前言：這是作者學(xué)習(xí)過程中的部分筆記，歡迎大佬指出問題，文章中的靶場環(huán)境均為自己搭建

聲明：該筆記只是為了技術(shù)交流，文章中所有的操作請在自己搭建的靶場中復(fù)現(xiàn)。請勿用于其他非法用途，更不要用于攻擊他人電腦和服務(wù)器。文章未經(jīng)作者授權(quán)，禁止轉(zhuǎn)載。

ps:B站什么時候可以支持MD文檔啊?。?！

? ? （投稿里還有js的代碼檢查，為啥不搞一個代碼塊模塊啊，連xss注入的實(shí)例代碼都不讓放，寫文檔有點(diǎn)麻煩啊?。。。?/p>

實(shí)驗設(shè)備：

win service 03: ip 192.168.0.200（虛擬機(jī)設(shè)備，提供靶場環(huán)境）

win 10: ip 192.168.0.1（物理機(jī)，進(jìn)行滲透測試 ps:實(shí)戰(zhàn)建議不直連）

訪問目標(biāo)網(wǎng)址（192.168.0.200:8043， 對應(yīng)實(shí)戰(zhàn)上傳）

進(jìn)入網(wǎng)頁后，先判斷一下搭建網(wǎng)站的容器。

直接檢查網(wǎng)頁元素，查看net信息（一般需要刷新一下網(wǎng)頁才會顯示響應(yīng)信息）。查看響應(yīng)頭中的server信息，知道了是iis6.0的版本（實(shí)戰(zhàn)環(huán)境中一般會隱去這些信息，需要通過其他方式判斷，比如頁面保存版本或AWVS直接掃）。

知道了服務(wù)器信息，就可以開始走流程了，直接上御劍掃網(wǎng)站，看看能爆出一些什么目錄。

稍微瀏覽一下網(wǎng)頁，判斷一些可能存在的漏洞：

1.SQL注入漏洞

隨便找了一些目錄訪問圖片，發(fā)現(xiàn)url上存在"?id=21"，判斷該位置存在SQL注入。復(fù)制url，丟給sqlmap跑一下，試試看能不能搞點(diǎn)數(shù)據(jù)庫的信息出來。

剛開始跑就提示網(wǎng)站有waf攔截了，還建議握用sqlmap的tamper模塊，不過既然都是模擬一次實(shí)戰(zhàn)，那還是少借助一點(diǎn)自動化工具，嘗試手工注入（看看能不能繞過waf攔截）。

2.可能存在的xss漏洞

我們在導(dǎo)航欄發(fā)現(xiàn)了在線留言的標(biāo)簽，一般來說，這種界面都會有表單提交的地方，這里可能存在xss漏洞

進(jìn)入界面后，發(fā)現(xiàn)了表單提交的位置。可以簡單測試一下是否有xss漏洞。

提交后，界面并沒有出現(xiàn)任何提示，估計存在代碼過濾，可以嘗試閉合標(biāo)簽來執(zhí)行js，這里暫時不繼續(xù)嘗試。

手工嘗試sql注入

瀏覽界面后，發(fā)現(xiàn)這些界面并沒有太多可操作的地方，就先嘗試進(jìn)行sql注入。隨便找一個url存在"?id="的界面開始進(jìn)行手工注入。

首先是經(jīng)典的注入點(diǎn)判斷

' ? ?-0 ? ?and 1=1

好了，現(xiàn)在都出現(xiàn)防注入提示了，看來這個位置確實(shí)可以進(jìn)行sql注入，只要能夠繞過waf就可以對數(shù)據(jù)庫的信息進(jìn)行爆破了。

甚至還有記錄ip的界面提示（難道不應(yīng)該悄悄的記錄ip然后封掉嗎，哈哈），幸好我現(xiàn)在只是自己的靶場環(huán)境，要是實(shí)戰(zhàn)，估計得使用ip代理池了。再分析一下界面反饋的信息，提交數(shù)據(jù)里面反饋了我們常用的sql注入點(diǎn)判斷的符號，感覺是用黑名單的方式過濾字符，可以試試其他的敏感字符。

測試一番后，發(fā)現(xiàn)常用的字符全都被ban掉了，那么只有開始嘗試經(jīng)典的sql繞過了。

既然開始sql繞過，那么我們可以選擇使用firefox便攜滲透版（方便進(jìn)行字符編碼）。

嘗試大小寫無果，選擇同時使用大小寫和url編碼

結(jié)果依舊攔截。

嘗試二次編碼繞過，發(fā)現(xiàn)字符黑名單里還有“%”，看來這個代碼防護(hù)還是比較到位的。后續(xù)又嘗試加入垃圾字符干擾識別，超出waf攔截長度，內(nèi)聯(lián)注釋注入，均無法實(shí)現(xiàn)繞過。初步判斷對字符串的識別是整體識別的情況，出現(xiàn)敏感字符就進(jìn)行攔截。

繼續(xù)嘗試，%0a %00 %0b 對關(guān)鍵字進(jìn)行截斷。

%0a :使用%0a進(jìn)行截斷成功，但是sql語句中并沒有將這個空格給拼接起來，或許是數(shù)據(jù)庫版本問題，導(dǎo)致最終and變成了a nd，雖然繞過了waf，但是并不能正常執(zhí)行sql語句 %00 :使用%00進(jìn)行截斷成功，但是文件對后續(xù)內(nèi)容也進(jìn)行截斷了。相當(dāng)于只獲取到了%00之前的字符，自然被截斷的關(guān)鍵字沒有被waf檢查，但是由于字符不完整也不能在sql里執(zhí)行 %0b :使用%0b進(jìn)行截斷成功，成功繞過了waf，但依舊不能正常執(zhí)行，甚至報錯顯示中也出現(xiàn)了完整的sql注入語句，但依舊不能正常執(zhí)行，暫時不知道原因

上述的提交方式都是get，我們嘗試一下用post進(jìn)行提交（勾選firefox的post data選項，變換提交方式）。重復(fù)上述操作，發(fā)現(xiàn)存在和get一樣的敏感詞檢測?？磥韕ost這條路也不太好走，所以選擇最后一種cookie注入。但是目前的界面并不存在需要cookie的情況。

御劍目錄掃描分析

剛進(jìn)入網(wǎng)站的時候，我們就使用御劍進(jìn)行目錄掃描，現(xiàn)在看看有些什么東西。

筆者的掃描字典比較小，字典越大掃描出來的信息越多。當(dāng)然這只是一次簡單的模擬，所以這些信息也足夠了。我們分析一下這些網(wǎng)頁目錄，看看有哪些是比較有用的東西。瀏覽一圈過后，我們將目標(biāo)鎖定在了

/database、/user、/inc、/myadmin

這幾個目錄明顯里面還有內(nèi)容，并且可能存在敏感信息，所以我們選擇對這幾個目錄進(jìn)行二級目錄掃描。

掃了幾個目錄后都沒發(fā)現(xiàn)什么有用的東西（還是得大字典才能多掃點(diǎn)東西出來），直到對/myadmin進(jìn)行掃描后，我們獲得了一些有趣的信息。

從掃描出來url，我們可以嘗試猜測

/upfile.asp、upload_flash.asp是和文件上傳有關(guān)的網(wǎng)頁，該網(wǎng)頁可能存在文件上傳漏洞；

/admin_login.asp可能是一個管理員登陸界面，我們可以嘗試登陸后臺；

/ewebeditor.asp可能是一個編輯器，我們可以看看是否存在編輯器漏洞；

根據(jù)掃描出來的url，我們逐個去訪問看看是否存在可利用的漏洞。

一番瀏覽過后，我們找到了一些有意思的界面，這些界面都存在交互的地方，既然有交互，那么我們就有操作的機(jī)會了。

文件上傳界面，看來有機(jī)會傳圖片馬上去。

編輯器界面，低版本的編輯器說不定有exp可以直接秒。

找到登陸界面了，說不定有弱口令密碼，和一些繞過的機(jī)會。

一個文件上傳的界面，雖然沒有提交按鈕，或許我們可以直接上傳asp腳本文件。

一個編輯器的管理員登陸界面，如果能夠進(jìn)入，那么我們就可以修改編輯器的文件限制了。

既然發(fā)現(xiàn)了這些界面，那么我們首先嘗試上傳圖片是否有提權(quán)的可能。

上傳圖片馬

先淺淺的試一下，這個上傳界面能否正常使用。我們先選擇一張正常的圖片上傳。

結(jié)果返回該界面提示，很奇怪，連正常的jpg圖片都不能上傳。我們使用burpsuite抓包看看，是否有其它的文件允許上傳。

我們將抓到的包轉(zhuǎn)發(fā)到repeater中，點(diǎn)擊“send to repeater”.

修改filename中的文件后綴，看看允許哪些文件上傳。

幾番嘗試過后，好像所有文件都不允許上傳，甚至txt也不可以。難道這個上傳接口是用來迷惑入侵網(wǎng)站的人員的？我們再分析一下包頭數(shù)據(jù)

目標(biāo)鎖定在filepath和filelx上，filepath是文件存儲路徑，“/”代表存儲在根目錄中，filelx又是用來干什么的呢？百度一下，這好像也是用來驗證文件類型的，我們在下面添加“jpg”以允許圖片上傳

再次嘗試上傳圖片，send修改后的數(shù)據(jù)包

現(xiàn)在圖片能夠正常上傳了。

為了防止這個反饋信息是用來迷惑我們的，所以我們選擇復(fù)制該文件路徑嘗試訪問一下

ok，現(xiàn)在圖片也能正常訪問，那么我們可以開始嘗試上傳圖片馬了。

依舊是使用burpsuite進(jìn)行抓包，在repeater中對數(shù)據(jù)包進(jìn)行修改。

從這個位置往下，都是圖片的數(shù)據(jù)信息，我們選擇在數(shù)據(jù)的末尾插入一句話木馬

<%eval request("c")%> ? //asp的一句話

當(dāng)然，直接這樣是無法使用一句話木馬的，因為服務(wù)器默認(rèn)該文件為jpg，所以會以jpg的格式解析該文件，那么我們的一句話就不會起作用。因此，我們需要借助一些文件解析漏洞，來誘導(dǎo)服務(wù)器將我們上傳的文件以腳本的格式進(jìn)行解析。

還記得我們之前發(fā)現(xiàn)的服務(wù)器容器嗎？iis6.0存在目錄解析漏洞，filepath的路徑繞過。我們嘗試從filepath進(jìn)行繞過。

原來的filepath為“/”，即根目錄

我們將其修改為“/a.asp;”，由于服務(wù)器存在的解析漏洞，在解析文件時將不會識別“;”后的字符。所以服務(wù)器會將文件以.asp的格式進(jìn)行解析，但上傳文件時又是.jpg的后綴，可以正常上傳文件。

我們send一下修改后的數(shù)據(jù)包，

文件名以我們期望的方式出現(xiàn)了，復(fù)制一下路徑，訪問看看

網(wǎng)站沒有正常顯示圖片，而是一些亂碼，看來依舊成功讓服務(wù)器以腳本的格式解析我們上傳的文件了。還記得我們在圖片數(shù)據(jù)最后加的一句話木馬嗎，復(fù)制該網(wǎng)頁的路徑，打開菜刀連接該網(wǎng)頁。

“c”為一句話中request的請求字符（可自定義），選擇腳本類型后，添加shell

現(xiàn)在已經(jīng)成功用菜刀連接到這個網(wǎng)站了，如果網(wǎng)站有足夠的權(quán)限，我們甚至可以瀏覽整個服務(wù)器的文件

雙擊剛才在菜刀中添加的shell，進(jìn)入以下界面

好像我們可以訪問整個服務(wù)器上的文件了，也就是win server03靶機(jī)上的所有文件。

到這一步，基本上后續(xù)的提權(quán)也不算困難了，因為我們可以借助菜刀直接向網(wǎng)站上傳文件，無論是大馬還是利用msf生成payload，都可以很輕松的上傳我們的攻擊文件，后續(xù)操作就不描述了，因為這次靶場模擬主要是為了練習(xí)部分的web滲透技能。

一些練習(xí)的反思

ps:菜刀其實(shí)有幾個上位替代，比如蟻劍、冰蝎、哥斯拉，感興趣可以用一下試試，筆者主要是為了練習(xí)技能，所以滲透工具并不是都用的最新的

SQL注入繞過

在上述的繞過中，我們其實(shí)沒有實(shí)現(xiàn)sql注入攻擊（雖然最終還是成功獲取了shell），因為有個waf攔截一直沒有找到繞過的方法。既然現(xiàn)在已經(jīng)完成了靶場，那么我們來分析一下源代碼，看看這個防注入的代碼思路。

完整代碼筆者就不展示了，這里給一下關(guān)鍵代碼截圖。

果然，防御是黑名單的防御措施，直接對輸入的字串進(jìn)行過濾，出現(xiàn)敏感字符就直接攔截報錯。代碼中post和get使用的是同一種防御機(jī)制，但是沒有進(jìn)行cookie防御，也就是說，存在cookie注入。那么我們在表單提交需要使用cookie的時候就可以進(jìn)行cookie注入，獲取部分信息。

當(dāng)然，最重要的還是waf繞過，不過筆者并不是很了解asp腳本代碼，暫時不知道如何繞過，后續(xù)研究清楚后會嘗試能否有好的姿勢繞過。

關(guān)于御劍掃描結(jié)果的利用

其實(shí)除了上述提到的目錄，御劍掃描還有一些其他的有用信息

各位是否注意到了這幾個url后綴-- .mdb

這幾個是典型的數(shù)據(jù)庫文件，通過直接訪問（如果網(wǎng)站管理員沒有設(shè)置訪問權(quán)限的話），我們可以下載.mdb文件

該靶場中，我們沒有限制文件下載。所以我們將.mdb文件下載到本地，借助某些工具打開（比如輔臣）

在數(shù)據(jù)庫沒有設(shè)置密碼的情況下，我們可以直接查看數(shù)據(jù)庫的信息

例如System這個表中，就存儲著管理員信息（當(dāng)然，根據(jù).mdb的名字，這個數(shù)據(jù)庫是編輯器的數(shù)據(jù)庫）。里面的一些信息很明顯是md5加密過的，借助md5解密網(wǎng)站，可以獲取相應(yīng)的明文信息。

拿到明文信息后，我們可以嘗試登陸一下編輯器后臺

還記得我們之前掃出來的一個編輯器管理員登陸界面嗎

url:http://192.168.0.200:8043/myadmin/Editor/admin_login.asp

登陸成功，果然我們拿到的是編輯器的數(shù)據(jù)庫。進(jìn)入編輯器后臺

我們現(xiàn)在可以對編輯器進(jìn)行一些操作，使得我們可以上傳一些文件，修改一些設(shè)置，更方便我們獲取網(wǎng)站權(quán)限。

所以目錄掃描還是得大字典，這樣信息獲取的更多，攻擊點(diǎn)也更多。