漏洞入侵：扫描和发现Web弱点漏洞获取数据库

通过外部信息搜集、主机存活判定和端口扫描，我们基本摸清楚企业服务器的基本情况，接下来我们将访问此企业的门户网站，去发现网站存在的漏洞，因为一些管理员的不正当服务器配置和代码编写者代码的逻辑错误，很容易导致黑客通过网站去发现存在的漏洞，进行密码盗取、木马文件上传、Cookie注入、数据库下载等， 2011年著名的安全事件SONY信息泄露，著名的黑客组织anonymous组织入侵SONY的一个网站并且篡改了页面，之后又对PSN进行了DDOS拒绝服务攻击。

实验环境

Kail Linux x64

Windows XP

域名为自己虚构，如有雷同，那纯属巧合。

OWASP Zed网站漏洞扫描

OWASP Zed攻击代理(攻击)是世界上最受欢迎的免费安全工具,并积极维护由数百名国际志愿者。

1.打开OWASP Zed

2.输入目标网址

点击“攻击”按钮

3.可以看到OWASP Zed正在爬行

4.服务器的系统类型和网站存在的漏洞报警

5.点击展开可以看到的具体的漏洞网址

在右侧可以看到详细描述：

网页漏洞入侵

1.命令执行漏洞检测

由于服务器端没有针对用户构造的恶意函数进行过滤，导致在没有指定绝对路径的情况下就执行命令，最近著名的Apache Strust2漏洞，就是一个远程代码执行漏洞，在OWASP的前十名排行榜上，危害程度高。

在搜索框中，我们通过构造语句：ping 127.0.0.1 |netstat –an 并且使用了|隔断进行重定向，发现可以获取我们所需要执行上的结果，如图5-6所示：

2.CSRF跨站请求伪造检测

CSRF是通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

1.

输入BurpSuite进入BurpSuite欢迎界面：

2.

设置浏览器代理和BurpSuite一样的代理IP：127.0.0.1  Port：8080

设置如图：

3.

在对话框中提交数据123456，并抓取数据。演示界面如图：

当输入内容的时候，页面请求地址发给了服务器，这种存在Url中的请求方式叫做Get请求，在我们的请求过程中，密码以明文传输，并没有做任何加密，所以此处存在被跨站的可能性。

3.文件上传漏洞检测

文件上传漏洞简单地说就是用户上传了一个可以执行服务器能力的脚本，为什么用户可以上传脚本文件文件上传大概分为五种，如表所示：

类型	作用
JS验证	在客户端或者服务端添加过滤规则
服务端扩展名验证	采用黑名单机制来过滤用户上传的脚本文件
MIME验证	客户端软件，区分不同种类的数据
自定义目录路径	创建原本不存在的文件夹，配合解析漏洞
解析名漏洞	利用服务器本身存在的文件扩展名解析漏洞

1.

我们进行文件上传检测，访问网址：www.solar.com 发现上传点，如图所示：

2.

上传发现，只识别图片格式的文件，如图所示：

3.

我们开启BurpSuite代理，拦截数据，如图所示：

4.

修改hacker.php先改为为hacker.jpg，再次上传，如图所示：

5.

修改hacker.jpg为hacker.php并点击forward，如图所示：

6.

上传成功，如图所示：

4.XSS跨站脚本漏洞检测

一般跨站脚本攻击会存在留言板，搜索框部分，分为反射性和存储型，反射性一般是针对浏览器，最经典的莫过于XSS的经典弹窗，存储型XSS可以通过构建脚本语句，嵌入到url链接中去，进行转发获取当前用户cookie值，从而盗用用户身份。一般的我们在进行测试的时候都会使用xss测试语句使其出现弹窗，这样再构语句。

1.

输入测试语句<script>alert("xss")</script>，我们发现测试语句被转义，如图所示：

2.

我们使用构造闭合语句-!></SCRIPT>alert(‘xss’)</SCRIPT>，如图所示：

5.SQL注入获取数据库

因为程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。虽然SQL注入现在并不常见了，但是依然能看到SQL注入的事件发生我们登陆乌云漏洞平台，依然可以看到大大小小的SQL注入，如图所示：（乌云网已关闭，其中缘由相信大家都知道了，可以访问网络上公开的乌云原数据公开开镜像网站）

SQL注入常用工具SqlMap，SqlMap是一个开放源码的Sql注入渗透测试工具。SqlMap使用命令行带参数进行操作，参数释义如表所示：

参数	含义
-a	检索所有的内容
--current-db	列出当前使用的数据库名称
--dbs	扫描所有后台数据库
--tables	列出所有数据库信息
--roles	枚举用户
--columns	列出数据库表中的所有字段信息
--dump-all	列出所有用户表的内容

其实SQL注入并没有完全消失，而是变得更加高级，构造不同的SQL语法进行绕过，我们对www.solar168.com进行注入。

1.

打开浏览器进入www.solar168.com，查找注入点，发现网站为asp网站，对id值进行手工简单检测，输入’发现存在注入点，进行sqlmap自动注射，如图所示：

2.

获取服务器数据，如图所示：

sqlmap  -u "http://172.20.93.240/do/alonepage.php?id=2"，

3.

获取服务器所有数据库，如图所示：

sqlmap-u "http://172.20.93.240/do/alonepage.php?id=2" –dbs

4.

获取当前数据库，如图所示：

sqlmap -u "http://172.20.93.240/do/alonepage.php?id=2" --current-db

5.获取当前数据库的表，如图所示：

sqlmap-u "http://172.20.93.240/do/alonepage.php?id=2"-D ahszs–tables

6.

获取表中所有字段，如图所示：

sqlmap -u "http://172.20.93.240/do/alonepage.php?id=2" -D ahszs -T ahszs_members –columns

7.

查看字段里的内容，如图所示：

sqlmap -u "http://172.20.93.240/do/alonepage.php?id=2" -D ahszs -T  ahszs_members -C username,password –dump

8.

我们在信息搜集板块已经对网站的目录进行扫描，所以我们登陆后台，登录界面如图所示：

我们在使用扫描工具探测时，都是建立在被对方允许的情况下，如果量过大，会触发对方的报警系统和拦截系统，这里仅仅是做简单的思路演示，很多技巧千奇百怪，仍然需要学习和探索。

Python网站的漏洞检查

最近我们的一个测试问是否有针对Python代码的静态分析工具。他正在评审一个用python编写的网站应用，试图找出其中是否有高风险的问题。我不确定是否有方便使用并专注于python代码安全性的分析工具，因为大多数可用的工具都是专注于语法编译而不是安全性，也有一…