sql注入原理:
渗透测试流程:
- 上传文件的时候,如果服务器端脚本语言未对上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,从而控制整个网站,甚至是服务器。 这个恶意的文件(php、asp、aspx、jsp等),又被称WebShell。
- WebShell就是以asp、PHP、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。
- 攻击者在入侵了一个网站后,通常会将这些asp或php 后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的。(可以上传下载或者修改文件,操作数据库,执行任意命令等)。
- 提权就是对当前权限的提升.通俗的说,就是当你获得Webshell(站点控制权限)的时候,想要进一步获取更大的权限即system控制权限。
实验步骤
检测网站的安全性
打开“http://192.168.1.3/see.asp?ID=461&titleID=86”这个链接,在后面随便添加一个’号,发现页面报错,如下图所示。
从上图可知,我们输入’后,直接提示数据库错误界面,第一反应是该网站存在注入漏洞,输入http://192.168.1.3/see.asp?ID=461&titleID=86and 1=1,如下图所示:
我们在网站输入http://192.168.1.3/see.asp?ID=461&titleID=86and 1=2,返回错误界面,一般来讲,当我们在网站尾部输入and 1=1和and 1=2返回页面不同的情况下,且出现数据库报错的话,我们通常认为,该网站必然出现sql漏洞,如下图所示:
使用注入工具破解管理员用户、密码
打开“啊D注入工具”,把存在注入点的url复制到工具中,选择左侧的sql注入检测,点击检测,如果网站存在注入,工具的下方会有提示,并且提示该网站的数据库类型,这时选择“检测表段”,就是探测数据库的所有表段名称,如下图所示:
选择“admin”段,然后开始选择“检测字段”,这里选择admin表段的原因在于基本上所有的管理员用户名和密码存放在admin表段,如下图所示:
这是选择password和amdin,然后选择“检测内容”,破解对方的用户名和密码,如下图所示,至此已经破解出网站的用户名和密码。
使用工具破解MD5密码
我们得到的管理员密码是通过MD5值加密的,可以通过工具MD5crack来进行破解,这个工具就是通过字典的形式来破解md5值,如下图所示,在工具中输入得到的MD5值,软件就会自动破解出明文密码,至此,我们得到网站管理密码的明文:123456
找寻登录网站管理后台
拿到管理员的明文用户名和密码,现在需要进入后台,我们可以通过扫描软件御剑后台扫描工具来探测网站管理后台,我们打开后,把需要探测的网站放进工具中,点击开始扫描,如下图所示
通过扫描可以基本判定后台地址为http://192.168.1.3/admin/login.asp。
打开后台,如下图所示:
输入已经破解出来的管理员用户名linhai和密码123456,成功东路后台,如下图所示:
拿到网站webshell
我们既然已经进入了管理后台,那为了保持网站权限的持久性,我们需要拿到webshell,打开“文章管理”,打开图片上传,如下图所示:
我们上传asp木马,结果如下图所示:
我们把木马更改下后缀名,原来的木马的名称为mm.aspx,改为mm.jpg,然后上传,可以上传成功,如下图所示:
我们上传成功后,右键照片属性查看他上传的位置,记录下来,如下图所示:
上传成功后,可以通过备份数据的方式,重新命名脚本文件,使其能够作为木马脚本被执行,我们打开网站左侧是“数据管理”操作项,选择“备份/恢复数据库”。
在备份数据库中,数据库路径后面,填上刚刚上传图片的地址,再备份数据库路径后面填写“…/db/1.aspx”,重新备份成aspx文件,使我们的木马能够正常运行,如图所示:
点击备份后,访问http://192.168.1.3/db/1.aspx就是木马地址了,木马的密码是77169,我们就拿到了这个网站的webshell,如图所示:
拿到服务器权限
进入webshell后,因为需要执行dos命令来添加管理员,所以点击webshell上端的“命令行”按钮,进入执行命令模式,如下所示,尝试输入whoami命令,回显的是network service 权限,在此权限下,是不能直接添加管理员账户的,回显是空白,证明无法添加用户。
单击“端口扫描”->“扫描”按钮,发现目标系统开放着43958端口,即server-u服务,如图所示:
单击“su提权”,在cmdshell中输入命令“net user aaa 123456 /add”,然后单击执行按钮,如图所示:
在cmdshell输入命令,“net localgroup administrators aaa /add”,然后单击“执行”按钮,如图所示:
在cmdshell输入“net user”然后单击“执行”按钮,查看用户aaa添加成功,如图所示:
在cmdshell输入命令“net user aaa”,然后单击“执行”按钮,查看用户aaa输入administrators用户组,如图所示:
单击“开始”->“运行”->“mstsc”->“192.168.1.3”,输入账号“123456”,单击登录“按钮”即可,如图所示:
