们执行的一个结果,就是哪一个来着,然后呢我们点击下一步之后,他就是让我们就是选择使用哪一些,进行一个验证,我这里呢就是用一个c1 y,一点i l注入一个验证,我这里呢配置了一个c y。
我们这里有一个配置的文件,就是这个宽比这里cony这里这个文件,然后上面这个comb properties,这个文件就是第一个文件,那里面呢有,就是记记录了我们的一个dnf log平台的一个token。
我这里给大家看一下,14在哪,这里面这个这第二行这个c e y e mail,这个呢就是我们的一个域名,就是我们这个地址,这个c y这个平台的这个域名,这一串另外一点i o前面这个呃。
然后我们将我们的这一个专属自己的一个,子域名复制到我们的这里,那么后面这个token token呢,就是我们上面这个这个a b i a api token,这个部分就像我们这一部分的一个内容。
将他这个凭证复制到,就是替换成我们这个jy token,这里之后呢,我们我们选择这个使用diy一点i o,进行一个漏洞验证,那么它就会像上一个工具那样子,就是对我们的这个域名进行一个访问。
我们可以看到在这里呢,现在是没有任何的一个记录的,看到我们使用之后,点击下一步,下一步之后呢,它就会进行一个尝试,它的一个验证,然后我们现在这里呢,它它是在执行它的一个拍照的,我们这里呢需要等一下。
那我们刷新刷新一下,这个呢也是稍微慢一点的,并没有像我们之前那样,我们可以看到这里呢也也收到了一条请求,了,一个dnf的一个请求,就收到他的一条记录,那么这也说明我们这个网站,就是这个139。9。
198。30,这个8085,这个网站呢也是很可能会存在这个漏洞的,然后我们等他考完,直到跑完呢,我们呢还有一个后面的一个利用方法,就是我们这里也有一些大的一个记录,我们这里等到好吧。
这个呢因为他要跑跑完的,所以呢时间的话需要等一两分钟吧,哦这里啊这里还没有,如果说他跑完的话,那在这里呢就会并不会显示灰色的了,怎么显示这个字体出来之后就说明他保不了好,这里呢它它已经跑完了。
他这里呢有一个有一个简便操作,有一个简便的操作,我们点上打勾打勾的,那在这里呢有一个获取web调,也有一些其他的一个选项,就是就是一个反弹shell,一个是linux平台的。
还有一个是windows平台的,我们怎么去反弹呢,首先呢我们点选择我们这个哦,待会我给大家说一下,或者是我们就是周末周末找个时间说一下也行,因为那个利用的话是比较比较长的,比较多的一个内容的。
就是在这周末或者是我看一下啊,对就周末吧,现在我们可以看到它这里有一个,反弹笑的一个选项,刚才我们这里呢,就是我们可以看到它给出的一个方法,就是一个ip加上一个端口。
ip就是我们要接收他的一个shell,的一个i p端口呢就是我们监听的一个端口,比如说我这里有一个我这里。
那就使用我的一个服务器吧,我我用另一台吧,等一下,啊我就找到这一台120。27。6,1。239的这台机器,看到我们鉴定一个端口,nc也要杠l p诶,这里怎么掉了,没关系,加l l e p。
然后后面呢加上我们的一个端口,比如说你随意什么都好造型啊,1234,这里呢这个反弹器呢,也是需要我们有一个公网的一个ip的,如果说待会就是待会的话,我可以就是把我的一个服务器给你们,给你们做一下。
就是如果是没有那个服务器的一个同学,那我们建立一个端口,我这里呢就建立一个1234的端口,鉴定完之后,我们在这里输入我们的一个i p,加上它的一个监听的端口,120。276,1。239。
然后加上我们的一个端口,端口是1234,那么我们点击一下执行,点击完之后,我们在坚定的光草这里,我们可以看到它,这里呢已经接收到它的一个反弹效了,所以呢我们这里呢就是对它的一个利用。
那这台呢就是我们家的一个搭建了这个嗯,买买什么呀,对公哦,那个那个,如果是那个有我们那个阿里云,或者是华为云的话,有那个学生机的,就是学生机,你你只要不满24岁的话都可以用,就是99块99块1年吧。
有些是119,就是你只要每每满24岁都可以的,不是学生也行,现在我们可以看到,在这里已经反弹回了一个价了,我们呢就可以对我们的一个服务器,进行一个操作了,任意的一个操作。
啊这里呢就是它的一个就是一个大的,一个简简便的一个利用吧,那么我们还有,我们还有一个就是稍微复杂一点的一个利用,我们这里呢也给大家讲一下,首先呢我们从这个第一页ppt来讲。
首先呢我们也是去nc去去去监听一个端口,那么我们将我们的一个反弹shell的一个语句,这个反弹shell的语句呢,我们前面的课呢也给大家简单的讲过,那么我们将我们这个反弹需要的语句,进行一个编码。
那为什么要编码呢,因为我们的一个这个管道服,一个管道图或者是一个输出输入的一个重定向,只有在一个半水的一个环境下才能使用。
也就是说只能在我们这个比如说我们这些终端,就是在我们这这里面才能进行一个使用,那边管道管道服,或者是一个输入输出的一个重定向,只能在这种环境下使用。
但是呢我们在这里呢就使用的是一个java,java为我们提供的一个命令执行的一个环境,但是这个提供的这个环境呢,并不支持这个管道符,还有它的一个输入输出的一个重定向等等。
因此呢我们这里呢就需要进行一个base,64的一个编码,我们我们呢有一个在线的一个编码的地址。
我们将我们的一个反弹shell的一个语句。
在我们的一个编码地址这里,然后呢我找一下这个,那么这里呢,就输入我们的这个反弹下的一个语句,你等一下bt要bt要杠i,再加上一个dv,别看p c p后面呢就跟上我们的一个ip。
就是我们接收到的一个shell的一个i p,比如说我们这里呢是一个幺,我们那个台服务器是多少来着,120276123920。27。6,1。239,要加上它的一个端口,这里使用一个2234吧。
然后我们我们后面的还有一个内容,后面是一个零,嗯这个呢就是我们常规的一个,反弹下的一个语句,一个命令吧,现在我们将我们的这个batch,就是将它编码后的这一个内容去复制。
复制到我们的这个java程序里面,那么我们就使用我们的一个y s y s offer,这个工具,这个y y s2 的这个工具呢,它是结合了各种的一个java反序列化的一个po。
我们呢就使用这个工具进行执行,那么这个呢我们在网上吸收也可以,待会也可以给大家发下去,就是我们这个但但是这样子的一个工具,那么它里面是集成了许多的一个,反序列化的一个po。
就是java反序列化的一个plot。
那么我们在我们的一个机器上找一下,我们这里呢先将这个刚刚接收到的一个反弹,就给退出来,让它进入到我们的一个工具那里,c好,啊这个这个不在这台机器,在我的一个服务器上面,就用我的一个服务器来吧。
那也不是这一个换一个,好在最后在这个里面,在这里呢有一个y y s o这个点子的一个包,那么我们执行我们的一个命令,那一个是一个语法呢。
是这样子的,就是我们这一个这个这个漏洞,那么后前面呢就是带了一个java上copy,然后后面呢就是我们的一个工具,工具的的一个名称,那么我们这里后面后面就是我们起一个服务。
或者说就是起一个1099端口的一个c mp,带着一个监听模块,这个这个这个呢是它的一个鉴定模块,后面这个1099呢是它的一个端口,然后在后面这个这个这这一部分,就是它的一个拍照。
就是可以理解为它的一个拍照,第二这部分呢就是它的右执行的一个命令,也就是我们将我们前面进行一个编码,编码的一个命令,编码号的一个反弹下的一个命令给复制过去。
等一下就这一个是这样子的一个。
然后呢,我们复制到我们那个y y s o,y s o那个工具上面,要点击回车,回车之后它会起起一个1099的一个端口,写一个1099的端口之后,我们这里连接一下。
现在我们就属于就去生成它的一个cookie,也就是我们那个limme的一个字段的一个字符串,现在我们这里呢有一个sho cocookie的一个py,让我们看一下它的一个内容,那这个内容呢是比较简单的。
也跟我们前面的是差不多的,好我们看完这个脚本的一个内容,那么我们就去执行一下,我们在这里使用的是一个可以使用一个python 2的,一个,拍照的一个python环境,然后衰老上cookie。
然后后面呢这后面呢就是我们的这一个地址,这个13909。198。30,这里呢就是这个13909。198。30,是我们起的这个服务的一个地址啊。
并不是我们,并不是我们这一个跟我们这个是不一样的。
这两者是有一个区别的,如果说你你起的这个服务是在其他的一个地址,那么我们这个呢也后面这一个呢,也是跟我们其他的一个地址啊,这里要要注意139。9。198。30,然后呢。
我们这里呢是去连接这个1390090,198。30,然后后面的它的一个1099的一个端口,再加上它的一个1099,1099之后呢,它就会生成它的一个cookie。
就生成这个dimm的一个字段的一个cookie,这货比的一个内容呢。
实际上就是我们要执行的这个,实际上可以理解为就是这一部分的一个内容,就是反弹效的一个命令。
看到像我们这个cookie的一个字段可以全部复制。
复制之后呢,我们在我们的这个这里,就是在我们抓到的这个包这里啊,就是我们前面前面这个包,这里就是我们登录的时候勾选这个remember me,这里刷到的这个包里,那我们将它进行一个替换。
习惯了之后,因为它是一个反弹效的一个命令,所以呢我们这里呢需要去鉴定一下的一个端口,n c杠l e p。
然后我们是一个多多少来着,是一个234的一个端口。
我是我们是在这台机器上面的一个n c,要杠l v e2234 要让我们回车之后。
它就会在本地去监听他的一个234的端口,确定了之后,我们在这里呢,就将我们的这这一部分的一个copy的一个字段。
给复制过来之后,我们发送一下。
发送一下呢,这里呢我看一下行不行啊。
remember me,零这里已经进行连接,我看一下1099837,我在我在这里再重新试一下,首先呢我们将我们的一个端口。
能重新试一下,我这里呢返回反弹到我们我我的机器上面吧,传到我们的139。9。198。30,然后在我的机器上面是一个1234,我们得得仔细去检查它是有没有错误,就是我们在利用不成功的时候。
right on i,然后d e b d c p139090198。30,我这里呢是没有问题的。
要将其布置,然后我们重新去执行一下,沙拉后腿,好我们重新执行一下,看一下,现在我们再重新去生成它的一个cookie。
看成了cookie之后,我们将它全部进行一个复制。
remember me这个字段,然后呢,我们去监听它的一个端口。
n c上l v t2234 。
先听到的一个抓好178次以上伤害诶,这里还没有还是没有啊,ml,是提了坏了,我检查一下,如果不行的话,那我们就先跳过。
我们将我们的这个字段去复制到我前面,前面成功的那一个,我看一下,我我我我不知道我前面的一个网址。
我看一下,这个还是没有234,好那这里呢我们就先跳过啊,我们我们就先休息,先休息一下,待会我们下节课再继续点啊。
好那个这个脚本的话是,这是用来就是去验证验证漏洞的,但这个命令呢应该是不行的,我我我我把那个工具给发发下去吧,不行的话,我刚刚出问题的话,应该是我哪里命令出错了,我检查一下,那个不过要卖的话应该可以。
但是那个的话很难笑的。
P47:第11天: redis未授权访问漏洞介绍 - 网络安全就业推荐 - BV1Zu411s79i
首先还是欢迎大家晚上准时来听课,今天我们开始新的内容,叫做未授权访问,在未授权访问,不论是实际的应用中,还是各种组件也都经常存在,那这个漏洞是什么意思,给大家先讲一下,未授权访问很简单。
比如说一个网站的后台,它本来是要你输入用户名和密码,才能够访问,但是你现在不需要任何凭据信息,就能够直接的访问后台,或者是能够绕过这个凭据的验证,去直接访问后台,那这种漏洞我们都称之为未授权访问。
那未授权访问造成的原因有几种,第一种就是它这个开发人员,水平不高 没写好,那在业务,一个公司的业务非常多的话,就经常出现这样那样的漏洞,而他可能是采用的前端认证,也就是说这个验证的模式。
它是写在JavaScript里面的,那我们就可以采取一些绕过方式,那第二种出现未授权访问的情况,就是这个韵尾它配置的时候,没有配置好,也就是我们今天要讲的第一个,Redis未授权访问,这个是非常常见。
并且经常和其他的漏洞一起,打出组合拳,获得目标的命令执行权限,OK 那今天我们就来介绍一下,有同学说我不知道这是什么东西,没关系 我们一步一步的来,保证你能够理解,那我们直接跳到课程的正式内容。
那今天我们首先就是讲解这个Redis的未授权,然后是讲那个Docker,这两个东西是一个典型的,首先这个未授权访问的这个介绍,我刚刚已经做了一个简介,那这边有官方解释,就是我们可以理解为。
需要权限认证的地址或页面配置不当,导致其他用户无需认证授权,就能直接访问,从而引发重要的权限,就是这样一个权限绕过,那一般呢在学校中,尤其是学校中经常会出现这个漏洞,就像以前我去看那个EDU的时候。
有部分的学校,它的那个登录平台,会让你选择相应的角色,就是你是登录管理员还是登录学生,那我们就可以通过BP抓包,把我们的角色进行更改,比如说管理员,他的一个角色编号为0,而普通学生为1,教师为2。
那我们通过抓包,把我们本身应该是1的,这个就是学生,他的编号为1,我们手动改成0,然后把这个包呢放出去,你会发现你登录了管理员的界面,这些漏洞还是非常常见的,但是现在安全是越来越重视,这些能不能发现。
还是取决于大家的信息收集,这里呢我们就来看常见的这些未受权访问,非常多呀,有Redis、Docker、MongoDB等等,JBoss、VSA等等,这些东西都是啥呢,这些东西有很多,第一种叫做服务。
服务很好理解吧,像MySQL、像Apache,像RDP、远程连接,这些都是服务,第二种呢是框架、组件,什么是框架呢,就比如说像ThinkPAP,像Java的Spring、Struct2。
这些都是属于开发框架,那另外一种呢叫做CMS,CMS叫做内容分发管理器,什么是CMS,这里大家不要记啊,如果你听不懂的话,我们后面遇到了还会再讲,CMS是什么东西,首先大家要想,你去创建这些网站的人。
不一定都会代码是吧,现在不需要你懂任何的代码,你都可以搭建自己的博客网站,使用一款叫WorldPress,这样一个CMS去搭建,我们只需要去在鼠标点击,我们想需要的主题,以及呢发布我们的博客。
就可以自定义一个非常美观的网站,这些我们统称为CMS,就叫做建站系统,而这些呢都可能存在未授权的访问,那今天呢我们就举前两个典型的例子,来给大家了解,因为这些组件实在太多了,你去在那列。
你列一天也列不完,那我们就讲这个典型的,也是最常遇到的,首先呢我们来讲这个Redis,在讲这个之前,我们要了解Redis它是什么东西,Redis它是一款数据库,这个数据库跟平常我们使用的,像MySQL。
像SQL Server,像Oracle,有很明显的区别,首先呢Redis它是一个基于内存的,一个数据库,有同学说这个基于内存干啥,如果你学过开发,学过加发开发,应该都使用过Redis这样一个数据库。
如果你说老师我没用过,没关系,这里我们不要费用,你就知道它的默认端口是6379就行,这是它的默认端口,那其他的一些服务呢,比如说像MongoDB,MongoDB也是一款关系性数据库。
它的一个默认端口是27017,而其他的呢,比如说像Docker,它是2375,MySQL是3306,我们下面呢就先来看Redis,OK,首先呢你怎么从一个这样一个,比如说你拿到一个目标。
你怎么判断它有没有Redis的一个开启呢,我同样的去扫描它的端口,就是用nmap去扫它端口。
扫这个6379呢,有没有打开,如果打开就代表啊,它是开启Redis服务的,然后我们就可以进行一系列的攻击扫描操作,我们现在先用实验机给大家展示一下,这里呢,有同学在客户的时候给我反映。
我们的实验机不会用是吧,我来给大家通过这个演示操作,给大家讲一下这样一个实验机应该如何去使用,首先呢,这个和天网实验的实验机,它是不能够连接互联网的,大家一定要清楚,就你在里面打不开百度。
也连不到外面的这个网络,是因为呢,如果让你连了网,那大家呢,就会使用这里面的一些工具,对其他的网站发起攻击,到时候这个公安部门找上门来,那用的是谁的IP啊,那肯定是我们网安实验室的IP是吧。
到时候解释不清,这个也不允许这样去搞,OK,那所以说这里面都是做了内网隔离的,你是不可能访问互联网的,那第二点呢,就是大家在做实验的时候,一定要仔细的阅读这个指导书,这指导书呢,嗯。
我们可以按这个小扳手,它这个小扳手点击指导书啊,它就能跳出来了,在这边,然后在这个环境中所需要使用的脚本,都会放在这个链接中,这个链接你是不能在外面打开的,懂吧,就是你自己的浏览器打不开。
你只能在公积机中去访问这个链接,如果你需要这里面的脚本的话,你可以自行到Github上面搜索,或者是问我要具体的关键的脚本,我也会发给大家,也会发给大家,首先呢,我们来看,这这机器呢,是分为两台机器。
一台是公积机,就是Kali,它的地址是10。1。1。100,是这个地址,另外一台机器是我们的靶机,上面安装了Redis服务,有漏洞,它的地址是10。1。1。200,我们可以在这边呢。
也能看到它一个Attack,一个Target,OK,那么首先呢,要确定目标机上面有没有开启6379,这个端口还是老规矩,用我们的这个神器NVAP去扫描,NVAP相关的参数。
大家一定要记住一套你所使用的标准,而不需要进行全部的记忆,因为它无非呢,就是这样几个,首先我再给大家回顾一下,首先-S-T,这个意思呢,代表扫描的技术,就是Scan技术,扫描技术,叫做Scan TCP。
就是以TCP的方式进行扫描,然后面呢,跟上T4,这个T4呢,代表Time,时序的意思,从1到5,越大代表越快,越小代表扫描的越慢,我们通常使用的是4,叫做Fast Scan,快速扫描,这两个参数。
我相信大家都能记住,我就不再重复了,然后是-P,-P呢是指定你想扫描的端口,如果你不加这个参数,NVAP会自动扫描常见端口,如果你加了就可以指定,比如说扫描,6 3 7 9,中间不要加上空格。
直接写就行,然后面呢,可以直接跟上我们目标的地址,10。1。1。200,我们回车,它就可以正常扫描Open,但是我们平常,并不会去指定单一端口去扫描,而是指定一个端口组,比如说我想扫描1到1万端口。
直接去写1至1万,这样就扫描了,如果你说,我想扫描全部的端口,有几种方法,大家应该猜都能猜到,就是1到65535,这是一种,那第二种呢是更简单的方法,就是将这个1到6535换成个杠,这样也是可以的。
给大家讲NVAP的技术使用方法,相信大家听到这里,应该不会再忘了吧,如果你忘了的话,就敲个两遍,不要求你敲三遍,两遍自然而然就记住,你关键是要知道,这每一个参数,它代表什么意思,去理解性记忆。
就像我们去学习英语一样,你不可能去死记的硬背是吧,要根据它的一个语义,去了解,那我们从中可以看到,它开启了80以及6379端口,那每一个端口呢,又对应的有服务,比如说22端口有SSH远程连接服务。
80端口我们的网站,超文本传输协议,http,5902呢开启的是VNC,VNC呢也是一个远程桌面的协议,一般是用在这一个Linux操作系统上面,可以搭建VNC服务。
当然我们的Windows也是完全可以的,然后这些服务呢,并不是我们今天要讲的内容,我们今天要搞的是这个Redis。
Redis,OK我首先再回到PPT中给大家讲解一下。
我们通过扫描之后,下面给大家先了解一下Redis,那Redis呢,它所在开发中做的操作,正在面试的时候,经常有面试官去问你Redis是干啥的,就像大家去学一些东西,像ThinkPAP的漏洞。
你学到最后都不知道TP,它是做什么的,它有什么用,那这样的一个学习呢,其实就是我们俗称的嚼稳小子,你几乎就是对概念,对整个的安全体系框架不是太了解,首先我们的Redis啊,它并不像这样一个MySQL。
存储这种像硬盘中存储数据,比如说呢,MySQL经常,这个同学说得非常对啊,你百度百科就能搜到,并且Redis在菜鸟教程也有非常详细的过程,如果你懂开发应该都知道,而这个Redis呢。
它并不是存储什么账户密码,它首先呢就是开发的时候,相当于是一个内存缓存一样,比如说我们去搜索,搜索的时候像微博的这个热搜,这个热搜呢,它其实就是存储在Redis中的,它通常呢是用于这个基础缓存。
计数器实时的系统等等,就是这些,这是它最常使用的一个功能,并不是永久性的这个存储,我们都知道内存啊,它是一个通电存储,就是断电之后就没了,就没了,所以说它并不是一个持久性的数据库,OK。
那我们下面呢来看一下Redis的一个连接,首先Redis,我这里先给大家讲清楚,保证大家能够理解通,首先Redis,上一款服务在很多的机器上面都有,但是Redis默认的监听端口是属于这样一个,127。
0。0。16379是属于这样一个状态,这个状态是什么,就是它监听在本地端口上面,监听在本机上面,我现在请问Redis监听在这个上面之后,一个黑客从互联网能连接他吗,大家可以告诉我。
现在你看到了这样一个监听,一个黑客能连接吗,你想一想,连接不了,为什么连接不了,因为它这个是本地地址,就是Redis他所在机器的地址,你连不了,懂吧,你一访问就是你自己,你怎么能连别人呢,是吧。
连不了的,但是Redis的配置,特别是网上的那些教程,大家在搭建Redis的时候,经常不是靠一个服务器,而是很多个服务器,很多个Redis形成一个主同关系,那这时候就会有人,有开发人员会百度搜索。
这Redis怎么开启远程连接,他会在百度搜索这个东西,这个时候百度的像CSDN,这些博客就有很多很坑的人,他会去写,你去配置Redis,允许远程机器访问,那这个时候呢,我们这些懵懂的这些开发人员。
他根据CSDN的配置,把这个Redis呢,开放在了这个地方,我先给大家讲原理,他开放了在四个0上面的6379,首先四个0代表所有的IPv4地址,他就代表我们是监听在了,整个的一个机器上面,所有的接口中。
那通向互联网的接口呢,同样也开启了6379的一个监听,那现在一个外面的这样一个黑客,他去访问能不能访问到呢,就能访问到了,OK,这就是一个缺陷存在,本身他是不允许外网去连接的。
但是现在这个Redis经过了这样一配置之后,他就允许远程连接,并且Redis有个很坑的地方,Redis默认是没密码的,Redis默认是没有密码的,就导致了很多人去装Redis。
特别是去做那个Python的时候,他就使用无密码,就觉得你又连不上来是吧,我设密码干什么呢,是吧,你又连不上来,所以就会导致这些缺陷的存在,那我们下面就来看,如果他开启了远程连接,我们应该怎么去连。
首先就是要用Redis的客户端,叫做Redis-cli,cli是client客户端的前三个字母。
客户端前三个字母,那我回到实验机给大家演示,首先呢,这样一个cli中,他默认是没有Redis客户端的,我们需要安装,怎么安装,复制他,复制他之后啊,点这个剪切板,然后给他粘进去,保存,粘到这里面。
我们使用简单的命令,比如说像wget这样一个下载命令,把它下载下来,下载下来之后啊,为了方便,我把它移到桌面好吧,把它移到桌面,稍等一下,把它移到桌面,好移到桌面之后啊,现在怎么去解压他呢。
解压他也是非常简单啊,解压他也是非常简单的,解压他呢,我们只需要输入unzip,un的话就是相当于是反着操作嘛,zip就是我们常用的压缩包,我这样呢,把它开保健补全把它解压出来就行,解压出来之后啊。
我们就能看到还是有四个压缩包,就分别是zip,还有一个Tar包,那我下面呢,这一个redis的客户端就在这个Tar包中,然后我们现在把它给解压出来,就是Tar-xzvf,这些是Linux的基础命令。
如果大家不清楚的话,你可以在菜鸟教程中去自己学习Linux,或者是你完全不用担心,还是那句话,大家不用刻意的去学习,敲两遍,你的手自然就记住了,然后我们回车,我们解压出来,解压出来之后。
我们cd到这个redis这个里面,然后mac,mac呢,就是调用它的一个编译,因为这里的redis是语言码,就是都是c语言代码,我们需要把它编译成可执行程序,你直接输mac就行。
那这些操作其实在指导书上面都有写,都有写,我只是给大家重复操作一下,OK,它编译呢是需要一定的时间,我们现在来继续给大家讲,首先redis它的一个,一个结构呢,是我们最常见的建制队,就是一个建什么是建。
就是相当于一个key value,我写给大家吧,就是这个东西,建制队大家可能有的同学基础薄弱,薄弱的话,他就是理解不了,我就给你写,就比如说什么意思呢,比如说一个name,张三,edge,18。
这些就是建制队的一个形式,这建就是name,值就是张三,建是edge,0年龄值是18,这就是建制队,那redis呢,它是就采用了这种方法,我们仔细看一下,比如说我们为一个建复制的话,就是set。
set就是设置的意思,设置的意思,比如说set testkey,testkey呢就是一个建,它的值为hello world,然后我们获取建的一个名称,获取建的值呢,就是get,get就是获取拿到的意思。
就获取testkey,它里面保存的值,那我们都知道这个结果应该是什么,hello world,ok,这个没有任何疑问,同样,比如说也有其他的一些命令,像inc2,这是自增,自增就是把这样一个建。
score里面的99,自增1就是加1变成100,然后去获取它里面的内容,大家如果这里,觉得听着有点懵也没有关系,你就了解它这个建置队,就像你设置名称设置年龄一样,ok,这是redis其他的常用命令。
比如说呢,我们可以去更改它的配置,更改配置的时候,我们redis的配置,我们也是用建置队的一个形式表示,我们只需要在平常的这样一个语句前面,加上config,config就是设置的意思。
加上config就可以对redis的一些配置项,设置我们自己想要的一个值,就这样非常简单,然后它有一个非常重要的命令,叫做flushout,叫刷新所有数据,如果你发现在互联网中,有redis未授权的话。
那你大可以去输入flushout,去删除它所有的数据库数据,这一点呢,一定要慎用,尤其是大家在互网中发现了redis,这样一个未授权,你千万不要去flushout,你把别人数据都给删了。
有同学说内存啊没事啊,那你可不能删啊,也是保存着重要数据的,好,想删除单个键的话,就是del,delete的前三个字母,加上你想删除的键名,就行,这就是redis的技术使用。
那在这边呢,嗯,在指导书上也有相关的一个概述啊,大家可以简单看一下。
然后这个redis的未授权怎么去找呢,其实大家可以在一些网络空间安全搜索引擎,就比如说fofa。
比如说fofa上面呢,你直接就可以搜到redis,就可以搜到redis,好,我们看一下,App的redis,玉玺文档没更新吗,更新了呀,我昨天就更新了呀,没更新吗,不会吧,应该更新了吧。
我记得我昨天专门更新了,你看一下有没有更新,难道我写错地方了吗,好,这是redis的一个场景。
那在这里面我们就能够看到这些相应的redis,这些等等啊,你或者是你选择6379,通过端口去搜索6379,也是能够看到的,这些都是开启了6379。
他很多里面就是有这个未授权访问的,大家可以自行尝试,但是不要搞破坏,我们下面呢,就来看这个未授权访问,他可以有哪些危害,首先呢,肯定就是数据库泄露,你还有什么危害呢,就是导致敏感信息的泄露,第二个呢。
就是我们刚刚所讲的Flushout,可以清空数据库中所有的数据,对操作系统,对目标的这个正常运行产生一定的危害,第三点呢,就是我们可以像通过redis,像SPA中写文件,那写什么文件呢。
就是我们的木马后门,或者是定时任务,我们后面呢,会讲一再去讲,然后呢,就是给root可以写这个公钥文件,进行绵密的登录SSH服务,并且呢,redis有一个非常特性,有个特性,也不是说他的特性吧。
像mysock也有就是主同复制,那主同复制呢,可以导致这个redis,加载恶意的动态连接文件,达到代码执行的目的,公告没有更新,公告那个链接是一直不变的,那个大家这个全公告那个链接是一直不变的。
就是那个东西,你直接打开这个预期内容,我肯定会在那个每天上课之前,最迟前一天就会更新到那个文档中,到时候你打开看就行,而且今天的PPT啊,我在上课前一个半小时都已经上传了。
你打开那个PPT的链接就能够下载,就能够下载,OK,那我们下面呢,就来具体实现一下上面的三次功能啊,三次功能更新了就好,如果没有更新的话。
大家可以及时跟我说,我们来实现相应的功能,首先呢,我们来看第一个,刚刚这个东西已经编译好了是吧,编译好了,很好,哎,稍等一下,这个机器啊,已经编译好了,编译好之后呢,我们首先把它要放在大家看我操作。
首先找到这个Redis,Redis编译好之后,它会产生一个叫做src的一个文件,我们cd进去,在src这个文件里面,就有一个文件叫做Redis-cli,叫做它,但是在这个地方。
我们去运行Redis的客户端并不是太方便,所以说我们可以把它添加到user,并目录下,让我们的Linux终端在任何的地方都能够执行,怎么去怎么去切换呢,就是把cp就是copy。
copy的第一个字母和第三个字母叫复制,复制这个东西到user,并目录下就可以任意运行了,下面我们来进行操作,Redis-cli复制到user,记住这个user是没有e的,没有e这个字母的,它是简写的。
千万不要瞧错,并这个目录下,我们下面来看,我们在任何地方都能去执行这个Redis,都能执行这个命令了,OK,那下面呢,在我们发现目标就是10。1。1。200上面开启了,这样一个6379端口之后。
你大可以自己去连接,-h-h的意思呢,就是host,host的地址的第一个字母,就是地址,你要连谁,懂吗,大家这个参数,你不论我们讲多复杂,到后面内网中那些复杂的工具,或者是有新的工具。
你也千万不要去说记这个参数,没有必要,你要理解,要理解,并且它的帮助文档中都有写,-h呢,那就是指定host的10。1。1。200,这是目标的地址,然后里面呢,也可以跟上-p6379,如果你不跟的话。
因为它默认的端口就是6379,你可以省略不写,无所谓,那我们这时候就连接上来了,连接上来之后,我们下面要做一件事情,来确定它是否真的拿到了权限,就是简单执行一条命令,叫做info,信息,信息。
我们在执行info之后,就能够看到这个redis相关的配置,比如说redis的version,它的版本信息,以及redis的git相关的hash值,以及相应的操作系统版本,相关的架构。
我们在看到这个之后,就百分之一百确定,目标机器拥有redis未授权漏洞,而这其实并不是漏洞啊,像是一个配置缺陷,这个缺陷也是普遍存在的,就是因为大家可能就是不去专门的学习redis。
而直接去拿别人的网站,然后百度一搜直接去配置,就会造成一定的缺陷,OK 那我们下面来实际演示一下,那么第一个就是写webshare到目标的机器,webshare是什么东西,有同学呢可能完全不知道web。
我来跟大家讲一下,webshare就是一个针对于网站的密码,我们在为一个网站植入webshare之后,就能够接管这个网站,进而接管它的操作系统,就是我从一个网站中,传上一个webshare。
就像是一个小木马,我就能攻破它的网站,就是这个意思,那这个东西非常简单啊,我们一会儿就,你现在不理解没关系,我们一会儿就看到了,首先呢我们第一件事,就是要往web网站中写东西。
那我怎么确认目标机器有没有网站呢,如果它压根没有网站,你webshare要写什么呢,是吧,它没有网站,你肯定没法写,一定要记住,那刚刚我们使用nmap,是不是发现了它有80端口,很好。
我们现在打开网络浏览器,访问一下靶机,看有没有网站在,10。1。1。200,直接访问就是默认80端口,可以看到显示,This is the test page,OK,大家要记住,不论它显示什么。
如果能够成功访问,就代表目标机器是有web的,就目标机器有网站,你不要管它显示什么,它显示空白也没关系,因为它没有代码,那这个时候呢,我们通过一些目录扫描,那在之前的指导书也有说,能够发现呢。
这个phpinfo,我们可以访问一下它,在phpinfo这样一个页面中,我们能够清楚的看到,这个网站是保存在哪里的,这个网站中有个配置项,叫做document root,就是网站的根路径。
在vir3whtml这个目录,现在有同学说,这个phpinfo,我看不到怎么办,没关系,你可以猜这个路径,一般情况下,路径都是vir3whtml,或者是vir3w-3wroot,都是这几个路径。
大家可以尝试,如果你试不出来,那也没办法,这是肯定要知道的,要知道这个路径,也就是说,我们写的php脚本,包括我们一会儿要上传的webshell,都必须在这个路径中才行,你乱上传可不行。
你传到其他的目录,他不会把它当作网站去执行,一定要记住,那我们现在呢,去往这个文件里面写东西,怎么写,首先你要更改,你要写的路径就是config,在redis的配置项中,有个叫做dir。
就directory,目录的前三个字母,这个地方呢,代表redis服务的当前路径,我们设置成vir3whtml,这时候显示ok,代表路径已经切换到了,网站的根目录,就是网站的根目录,那下面呢。
我们要设置一个选项,一个界叫做dbfirename,首先给大家讲,redis为什么能够写webshell,因为redis和其他的数据库一样,都提供了一个功能,叫做保存数据库到硬盘。
mysockle是不是可以导出数据库到硬盘,可以任何的数据库都可以,那所以说,它这个功能本来是让你保存数据库,从内存中保存到硬盘里面的,但是我们现在不想保存数据库,我想保存一个木马,就是这个意思。
大家要理解理解这个原理,你不要搞糊涂了,我们下面来去尝试configure set,所以说这里面叫做db,就是database数据库firename,这个name叫什么呢,我们是php的网站。
你说叫什么,叫什么都行,比如说叫张三。php,123。php都可以,我这里啊写成shell。php,然后呢,我们要把一个件,就是把一个件之队保存进去,那你首先先配置一个件之队,好吧,先配置一个件之队。
先配置一个件之队,大家如果听不懂的话,可以随时提问,那一会呢,也会给大家时间休息,并且有一个提问环节,不要急,这时候就不要加config了呀,就是你set设置件,你set一个x,你这个随便写啊。
这x你可以改的,改成123456都没有关系,写什么呢,写我们的php一句话木马,这一句话木马,我在写的时候,同时给大家解释一下,这个一句话木马是调用了php中的一个语言构造器,叫做ever。
有同学叫它eval是一样的,这个一样的,你不要纠结这个读音好吧,不要纠结这个读音,然后这个东西是啥呢,这个ever它是个语言构造器,它会将我们post上去的数据。
就它会把我们传入的字符串当做php代码执行,哎,这还了得,也就是说我们可以更改它的代码了,能更改代码就能干啥,就能命令执行,能更改代码就能命令执行,那我把它写一下,记住要写全这个都不能少,好,我们写好。
写好之后,现在一步操作就可以写入到vr3whtml里面,就是save保存,就相当于保存数据库,而这个时候呢,这个键就是x这个键的值,就这个一句话木马就会被保存在vr3whtml,shell。
php这个里面能够理解吧,大家应该能够理解吧,现在你要清楚你控制的是谁,你控制的是靶机是受害机,懂吧,我们这个redis是通过远程连接到另外一台受害机器的,所以说你这个写是写到受害者上面。
但是我们看不到,因为这个机器啊,你登不进去登不进去怎么办,你访问一下呗,现在把phpinfo改成shell。php,看能访问,如果你改个其他的,比如说ai,我给你改ai,就404是吧。
404not found找不到,那所以说呢,我们这个shell。php确实存在,并且我们成功写进去了,写进去之后就可以使用webshell管理工具去接管这样一个网站,获取目标系统的权限。
那这里使用的这样一个webshell管理工具呢,是以见以见,如果大家就是没有web基础的话,那其实这个以见用起来是非常简单的,我现在给大家做演示,并且这边也有指导书啊。
中国菜刀完全可以很多哥斯拉冰鲜以见菜刀啊,包括自己写的都可以啊,都可以的,现在我们把它退出,然后回到刚刚解压缩之后的有东西,以见叫做and sword就是蚂蚁宝剑,就是这就是中文中文是英语啊。
以见的意思,以见呢,有两个东西,一个是以见的源代码,一个是以见的loader加载器,这两个东西我们都要解压,怎么解压,unzip,你输int按tab键补全,能补全的回车,解压完成第一个,然后呢。
再解压第二个,都解压出来,解压出来之后,我们首先呢,进入这样一个and sword loader,进入这一个东西,这个不论是windows还是linux,从大家的讨论区能够发现。
部分同学还是了解web的,如果你不了解也没关系,可以百度搜索,并且二一老师为大家准备了公开课,感兴趣的也可以来听,就在下周的周三到周五下午两点半,有三节课是针对于web安全的。
然后那个如果你没有时间来听,说下午没时间,到时候如果你需要的话,我会把当时的课程录屏,然后发给大家,如果有需要随时找我,你想听什么,我都可以给你录屏去给你讲,完全没关系,这个同学说啊。
你看他这个问题问得非常好,这个unzip比TAR简单多了,其实这个unzip跟TAR你应该知道,它并不是一个算法,这个TAR它是一个打包程序,而zip它是一个压缩算法,它其实使用的一个原理是不同的。
是原理是不同的,其实TAR也非常简单,就是TAR那几个参数嘛,打包是CZVF,解压是XZVF,我就是我没有去记它呀,这是敲出来的,就这几个参数,OK,那我们进入到这个地方之后,我们直接点杠。
就是运行在这个里面有个叫已建,有个叫已建的一个程序,我们回车就行,回车,就打开已建了,第一次打开已建,这个不论你是windows,macOS还是Linux都是一样的,都要选择已建的原代码。
我是不是给大家讲过,已建的是吗,第一个是原代码,loader是加载器。
所以说我们点击初始化,点击完成之后。
我们找到这样一个原代码在哪,我找到原代码在哪,在我们桌面上面的,Underscore的它这个地方是吧,我点OK,可以看到检测到原代码。
让你手动重启,OK,我们现在按一下上键,重新运行这个已建,这个时候你就能成功的打开它了,打开它使用方法也非常的简单,大家只需要操作一遍,你就能记住,因为这里完全是鼠标加上界面化的配置,这个时候又来了。
看这个实验机,大家跟我说它只有一个小时,其实没有关系,在剩余十分钟的时候,它会让我们延时,我们可以点一个延时30分钟,这个是可以无限延的,就是每到十分钟都可以延一次,然后我们在这里点击添加数据。
这个数据首先定一个URL地址,这个地方代表我们后门的这个地址,我们可以直接从浏览器中复制过来,单击到这里,或你自己敲都无所谓,然后连接密码,这两个信号代表B选项,连接密码是什么。
就你刚刚写的这个单引号中的这个东西,就是POS的这个方框号,单引号中的这个字母,叫CMD,你可以更改它。
你这里写123,那你这边的连接密码,就要写123,我们写CMD,可以测试一下,然后把添加进去,添加进去之后,我们就可以双击,还看到就成功接管目标的机器了,看到没,这就是目标的这一个网站呀。
并且在这个地方。
你还可以打开终端share,可以看到这个地方,我能够输Linux的命令,部分同学可能了解过web安全,但是如果你不了解的话,可以告诉你完全没关系啊,完全没关系,因为这样一个程序。
就是大家的这个水平肯定都是参差不齐的,这个没关系,毕竟我之前就说过,我之前就说过,这个文道有先后,懂吧,这几千年这个先人就说过,这个不要急,慢慢学,好吧,慢慢学,我们在这边呢,就能够去执行这些命令。
执行这些命令,OK,那这个操作我相信大家应该没问题吧,你几乎不能看懂吧,就你虽然不知道web安全,这个同学说接下来就是提前,是的,接下来可以提前,但提前呢,我们会放在后面来讲,这个同学说3389。
3389是windows的远程桌面连接端口,那linux是不存在的,linux是没有这个东西的,所以说我们就不去考虑这个3389,对我们这个课主要是讲内网渗透,内网渗透,因为现在互网很多的都是在打内网。
在打内网。
所以说我们是把web安全简化了,不然的话给大家讲半年,这个是吧,这个公司也是吧,对我们只能用三个月的时间,尽量把这个内网渗透讲好,但是也不用担心,不用担心,大家有什么需求随时跟我说,而这个地方呢。
我们就相当于通过这个redis的这样一个未授权访问,写入了一句话的木马去接管了目标的网站,那接管之后还能做什么,那就需要大家突发奇想,比如说你给他删掉,你把他的网站删掉都完全可以,这个你就是随便搞了。
随便搞,只要有权限够,在这边我们完全可以删掉一些东西,你看这边有编辑文件,还有什么上传文件,下载文件,删除重命名,随便大家,都无所谓了,这是第一种,我们回顾一下ppt,这是利用方法,这个地方也有讲过了。
就是这个条件有两个,第一个就是要知道网站是在哪里,一般情况下是vr3whtml这个目录,一般情况下,然后通过config配置redis的两个配置项,分别是dir就是路径。
以及database firename,就是数据库的名称,然后下面去设置一个任意的键,它的值就是我们的一句话木马,然后把这个键的值保存在这样一个shell。php,也就是vr3whtmlshell。
php,这里面我们就已经成功写入了一句话木马,就可以正常连接,ok那这是redis最好利用的一个办法,也是我们在正常攻击中最常使用的一个方法,有同学这时候会问,并不是所有的机器都有网站的。
就比如说大家的个人电脑,可能就没有网站,那怎么办,没关系,有其他方法,这个方法呢,叫做写定时任务反弹shell,定时任务是Dynx操作系统中,公有的一个东西,定时任务是干啥,定时任务就像你定闹钟一样。
定闹钟是什么,七点钟闹钟响,那你这个Dynx呢,你可以定七点钟我关机,七点钟我执行个命令,七点钟我攻击一下自己,都可以到时间就执行,叫定时任务,大家应该都理解,这个就是字面意思,非常好理解。
那这个是干什么呢,这个定时任务的写反弹shell,现在去讲啊,这个命令我看到大家很多同学,对网络不是太了解,这个地方可能你看不太懂,我先给你讲一下,这个意思就是为定时任务中。
写一个任务叫做每分钟执行一下,执行什么呢,执行向攻击机的四四三三端口反弹shell,反弹shell是什么意思,现在我先给大家讲第一遍反弹shell,大家请认真听讲,在这个课程中,如果后面啊。
如果后面的课程还是二一老师带大家的话,那我会讲三遍以上,啊,现在已经47了,大家先休息几分钟,好吧,我们50多开始讲吧,50多53开始讲好吧,大家休息几分钟,有什么问题,现在可以提,有什么问题可以提。
能听懂吧,这个东西,数据库就是数据库数据库是干啥的,应该知道吧,你那个像搜索的一些东西啊,保存在数据库中就保存数据的地方吗,你注册的用户名和密码都放在数据库中,应该能知道吧,嗯。
那我现在就把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中。
然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中。
然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中,然后我会把这个数据库的密码放在数据库中。
然后我会把这个数据库的密码放在数据库中,你大姨学的C语言和C++,刚好你大姨把最难的两个语言都学了,非常优秀,学校的专业课一般情况下,就明说像大学里面,它这种东西都是什么,都是你半年学过语言。
就是没有深入去学一个东西是吧,没有深入去学,就是不会深入去讲一个东西,听了之后才能去试试,才能理解,那肯定啊,这肯定啊,实践出真理,是吧,你不论干什么事情都得去实践呀,是吧,这个是习××说的是吧。
实践是检验真理的唯一标准,这个东西以前刷党科就刷过是吧,肯定要动手实践,那肯定得自己动手啊,改革开放时候说的,那这个,要动手实践,要动手实践。
P48:第12天:后台密码穷举、Tomcat密码破解 - 网络安全就业推荐 - BV1Zu411s79i
确定的话,那我们就开始上课了,这节课我们这节课呢我们给大家讲一下,我们的一个绕口令的一个密码破解,当然了,也不不仅仅是说它的一个,只有它的一个密码破解,包括他的一些账号啊,验证码都都可以。
就是在一些情况下都可以遇到的,都都可以就是进行一个破解的,或者说爆破,那么我们先来看一下,看一下我们的一个第一部分的一个内容呢,就是我们点一下这个暴力破解它的一个介绍,以及它的一个应用场景。
也就是说我们一般都能在哪一点,哪一些地方去应用,第二个呢就是我们点一下这个这个使用,暴力破解,就是去破解它的一个tomcat的一个后台,我们先来看一下第一部分,暴力破解的一个介绍,以及它的一个应用场景。
首先呢我们来看一下暴力破解,他指的是用枚举的方式来包括用户的信息,具体的一个流程嘛,就是用我们事先收集好的一个字典,要使用字典不断的进行枚举,直到枚举成功,这个呢是比较容易理解的,那么。
和美女一般都是枚举一些入口令啊,或者是一个验证码,还有其他的一些,别人的一个就是上传的一个web tell,也就是也就是一些大码的一些信息,我们来看一下它的一个常用字典,常用字典呢,我们一般呢都可以。
再往就是就是在我们的github上面,去搜索到他的一些字典,比如说我们可以这样子搜一下,比如说我们可以在网网上去搜索它的一些试点,看一下入口令,你可以去自己去生成一个字典。
就是自己去收集我们常见的一些字典,比如说我们在网上,也可以搜到一些比较多的一些字典,比如说,它的一个入口令,还有它的一些就是根据关键词,然后快速生成相关的一些入口令的字点,这种呢就是一些脚本。
就是生成字联机的一些脚本,那当然了,还有我们除了可以爆破,现在入口令,我们还可以就是对我们的一些敏感文件等,都可以使用一个字点进行爆破,比如说我们可以看到这里有一个就是第一个,就是在这上面的一个字典。
但是收集了2011年到2019年的一个top,100的一个入口令,以及top 1000的一个密码字典,服务器的一个密码字典,还有一些后台管理密码字典,数据库,密码字典等等,那么我们说的入口令。
什么是入口令呢,右口令呢就是指仅包含一些简单的数字,或者说是一个字母的口令,比如说123123456以及一些note ame,排除word等等,还有或者是一些一个单英文单词。
因为这样的一个口令很容易被人破解,从而使得我们的一个用户的一个计算机啊,或者是一个的网站,还有一些个人信息,就比较容易招招到它的一个泄露,因为我们在现在很多的地方呢,都是以一个用户名。
就和他的一个密码作为一个健全的世界,也就是作为一个登录的一个第八,原来我们的一个口令呢,就相当于是我们家门里的一个钥匙,但是呢当他人有一把可以进入,你这样的一个钥匙呢,那么你的安全啊,你的财务啊。
你的隐私啊,就就会非常的容易遭到泄漏,然后呢,入口令呢就相当于你就是把你家里的钥匙,放到你家门口的那个垫子上面,那么我们来来看一下这一个右口令的一个字典,这这上面这张图呢是我们一个2019年。
还有一个2018年以及2017年的,就是top 100的一个入口令,我们可以看到我们最常用的一些呢是,排在第一位的是一个u23456 ,这个密码就是单纯的一个六个数,六位数字,这种呢是非常好记的。
所以呢也会非常的被人去拆解到的,因为很多时候我们就是为了做一个方便,方便对吧,方便呢就自己随便的一个设置一个好记的密码,所以呢就会很容易被别人拆解到,那么我们来看一下一些常见的一个,密码破解的工具。
密码破解呢,我们前面在前面讲一个boss sweet的的时候,我们也讲到它的一个control的一个的一个模块,也就是它的一个爆破的一个模块,这里呢我们就讲到使用这个爆破的一个模块,去地形爆破。
第二个呢就是我们的一个工具,snk的snack recor的一个工具,这个工具呢它里面呢也是可以作为一个破解,密码破解的一个工具,它里面是集合了非常多的一个就是应用版,就是它可它可以破解很多的东西。
比如说我们的一个s h mysql等等的一些应用,然后除了这一件呢,我们还可以使用我们的一个metal pro的一个里面的,一个爆破的一些模块,或者说是爆破的一个拍照,除了这些呢。
我们还可以在网上去搜索一些脚本,就是密码破解的一些脚本,比如说我们处理呢也也可以在这列出了一些,比如说它可以破解一些wifi的,以及ssh的的一些字典,还有上面的最后一个。
还有一个破解我们的一个vn c的一个密码,呃我们也可以在这里我们给大家看一下,怎么去找这个,比如说我们这里呢就随便招一个密码破解,然后呢就可以设置到非常多的一个工具,或者说是一个脚本。
同样的这边呢还还需要自己去看看,是能不能用的,比如说我们这里的一个破解它的一个wifi的,因为wifi呢这个一般的话都是最少是八位数的,所以呢这个如果使用的话,应该是要那个破解非常的久的。
还有一些比如说做简单的一个vc的,还有一些压缩包等等等,我们破解的一个成功成功率呢,一般呢就是取决于你字典是否够强大,如果说你字典就是,字典里面是包含了那个密码呢,包含了一个正确的密码呢。
那么理论上呢你就是可以破解成功的,那我们来看一下,当然一般是一个暴力破解,一般呢都适用于哪些场景,首先呢可以去爆破它的一个验证码,我们现在的话一般登录网站的时候呢。
也可能是一般呢都是需要输入一个验证码的,如果说他这是一个验证码,这里呢它没有没有过期,就是没有它的一个时间的一个限制,那么我们验证码呢就可以去进行爆破,第二个呢就是不含验证码的后台。
一般的话我们后台的话也会有许多的后台,是不包含它是一个印证码的,他一般都是可能是前台的一个普通用户登录,他可能是需要去使用验证码去校验,但是呢它有一个后台的话,他可能是不需要验证码的。
以及一些各种的应用程序,比如说p h p mme,home cat mysql等等,这个p p h p版的密码呢,就是我们用来管理数据库的一个外,web端的一个管理工具,数据库的一个管理工具。
就是web端的一个数据库管理工具,这个tom cat呢就是我们前面给大家讲了一些,比如说搭载一些中间件,类似于阿帕奇nt等等的一些中间件,这个mysql呢就是我们的一个数据库。
这里有一个mysql数据库,除了这些呢,我们还可以对各种协议进行一个爆破,比如说ftp的协议,还有s h的一个协议,以及r d p i d p等等,我们平常就是登录我们这个linux的之后。
一般呢就是使用的这个x h的一个协议,比如说我这里给大家就是做一个登录。
等一下,比如我这里呢做一个登录文档器,是使用了一个登录我的一个服务器,原来我就是使用使用了我的一个x x h,要加上我们我们的一个用户名,用户名root,然后at at a后面呢就跟上我们的一个例子。
我们这里呢是一个139。9。198。30,然后回车回收之后呢,因为我这里之前是已经已经保存了密码了,所以呢我这里呢直接就可以连上了,如果是没有密码的话,那么我们就需要去输入它的一个密码。
这个呢就是我们的一个s s s s h。
下面呢我们来看一下,就是使用我们的一个bp,就是boss sweet,去对我们的一个tom cat的一个后台进行破解,首先呢我们来看一下这个tom cat。
我这里这个网站呢是搭了一个tomcat的一个环境。
我看一下是哪一个啊,我找我找一下哪一个来着。
471。10447,比如说我这里呢是有一个com cat,这里有一个tom cat,然后我们访问的时候,我们可以看到它这里是一个,就是很明显的告诉我们,这里呢是一个tom cat的一个界面。
那么我们在就是找他的一个后台的时候,我们可以直接在这里呢输入一个manager,m a n a g r,然后回车回车之后,我这里已经进行一个登录了,我用另一个吧,比如说我这里,这里充电都要四七。
这里我看一下,这里应该没有登录,等到我们输入到了一个manager,m m m a n a g e r有回车,回家之后我们看可以看到它,这里呢是需要使用我们的一个密码,账号密码才可以进行登录的。
那么我们没有,这就是没有这个账号密码怎么办呢,那么我们就可以对它进行一个爆破,那爆破呢我们先来包括之前,我们先来看一下它的一个密码的一个组成,因为这个tomcat它的一个账号密码的一个组成。
是我们虽然说看到这里呢是分别是两个登陆框,就是输入框对吧,但是实际上它在传输的过程中并不是这样子的,我来看一下,首先在我这里随便输入两个test p s p,然后声卡我们密码呢。
这里呢也注意我们的一个test,然后进行登录,登录之后他还是返回,就是弹出这个登录框,说明我们的一个验证码是不正,就是我们的一个密码是不正确的,那么我们来先来看一下它的一个密码的一个,组成部分组成。
我们这里呢因为已经开启了他的一个代理了,就是可以进行抓包了,看到我这里,我这里可以就是开启了代理代理之后,我这里呢可以进行一个关闭它的一个拦截,就关闭拦截之后。
我们可以在我们的这个http的一个history里里面去找,找到它的一个就是请求包,比如说这个这个呢就是我们刚刚的一个请求包,我们我们将这个包呢,先发送到我们的一个repeat这个模块这里,当然了。
我们也我们来看一下它这里呢是就是请求一下,也就算是一个401的一个错误,就说明我们的一个用账号密码呢是不正确的,不正确的呢,我们来先来看一下它的一个就是密码,密码的一个部分,这里就是这一串。
就是它的一个密码的一个主部分,这个呢它是经过它的一个base 64进行编码的,一个这个字符串,这一串我们先来先将它进行一个解密来看一下,我们将我们的这一这一串这一串数据,然后右键右键发送到我们的这个先。
then to live to decode,decode这个模块,这里,这个模块呢就是用专门用来进行一个编码,解码的一个模块,也就是这个decode这个模块,期间我们的这个数据,这一串数据。
然后发送到我们这个gentle recorder这里,要因为我们是已经知道了这个tomcat,但是只用了一个base 64进行一个编码的,现在我们这里呢就对它进行一个解码。
然后找到这个decoder decoder a,然后这个找到这个base 64,这里我们可以看到它,这里呢其实有有许多的一个选项就可以选择的,我们这里呢就选择一个被64,然后我们解码之后。
我们可以看到它的一个密码,密码组成是是这样子的,这是一个test。
这里看一下,就是一个test,然后加上一个冒号,再加上一个test,我这里给大家弄出来。
就这样这样子的一个,这就是还原之后,我们可以看到前面呢就是我们的一个用户名,这是它的一个组合吗,这是一个用户名,用户名加上一个冒号啊,这是冒号对吧,要加上一个密码密码,然后在之后呢再定义一个被子。
64的一个bf,164的一个dmi,就是编或者说是一个编码,然后就得到了我们的一个就是传输,就是传输的一个密码,那么既然我们知道了它的一个就是,就是他知道了它的一个加密方式。
那么我们就可以去构造出我们的一个字典,首先呢我们将我们的一个包的请求包,发送到我们这个intel的这个模块之后,我们就可以对于我们的这一串这一串东西,要进行一个就是添加一个标记。
我们本来应该是没有标记的,我来看一下,inq的能发送到这里之后,但是这里呢是没有标记的,现在我们先添加一个标记就对,就是标记这一部分是用来进行爆破的一个部分,然后呢我们这这个呢我们是前面的课呢。
也给大家讲过了,所以呢我们这里就不详细的去讲了,要添加这个标记的一部部分之后,我们进入到我们的一个plot的一个设置,这里欢乐的,然后呢这里,有有有几个选项,一个是plot的set诶。
还有一个呢就是pilot set of option,这个权限,看到我们,因为我们那里前面呢是只选择了一个,一个爆破的一个参数设,所以呢我们这里是只有一个设置po set,那么我们选择一个字典。
这里呢就是它的一个字典的一个类型,比如说我们比较常见的就是一个一个simple simple list,这个呢就是一个简单的一个字典,上面这个呢轮轮胎bell就是一个运行文件。
以及上面的一些比如说它的一个日期呀,a或者是一个数字等等,或者一些日期我们可以看到,也可以去设置它的一些日期是,那么我们这里呢,就选择我们的一个自定义迭代器,也就是我们可以自由去设置的一个这个。
字典类型,选择第三个,第三个呢就是gsp这个选项啊,就是一个自定义迭代器,我们选择了之后就对,就设置我们的一个用户名,首先呢我们在这个proposition这里,这个po option这个选项。
这里要找到我们这个proposition这个地方,那我们我们可以看到,在这里呢有一个12345678,但是呢我们这一个字典的一个组成,是一个分为三个部分,第一个部分呢就是我们的一个用户名对吧。
所以呢我们就可以设置我们的一个用户名,就现在就现在我们这里设置它的一个用户名,我看一下这里,我们比如说我们这里面随意设置一个test也可以,我们可以自己添加进去,也可以去导入,就是导入我们的一个字典。
我们这里呢就随便就添加几个吧,然后1231234,这个呢就是我们的一个用户名啊,lo,啊以及ame,还有一些,好吧,我们随便做这几个啊,原来我们在再设置我们的一个第二,第二个部分呢。
我们我们前面这个第一呢,就是我们的一个第一部分,就是一个用户名,然后呢我们进入到第二第二部分的一个设置,就是加上一个冒号,加上我们的一个冒号,加上冒之后呢,我们就添加就行了,然后进入到第三个的设置。
第三个设置呢就是我们的一个密码,密码,然后呢,我们这里就设置我们的一个,随便设置它的一个密码,然后弄他,好我们再看一下,我们这里呢就随便设置五个12345个密码,设置了密码之后,我们如果是直接爆破的话。
我们可以看到如果是直接爆破的话,它这里呢是它的一个并没有进行它的一个加密,我们可以看看到,而且它会对它的这个特殊的一个字符,也就是这个冒号进行一个编码的,比如说我们这里呢就是进行一个编码。
就是对一个特殊字符进行编码了,并且他并没有对这一串数据进行,我们输入的一个账户密码进行一个背词,60字的一个编码,背着我们还要去进行一个设置,首先呢我们进入到我们的这个这这个倒数,第二个。
这个final processing这个地方这里嗯,然后我们添加添加一个就是三方式,它的一个编码的一个方式,比如说我们这里呢就选择一个就是我们add add,然后选择它的一个类型。
我们这里呢是进行一个编码的,就是意思呢就是对我们的一个这这里,这一串这些设置进行一个编码,那我们就设置一个encoder encode,这里进行一个编码,然后呢我们是一个base 64的一个编码。
所以呢我们就找到我们的一个base,64的一个import,之后呢我们点击ok,ok之后因为我们前面说了,他会对我们的,对于我们的一个特殊字符,比如说这里的一些特殊字符,进行了一个url的一个编码。
就是他会对这这种字符,比如说这点后斜杠,反斜杠等于还有尖括号,问号加号分号,双引号等等的一些符号,进行了一个u r l的一个编码,所以呢我们这里呢就让它不就是不进行编码,就是不对不对。
这里面的一些特特殊字符进行编码,就是我们把这个勾勾给去掉,这不进行编码之后,然后呢我们就可以设置完成了,设置完成之后呢,我们就点击进行一个爆破,我们点击这个start attack这一个选项。
就在最右上角这里,那么我们可以看到它就进行一个爆破了,并且他的这些爆破的这些数据,就是这个用户以及密码的一些这些数据,进行了一个加密了,然后之后我们可以进行一个筛选。
我们可以根据它的一个状态状态进行一个筛选,因为我们如果是登录成功的话,那么肯定是一个200的一个状态,现在我们可以根,根据它的一个状态来进行一个筛选,我们这一状态的筛选之后。
我们可以看到这里有一个200的一个状态,明显跟上面的一些是不一样的,有很大的一个区别的,就是上面这些是零一呢,就是说它的一个用户名以及密码是不正确的,那么我们可以就是从这个状态码可以。
找到它的一个正确的一个用户用户名以及密码,最后呢我们还可以根据它的一个长度,长度来进行判断,比如说我们可以因为我们一个登录成功,登录成功的一个,它给我们返回的一个包的一个长度,跟登录不成功的。
返回包的一个长度呢是很有可能不一样的,这样的也有也有些是一样的,我们得根据一个实际情况来进行一个使用,我们这里呢就使用我们的一个长,也可以使用我们我们的一个长度,来进行一个判断。
就是它的一个返回报的长度等等,我们可以看到它这里呢,有一个是20955的一个返回包,长度,跟上面的一个2736的一个长度呢,是明显不一样的,所以呢我们这里呢就可以得。
就是得到了它的一个正确的一个用户名及密码,就是这一串这串数据呢,就是它的一个用户名以及密码,那么我们就对它进行一个解码,就是对单进行一个解码,然后呢我们发送到这个decode这个模块这里。
要要进行一个叠码,点完之后我们可以看到它的一个用户名,以及它的一个密码呢是一个tom cat跟tom cat,所以呢我们就可以属于我们的一个得到的一个,用户名。
tomcat以及密码tom cat来进行登录,不过呢有一点需要注意的是,那个嗯在这个tom cat 6版本以后呢,它是针对了一个爆破,做了一个锁定的机制的一个设置,所以呢如果是我们有时候就是爆破的时候。
我们会爆破,不管是正密码是否正确,都可能会爆破不成功的,就是它这里面都是可能是显示到的,一个是零一了,因为他对这个爆破做了一个锁定的机制,不管我们的一个用户名以及密码是否是正确的。
都是都不能进行一个登录了,需要等30分钟吧,还是五分钟来着,然后才能进行一个结合,所以呢我们遇到遇到这这种登录框,就是这种登录cat的时候,我们可以就是去找动,就是随手动输入几个常见的一些用法类。
比如说我们比较常见的,比如说跳的一个some cat及tom cat,这是他们cat,这个呢就是它的一个默认的一个,用户名以及密码,还有一些是其他的,比如说protest或者是一些通通密码。
通密码现在也是可以的,然后我们爆破得到了他的一个正,正确的一个用户名密码之后,我们就是接下来呢就是对它进行一个get cell,也就是上传它的一个外包进行get c,软件呢换成了一个外包外包。
它是什么东西呢,它是用来进行一个web开发,值得一个网站项目上所有的代码,包括我们的一个前台html代码,js的一个代码,以及j的一个代码,以及它的一个后台的一个java web一个代码。
也就是它的一个java的一个代码,当我们的一个开发人员开,将我们的一个网站就是开发完毕时,就会将这些源码就打包成一个外包,就是给我们的一个测试人员测试,那么我们我们呢就可以就是通过这次这种远程。
就是通过外包装去部署这个外包,进行一个复制这个网站,原来这个外包呢可以放在我们的一个tom cat,上面的一个web app上面,也就也就是web app上面呢是它的一个根目录,是它的一个根目录。
那我们我们的一个阿帕奇的一个up,那个v r3 w h t m l,这个目录是差不多的一个意思,然后呢当我们的一个tomcat启动的时候,我们的那个挂包呢也会将之进行一个解压,来自动进行一个部署。
所以呢我们这里就可以将我们的一个web c。
那我们的个java java的一个web shell,就是打包成那个jvr包,那么打包呢这里给大家演示一下,首先呢我找到我们的一个就是web c,因为我们这个dm cat是用我们的一个java。
进行一个开发的,所以呢我们上传了一个,上传了一个包呢也是需要的,一个是java的,不能是pp hp的,我我在在这里找一下,等一下一般的c,首先找一下我们的我的一个web叫。
啊比如说我这里呢有一个有一个一个jsp的,一个web,一个文web sl,那这个呢,我看一个这个微博最大的一个密码呢,就是它的一个111,这里呢也进行一个备注了,那么我们怎么去制作我们的一个。
像我们我们的这这个jsp的一个文件。
制作成我们的一个外包,首先呢我们打开我们的一个cm cmd,打开cmd之后,我们进入到我们当前的一个路径上面,摇篮路径上面有一个dsp的一个文件,现在我们注意我们的一个dj压要杠,cv f。
他cpf也要跟上,我们的一个想要打包成了一个什么名字,比如说我们这里呢想要打包成一个test点挂,然后后面呢就是跟上我们的一个一个,dsb的一个文件,要回车之后,我们可以看到他这里呢是已经成功了。
输出了一个外包了,我们来看一下,这个呢就是我刚刚说刚刚的一个外包,就是利用这个bc连接sp去压缩,成了一个一个挂包,这样呢我们就进行一个附属部署之后,我们找到我们上面的这个wifto dep这个地方。
这个那就是我们那的一个就是数组,我们我们的一个画包,那么我们选择我们的一个文件,就选择我们刚刚的那一个包,the test test。wb要打开,打开之后进行一个附属部署之后呢。
我们就可以对我们的一个网站进行管理了,然后呢我们的一个路径路径呢要注意,我们的一个路径呢,就是我们的一个网站的一个根目录,就是我们的这里,要加上我们的那个外包的一个名字,比如说我这里呢是一个test啊。
就是这个外包的一个名字是一个test,然后后面再加上我们的那个jsp,就是这个web shell的一个名字,b e t s y n c h p上呢。
我们回车回车之后,我们可以看到,我们已经可以访问我们的一个web下了,那么我们的一个密码呢,就是一个111来进行一个登录,登录之后呢,我们就可以就是对我们的一个网站,进行一个管理的。
我这里呢是使用我的一个web端进行一个管理的,我们呢也可以去上传我们的一个,其他的其他的码,我这里呢算是一个小马吧,其实可以对我们的一个文件进行一个管理的,或者比如说新增文件或者是复制文件等等。
还可以进行一些执行到的一些其他的命令,比如说我这里已经装备了是没有的,l a l s的一个命令,现在我们可以看到,我们执行了我们的一个l s的一个命令呢,它这里呢就给我们列出了它的一个文件。
一个l s命令呢就是我们在我们linux linux上面,就是查看我们的一个,就是列出我们的一个文件的一个命令,就la,以及cat我们的一个密码文件,cat cat就是一个查看cat。
然后tp上面的一个password,我们可以看看能不能执行,那也可以看到我们cat d e d c,把word也可以去查看这个文件,就是我们的一个linux上面的一个密码文件。
好然后呢我们这一节呢就讲讲到这里啊,然后呢这个这一节课的这一节课呢,我们主要是给大家介绍了这个工工具,就是我们的一个,一些常用的一些工具哦。
这里呢还有一个network,这个这个工具,就是这个这个工具呢,你们的一个工具包里应该是有这个工具的,这里呢打开给大家看一下,盘,好就是就是这一个工具,你们的那里呢应该是叫一个超级超级绕口令,检查工具。
然后找到我们这个snet net neo的这个程序,然后我们双击打开它,同意的,打开它之后,我们可以看到它这里呢是支持爆破,非常多的一个协议,比如说我们的一个i p p,mysql。
oracle ftp等等,eternet v n p各种的一些应用或者说一些协议,并且它还支持它的一个就是批量,就是批量的是一个破解或者是一个账户呢,我们也可以去自己去导入它的一个密码,就是用户名。
密码呢也可以自己去导入,然后呢,它这里面是已已经内置了许多的一个一个密码,就是密码或者说是一个字典,这里面有39个字典,我们也可以自己去进行添加,这使用的是比较简单的,我们直接在我们的一个目标账户。
比如说我在这里呢举个例子啊,这点上有一个127点点0。1,我们这里呢是举个例子啊,看到我们选择我们需要爆破的一个应用,我们这里呢选择我们的一个mysql,原来我们导入我们的一个账户,导入我们的一个uc。
一个username mysql,这里要再导入我们的一个密码,那之后呢就可以进行一个检查了,要检查呢在这里呢也非常的快,就是直接给我们检查出了我们的这个mysql,要它的一个用户名是个root。
它的一个密码,这个123456,并且还有它的一个数据库的一个版本,5。6。27,那么我们就可以去登录一下,看看是不是是不是正确的,好比如说我在讲,我就登录登登录一下我们那个lol。
因为我们127点点001呢,我们也可以注意我们的logo,hot啊,post是这两个人是一样的,然后呢它的一个用户名是一个root,密码是一个123456,最后要进行一个添加,确定确定之后。
我们我们这里呢就是这这个这个logo lost,然后这个三,这里呢就是我们刚刚添加的那那一个地址,哦然后呢我们就可以进行一个管管理了,就是可以登录进我们的一个数据库了。
嗯然后在这里呢这节课呢我们就先讲到这里啊,你们有什么疑问吗,我那个就那这个就先不离吧,就你们做其他的一个作业,如果是有什么问题,再就是访问不了的话,你们再告诉我,因为那个上面开了太多的一个应用。
就是开了太多的一个服务,然后也被人也被人打,就是搞得很卡,可能有一些是会被自动停掉了,这个ladies呢,我我这我这边呢是可以随意的进行连接的,这个高版本高版高版本的话。
我们对就是我们一般就是遇到这种的话,都是使用一下它的一些用一直默认的一些密码,或者是一些常用的,比如说一些tc 123456,它的一个用户名呢一般都是一个double cat。
那样的呢也可以自己去试试一下,其他的一个东西,主要呢是看我们的那个网站的一个管理员,就是有没有就是修改,就是将它的一个一个限制给修改掉,如果是修改的话,那么我们就可以进行一个爆破,如果没有修改的话。
那么我们就就是使用使用手工进行一个爆破,就使用手工进行一个尝试,如果我们能进去的话,那么一般一般都能去部署一个挂包的,就是部署一个外包,要进零,就是去get cell。
比如说我这里呢我待会也可以给你发一下,我这里给你们看一下。
我这边连的,我这今天我改了个端口,应该是还是可以连的,a b i,杠b i g b t o c,我这里呢是改了一个端口的,不知道你们还能不能连连的,是一个6388的一个端口,给我们执行一个info。
info之后,我们也是可以执行的,刚刚我们看你们有一些同学啊,就是使用的一些其他的一些cd的一些命令,我们在这里呢,在这里面呢,并不是属于我们的一个cd的一个命令了,其实我们要设置我们的一个路径。
我们是一个conqu the cel d i r,d i r就是我们的一个像设置它的一个路径,比如说我们这里呢是一个v i斜杠,3w斜杠html这样子,然后呢我们设置的一个路径。
就是得看我们是不是能访问的。
比如说我之前的话,好像这个8080端口好像是不能访问的,但是所以呢你们可能有有一些同学,有些本来呢是没用不能访问的,现在是可以访问的,你们有一些同学可能可能就是设置了之后,就是把用你们的一个菜刀。
或者是一个软件连接不上,因为你们的一个路径是不对的。
我们我当时给你们讲的是一个看一下,s是s是f的一个路径大啊,并且这一个这一个路径,然后呢,我们设置之后要再设置我们我们的一个文件名,设置完文件名之后,我们再设置我们要写写入的一个东西。
然后进行一个保存就可以了。
好这节课呢我们就到这里,我们就先上课。
标签:网络安全,这个,这里,一个,笔记,漏洞,合天,我们,就是 From: https://www.cnblogs.com/apachecn/p/18439497