渗透测试公司实战注入攻击拿下客户网站

简介: 近来,利用sql注入、xss和文件上传漏洞,成功getshell的一个客户网站(必须要拿到客户授权渗透测试许可证明才可以,不得违法入侵),这里简单记录一下整个过程,与大家分享。收集信息,查找漏洞。第一步就是进行信息收集,经过一轮的收集,发现这个网站租的是香港的服务器,没有waf文件;从网站的界面看,这个网站是用cms搭建的,搭建的环境是Iis10.0+php,同时通过目录扫描工具发现了一些网站的目录,但没有找到后台登录地址(这肯定是网站管理员隐藏了后台的地址)。

近来,利用sql注入、xss和文件上传漏洞,成功getshell的一个客户网站(必须要拿到客户授权渗透测试许可证明才可以,不得违法入侵),这里简单记录一下整个过程,与大家分享。收集信息,查找漏洞。第一步就是进行信息收集,经过一轮的收集,发现这个网站租的是香港的服务器,没有waf文件;从网站的界面看,这个网站是用cms搭建的,搭建的环境是Iis10.0+php,同时通过目录扫描工具发现了一些网站的目录,但没有找到后台登录地址(这肯定是网站管理员隐藏了后台的地址)。

0b7b02087bf40ad1a68b409d5600bcd8a9ecce11.jpeg

然后,寻找漏洞,个人一般都是从寻找带有XSS漏洞的sql注入开始,打开网站,burp打开,进入XSS漏洞平台,打开寻找漏洞的途径。第一步是将XSS平台生成的XSS代码,在有输入的地方粘贴,然后集中精力寻找sql注入漏洞(对于不带waf的站点,存在SQL注入)在通过burp之后,就可以开始浏览网页,找出可能存在sql注入的任何地方,只要有project,就可以尝试一下。再经过一测试,发现经常出现sql注入漏洞的登录界面,登录界面都没有sql注入过。太难!!然后继续查找,最后发现存在sql注入的地方。


然后使用burp抓包,把包放进sqlmap中运行,确实存在SQL注入。借助漏洞,顺利拿到了网站所有的表名,也拿到了管理员的账号密码,运气也不错,居然把管理密码给解了(估计这个网站用的是某个老CMS)。下一步需要找到后台地址,开始查找数据库中的一个表,发现其中有一个表记录了网站所有操作的内容,利用--dump下载下来后,终于找到了后台地址,果然后台地址不在我那本强大的字典里(默默地把这个地址写进字典去)。


241f95cad1c8a7869196a715b2207c3a70cf501a.jpeg


至此,有了管理员账号和密码,有了后台地址,于是我高兴地打开后台登录界面,准备登录后台,继续撸。可是,事与愿违,居然有一个验证码不要慌张,我首先想到的是找数据库,只要认证码在数据库里,肯定可以找到的。最后的结论是,数据库里没有。太南来了经爆破等几次尝试,都失败了,看起来这个认证码还没有解决,现在是无法进入后台。那时已经是午夜时分,我们先休息。利用漏洞,获得webshell。次日醒来,进入XSS平台,惊喜连连。XSS直接提供给管理员cookie。


使用捕获的cookie,结合burp成功在后台登录,绕过了认证码。到后台去看了一下觉得有用的数据,看了一下会员人数,反正这个货足够了,一定会完蛋的。然后,找上传点,试着拿到webshell,又是一遍又一遍,找出文件的上传漏洞(果然,后台的防护是弱一点)。使用burp修改后缀名,上传图片马,成功绕过前端验证,同时返回文件路径。访问成功,并输入上载文件的地址。


7aec54e736d12f2eedd13f639aeb60658435688a.jpeg


取出蚂蚁之剑,顺利连接成功,webshell到手。不甘的自己,又找出认证码看了看,然后又默默地加入到字典里,顺便把资料也连起来,随时可以看,方便。总结战果。信息收集很重,必要的步骤,收集的信息越多,思想就会越开阔;二是利用sql注入漏洞,进入数据库获取关键数据,配合XSS抓cookie到后台,然后利用文件上传漏洞,拿下webshell,客观来说,这个CMS的非法使用已经有几年了,导致安全性不高,所以能比较顺利的抢走;最后一点最重要,违法的事是不能做的!如果想对网站进行渗透测试服务可以寻求网站安全公司的帮助,目前做的不错的如SINESAFE,鹰盾安全,大树安全,非凡盾科技都是对网站安全测试有实战经验的公司。

相关文章
|
7天前
|
Java 测试技术 Maven
JAVA单元测试概念与实战
单元测试是软件开发中的一个测试方法,用于验证软件代码中最小的、独立的单元是否按照预期工作。在Java中,这通常指的是单个的方法或者一个类的个别功能。单元测试的目的是隔离代码的每个部分,并确保各个部分是正确的。
26 4
|
2月前
|
监控 数据可视化 Java
jvm性能调优实战 - 31从测试到上线_如何分析JVM运行状况及合理优化
jvm性能调优实战 - 31从测试到上线_如何分析JVM运行状况及合理优化
38 1
|
3月前
|
机器学习/深度学习 人工智能 算法
软件测试/人工智能|人工智能与自动化测试结合实战-探索人工智能在测试领域中的应用
软件测试/人工智能|人工智能与自动化测试结合实战-探索人工智能在测试领域中的应用
68 0
|
11天前
|
测试技术 API Python
Python自动化测试:unittest与pytest的实战技巧
Python自动化测试:unittest与pytest的实战技巧
|
1月前
|
前端开发 测试技术 Android开发
自动化测试学习网站
自动化测试学习网站
|
1月前
|
敏捷开发 测试技术 持续交付
几个有用的测试网站
几个有用的测试网站
|
1月前
|
SQL 安全 测试技术
面试题10: 如何测试一个网站?
面试题10: 如何测试一个网站?
|
2月前
|
API 数据安全/隐私保护
如何使用Postman 测试Https 网站?
如何使用Postman 测试Https 网站?
|
2月前
|
数据采集 测试技术 网络安全
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
|
6月前
|
数据采集 算法 测试技术
深聊性能测试,从入门到放弃之:Locust性能自动化(二)代码实战
深聊性能测试,从入门到放弃之:Locust性能自动化(二)代码实战
138 1