⑴ 怎樣掃描別人的網站
壹:先找注入漏洞,在一些新聞或者文章後面加上;或者'來測試是不是返回錯誤,如果返回錯誤的時候再試空格and 1=1 和and 1=2再看返回錯誤是否不一樣,不一樣的說明存在了注入漏洞,開始用各種注入工具進行注入測試發現是ACCESS的資料庫則直接暴用戶名和密碼來後台登陸,再找後台的漏洞看時候可以上傳或寫進ASP馬。如果是SQL的資料庫同樣可以暴帳號密碼,但發現SQL的許可權為SA的就可以直接在對方伺服器內增加ADMIN帳號SQL連接器連接即而開對方的3389埠開完全控制。
貳:找各種附帶上傳功能的程序,比如動力文章、螞蟻影視、同學錄等等,接下來要注冊的進行注冊不需要注冊的可以把該上傳功能保存為本地HTM文件來看是否本地限制格式,如果不是的話那就利用林子大哥做的欺騙上傳的HTM或者用NC等工具來抓包進行修改然後再上傳ASP馬。有些程序則需要你把該程序的源代碼下下來之後查看上傳是否可行和上傳的真確地址。
叄:利用%5c進行暴庫如果是.mdb格式的則直接下載,利用資料庫查看的工具進行查找帳號和密碼,如果密碼加密就用dv.exe進行破解只破解純數字和純字母!數字字母混合的實在太廢時間了不推薦。如果對方資料庫為.asp後綴的,那就更好辦了在你能填寫的信息里填寫<%execute request("l")%>的代碼來使資料庫只執行這個代碼就可以用藍屏大叔的木馬客戶端來連接對方的資料庫上傳大的ASP馬。
肆:尋找網站各種程序後台,程序越多越好,登陸時先用 'or''=' 帳號密碼來測試是否有最老的ASP漏洞,如果都不行再測試默認的帳號密碼,一般均為admin或者有的密碼為admin888等等。
伍:尋找動網論壇,呵呵 現在大部分都網站都用此論壇程序。動網論壇被高手稱為洞網因為其漏洞實在太多了1、上傳漏洞,我就不想多說了就是利用upfile.asp 2、默認資料庫漏洞,很多的弱智管理員都不改資料庫名稱的在data/dvbbs7.mdb就可以把資料庫下載下來了,再加上dv_log表段看帳號密碼使得動網論壇的資料庫加密行同虛設。3、虛擬形象插件漏洞,裡面同樣存在上傳漏洞利用方式和upfile.asp一樣。4、下載中心插件漏洞,一樣的上傳漏洞利用方式。5、資料庫備份默認地址漏洞,有些管理員改了資料庫的地址,但是由於疏忽而沒改備份後的資料庫路徑地址存在於databackup/dvbbs7.mdb下載下來後和上面第2條用法一樣。(有許多的論壇都存在漏洞比如Discuz2.2F等等。。)
陸:各種留言本或日記存在默認資料庫漏洞,因為是個小程序所以改的人也不是很多。只要下載該程序下來就可以知道資料庫地址了。也有很多別的辦法可以知道資料庫地址,如:暴庫、查看conn.asp的源文件、還有就是利用該程序管理員的疏忽 就是在地址後面打上(程序說明.txt、說明.txt、readme.txt等等)自然就會告訴你它的默認地址了^ ^找到了地址之後可以利用獲得的管理員密碼來破該站所在的別的管理員密碼,很管用的呦 呵呵,還有就是asp結尾的資料庫大家可以參照上面的叄用藍屏大叔的木馬來入侵。
柒:利用旁註來進行入侵,有時候大家都一個站一點辦法都沒有,那怎麼辦呢?呵呵 這個站沒有漏洞並不說該站所在伺服器別的站也不存在漏洞,那我們就可以利用查找該伺服器玉米的工具來找別的站,然後找到別的站之後再來循環上面的壹~~陸。
⑵ 文件上傳漏洞攻擊方法有什麼
文件上傳漏洞是什麼?怎樣防禦文件上傳漏洞攻擊?文件上傳漏洞是web安全中經常利用到的一種漏洞形式。這種類型的攻擊從大的類型上來說,是攻擊 數據與代碼分離原則 的一種攻擊。
一些web應用程序中允許上傳圖片,文本或者其他資源到指定的位置,文件上傳漏洞就是利用這些可以上傳的地方將惡意代碼植入到伺服器中,再通過url去訪問以執行代碼
造成文件上傳漏洞的原因是
對於上傳文件的後綴名(擴展名)沒有做較為嚴格的限制
對於上傳文件的MIMETYPE 沒有做檢查
許可權上沒有對於上傳的文件的文件許可權,(尤其是對於shebang類型的文件)
對於web server對於上傳文件或者指定目錄的行為沒有做限制
下面就閑話一些文件上傳漏洞的防禦方式和攻擊者的繞過方式
1.前端限制
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("這不是圖片!")
return false;
}
return false;
}
在表單中使用onsumbit=check()調用js函數來檢查上傳文件的擴展名。這種限制實際上沒有任何用處,任何攻擊者都可以輕而易舉的破解。只能用於對於用戶完全信任的情況下,很難稱之為一種安全措施只能稱之是一種防止用戶誤操作上傳的措施,
反制:
隨便的編輯一下頁面/用burpsuite/寫個小腳本就可以突破之,無須多言
2.檢查擴展名
顧名思義,就是在文件被上傳到服務端的時候,對於文件名的擴展名進行檢查,如果不合法,則拒絕這次上傳
在這里,還有一點是值得一提的,在檢查擴展名是否合法的時候,有兩種策略
黑名單策略,文件擴展名在黑名單中的為不合法,示例代碼
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){
echo "invalid file type";
return;
}
白名單策略,文件擴展名不在白名單中的均為不合法
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){
//save the file and do something next
} else {
echo "invalid file type";
return;
}
白名單策略是更加安全的,通過限制上傳類型為只有我們接受的類型,可以較好的保證安全,因為黑名單我們可以使用各種方法來進行注入和突破
反制
在一些 webserver 中,存在解析漏洞
1.老版本的IIS中的目錄解析漏洞,如果網站目錄中有一個 /.asp/目錄,那麼此目錄下面的一切內容都會被當作asp腳本來解析
2.老闆本的IIS中的分號漏洞:IIS在解析文件名的時候可能將分號後面的內容丟棄,那麼我們可以在上傳的時候給後面加入分號內容來避免黑名單過濾,如 a.asp;jpg
3.舊版Windows Server中存在空格和dot漏洞類似於 a.php. 和 a.php[空格] 這樣的文件名存儲後會被windows去掉點和空格,從而使得加上這兩個東西可以突破過濾,成功上傳,並且被當作php代碼來執行
4.nginx空位元組漏洞 xxx.jpg%00.php 這樣的文件名會被解析為php代碼運行
5.apache的解析漏洞,上傳如a.php.rar a.php.gif 類型的文件名,可以避免對於php文件的過濾機制,但是由於apache在解析文件名的時候是從右向左讀,如果遇到不能識別的擴展名則跳過,rar等擴展名是apache不能識別的,因此就會直接將類型識別為php,從而達到了注入php代碼的目的
3.檢查HTTP Header中的Content-Type
HTTP協議規定了上傳資源的時候在Header中加上一項文件的MIMETYPE,來識別文件類型,這個動作是由瀏覽器完成的,服務端可以檢查此類型不過這仍然是不安全的,因為HTTP header可以被發出者或者中間人任意的修改,不過加上一層防護也是可以有一定效果的
反制
使用各種各樣的工具(如burpsuite)強行篡改Header就可以,太容易將header中的
Content-Type: application/php
或者其他類型
改為
Content-Type: image/jpg
Content-Type: image/png
Content-Type: text/plain
等這些web程序允許的淚洗改附上常用的MIMETYPE表
text/plain(純文本)
text/html(HTML文檔)
text/javascript(js代碼)
application/xhtml+xml(XHTML文檔)
image/gif(GIF圖像)
image/jpeg(JPEG圖像)
image/png(PNG圖像)
video/mpeg(MPEG動畫)
application/octet-stream(二進制數據)
application/pdf(PDF文檔)
application/(編程語言) 該種語言的代碼
application/msword(Microsoft Word文件)
message/rfc822(RFC 822形式)
multipart/alternative(HTML郵件的HTML形式和純文本形式,相同內容使用不同形式表示)
application/x-www-form-urlencoded(POST方法提交的表單)
multipart/form-data(POST提交時伴隨文件上傳的表單)
4.分析文件頭內容來檢查文件類型
與方法2不同,還有一種檢查類型的方式是使用對於文件內容的驗證機制,這種方法利用的是每一個特定類型的文件都會有不太一樣的開頭或者標志位。可以通過比如php的exif_imagetype()函數,一個通過這種方法來過濾的示例代碼如下:
if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
echo "File is not an image";
return;
}
也可以自己編寫函數來進行識別,圖片文件通常有稱作幻數的頭位元組,我們來看一下幾種圖片文件的幻數:
(注意!下面是二進制而不是文本格式的數據)
JPG
FF D8 FF E0 00 10 4A 46 49 46
GIF
47 49 46 38 39 61
(相當於文本的GIF89a)
PNG
89 50 4E 47
通過檢查頭幾位位元組,可以分辨是否是圖片文件
如果是其他類型的二進制文件,也有響應的頭位元組,如下表
反制
給上傳腳本加上相應的幻數頭位元組就可以,php引擎會將
(一般不限制圖片文件格式的時候使用GIF的頭比較方便,因為全都是文本可列印字元。)
GIF89a
do_something();
?>
如果是其他類型的二進制文件,也有響應的頭位元組,如下表
格式
文件頭
TIFF (tif)
49492A00
Windows Bitmap (bmp)
424D
CAD (dwg)
41433130
Adobe Photoshop (psd)
38425053
Rich Text Format (rtf)
7B5C727466
MS Word/Excel (xls.or.doc)
D0CF11E0
MS Access (mdb)
5374616E64617264204A
ZIP Archive (zip),
504B0304
RAR Archive (rar),
7221
Wave (wav),
57415645
AVI (avi),
41564920
Real Media (rm),
2E524D46
MPEG (mpg),
000001BA
MPEG (mpg),
000001B3
Quicktime (mov),
6D6F6F76
Adobe Acrobat (pdf),
255044462D312E
Windows Media (asf),
3026B2758E66CF11
MIDI (mid),
4D546864
5.限制Web Server對於特定類型文件的行為
導致文件上傳漏洞的根本原因在於服務把用戶上傳的本應是數據的內容當作了代碼,一般來說,用戶上傳的內容都會被存儲到特定的一個文件夾下,比如我們很多人習慣於放在 ./upload/ 下面要防止數據被當作代碼執行,我們可以限制web server對於特定文件夾的行為。
大多數服務端軟體都可以支持用戶對於特定類型文件的行為的自定義,以Apache為例:
在默認情況下,對與 .php文件Apache會當作代碼來執行,對於 html,css,js文件,則會直接由HTTP Response交給客戶端程序對於一些資源文件,比如txt,doc,rar等等,則也會以文件下載的方式傳送的客戶端。我們希望用戶上傳的東西僅僅當作資源和數據而不能當作代碼
因此可以使用伺服器程序的介面來進行限制
以Apache為例,我們可以利用 .htaccess 文件機制來對web server行為進行限制
在這里插一句,如果不是專門的文件下載目錄,請務必關掉文件夾瀏覽的許可權,以防止嗅探和可能的越權,也是使用.htaccess文件,在其中加上一句
Options All -Indexes
即可。
禁止腳本執行有多種方式可以實現,而且分別有不同的效果,我們分別來看一下
1.指定特定擴展名的文件的處理方式,原理是指定Response的Content-Type可以加上如下幾行
AddType text/plain .pl .py .php
這種情況下,以上幾種腳本文件會被當作純文本來顯示出來,你也可以換成其他的Content-Type
2.如果要完全禁止特定擴展名的文件被訪問,用下面的幾行
Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi識別
在這種情況下,以上幾種類型的文件被訪問的時候,會返回403 Forbidden的錯誤
3.也可以強制web伺服器對於特定文件類型的處理,與第一條不同的是, 下面的方法直接強行讓apache將文件識別為你指定的類型,而第一種是讓瀏覽器
ForceType text/plain
看代碼就可以很明白的知道,符合上面正則的全部被認為是純文本,也可以繼續往裡面加入其他類型。
4.只允許訪問特定類型的文件
order deny,allow
deny from all
在一個上傳圖片的文件夾下面,就可以加上這段代碼,使得該文件夾裡面只有圖片擴展名的文件才可以被訪問,其他類型都是拒絕訪問。
這又是一個白名單的處理方案
永遠記得,白名單是最有保障的安全措施
可以通過 move_uploaded_file 函數把自己寫的.htaccess 文件上傳,覆蓋掉伺服器上的文件,來定義文件類型和執行許可權如果做到了這一點,將獲得相當大的許可權。
⑶ 別人的網站黑客是怎麼入侵的呢
樓上的朋友麻煩你別去復制別人的東西 你不覺得可恥嗎? 入侵網站是這幾個步驟 分析 掃描 找漏洞 找口令或者爆破賬號密碼 上傳木馬 的到管理員許可權 種植後門!
⑷ 利用IISPUT漏洞上傳木馬,獲取webshell
利用IISPUT漏洞上傳木馬,獲取webshell。
1.掃描目標埠發現80埠,開放IIS服務。
2.這里利用IISPUT漏洞的專用工具iiswrite來進行漏洞利用:
(1)選擇options方法探測主機所支持的請求方法
發現支持put和move方法即可進一步進行漏洞利用。
(2)選用PUT方法上傳muma.txt文件,裡面內容為一句話木馬。
上傳成功後,選用move方法將test.txt文件改名為shell.asp文件,即可成功獲取webshell。
使用菜刀鏈接webshell地址。
⑸ 內網滲透之ms17-010
在內網滲透時,通常掛上代理後。在內網首先會打啵ms17-010。在實戰中,使用msf的ms17-010模塊,數次沒有反彈成功。基於此,到底如何成功利用ms17-010
在msf成功接收session之後,添加路由
然後使用ms17-010相關的模塊進行探測是否存在該漏洞。
嘗試利用
LHOST配置為公網IP
可以看到success。漏洞是可以利用的,但始終沒有session。不知道什麼原因。
參考資料: 利用公網Msf+MS17010跨網段攻擊內網
筆者在本地搭建環境,也是同樣的結果。嘗試更改payload為
bind_tcp攻擊者去連接,容易被防火牆和殺毒發現
可以成功生成session,但並不穩定,且在run的過程中非常容易導致本來的session died
在實際使用msf的ms17_010_eternalblue模塊時,筆者觀察到有幾個弊端。
1.session 很容易died
2.ms17_010_eternalblue模塊利用起來非常耗時
3.無法利用成功
有大佬推薦使用原始的fb.py。但配置起來感覺麻煩一些。
所以。筆者從i春秋上找到一個輕便的方程式漏洞利用工具。
參考資料: 萌新初試MS17-010方程式漏洞
工具使用起來很簡單。只需要msfvenom生成一個x64或x86的dll文件,替換該工具下的x64.dll或x86.dll 。再依次點擊Eternalblue、Doublepulsar 的Attack即可。在Attack的時候,調用x64.dll動態鏈接庫,反彈到公網IP。原理和fb.py一樣。
筆者通過ew代理進內網後,在跳板機上上傳了方程式漏洞利用工具、網安永恆之藍檢測工具。兩者結合,威力巨大。成功利用ms17-010
對於windows server 2008 ,msfvenom生成x64.dll文件
msf配置
將該x64.dll替換到方程式利用工具下面。
只需要更換目標的IP,就可以獲取session。
對於windows server 2003 ,msfvenom生成x86.dll文件
msf配置
進一步利用的一些命令
實際測試發現這種session非常穩定。不會輕易go die
實際測試server 2003的ms17-010時,有時候多次執行後msf就接收不到session,而且ms17-010利用時,脆弱的server 2003非常容易藍屏。
所以筆者選擇一種穩定可靠一些的辦法。
先通過ms17_010_commend模塊執行系統命令添加用戶至管理員。再指定SMBPass和SMBUser來建立windows可訪問命名管道[accessible named pipe]
參考資料 Metasploit 「永恆之藍」兩種模塊的利弊
system的許可權可以直接激活guest用戶添加管理員組。
注意:使用ms17_010_psexec需要指定管理員的用戶名、密碼,否則沒有session
同樣的操作,載入mimikatz,讀取管理員密碼。