Home אבטחת מידעPenetration Testing - Offense ביצוע SQLi | XSS ו LFI בVlunhub

ביצוע SQLi | XSS ו LFI בVlunhub

by Tal Ben Shushan 17/05/2019 0 comment
ביצוע SQLi | XSS ו LFI  בVlunhub
כל הזכויות שמורות לטל בן שושן – Shushan.co.il

SQL Injection & XSS

כמו שהסברתי במאמרים קודמים האתר, נוכל לבצע הזרקת SQL , זאת אומרת שנזריק מידע לבסיס הנתונים על מנת לייצא סיסמאות או מידע כמו רשימת משתמשים ומיילים מבסיס הנתונים.

תחילה על מנת לבצע את SQLI ו XSS אנו נשתמש במכונה קטנה יחסית בשם Pentester Lab: XSS and MySQL FILE את ההורדה בצעו מכאן

את ההורדה של המכונה יש להוריד מהקישור הבא
יש לטעון את המכונה ע”י vMware Workstation
המכונה מקבלת DHCP מכרטיס הרשת החיצוני שלכם.

דרישות

  • Kali
  • xss and mysql file

כעת כשהמכונות דלוקות, נכנס לKali ונקיש את הפקודה

netdiscover -r 192.168.47.0

נוכל לבצע סריקה של nmap על מנת לאתר שירותים

namp -Pn -sSV -p1-65535 -oN /root/SQL_XSS.txt 192.168.31.153

נקבל תוצאה שפורט 80 פתוח ונכנס לכתובת 192.168.31.153 ונגיע לאתר

נבדוק האם ניתן לבצע XSS על ידי הסקריפט המוכר

אם נקבל פופ-אפ, אז ניתן לבצע XSS

על מנת שנוכל להוציא את ה Cookie ולבצע Hijack Cookie Session, נצטרך לכתוב סקריפט שבו נשתמש, ניתן לו את השם index.php ונכניס אותו לנתיב

/var/www/html/

נכניס לקובץ

הפקודה בעצם מבצעת ל cookie את ה GET והשם של המשתנה שהוא ה Cookie קראתי לו tal

כעת נכבה את apache על מנת שנוכל להפעיל את הכלי php עצמו

כעת נפעיל את php עם האופציה S שתציג לנו את המידע שמתקבל

כעת נקיש באתר את הסקריפט שיוציא לנו את ה Cookies של כל מי שמחובר לאתר ונלחץ על sumbit

כעת נמתין למשתמשים באתר (במעבדה זו בעצם מבוצע כל כמה דקות, סוג של התחברות של admin של מנהל המערכת, ולכן כל כמה דקות נקבל Cookie אחר של מנהל המערכת

נוריד ל Firefox של Kali את האפליקציה Cookie-Editor בכדי “להזדהות” ע”י הCookie של מנהל המערכת ולזייף את הגישה שלו

נחזור לאתר ונלך לפאנל המנהל (בצד ימי למעלה)

כעת נשתמש ב Cookie-Editor ונחליף את ה Cookie הקיים במה שקיבלנו בסקיפט XSS

נבצע רענון למסך, והופ, אתם מוגדרים כמנהלים, כמובן שבצעתם כאן Cookie Session Hijack

SQLi

ניתן להבחין שאם נבצע Edit נוכל לערוך את הפוסטים באתר

ניקח את הכתובת שבפדפן בדיוק גם איפה שעורכים את הפוסט שהוא POST

נקיש את הפקודה הבאה, הפקודה הזו משלבת את הכלי SQLMAP שהוא כלי לביצוע SQL Injection באופן יחסית אוטומטית ודיי פשוט

ובשימוש של Cookies של מנהל המערכת, נוכל לבצע את הבדיקה האם ניתן לבצע SQLI שכן עם הרשאות אלו ניתן לכתוב לDB

SQLMAP יתחיל לרוץ, לחצו Enter על שאלה

כעת נראה שכן יש אפשרות ל SQLI ולכן נוכל להוסיף את האופציה Dump שבאופן אוטומטי תייצא את כל הטבלאות ובסיס הנתונים ואם יש שמות משתמשים וסיסמאות, המערכת תנסה להוציא גם אותם

בסיום נקבל את המידע שזה כן הצליח ואפילו שם המשתמש והסיסמא של מנהל המערכת

אם הוא שואל על Brute Force סמנו לו Y

בסיום נקבל את המידע על הטבלאות שהוא ייצא והשם משתמש והסיסמא של מנהל המערכת

אופציה שניתן אולי לקבל אם SQLI עובד הוא לקבל גישת Shell, הפקודה היא

לא בטוח שזה יעבוד אבל שווה תמיד לנסות

LFI

LFI הוא קיצור של Local file inclusion והוא התקפה שבה התוקף מנסה לגשת לקבצים במערכת דרך מערכת ה Web ובכך לגשת אליהם או לבצע בהם שינויים

לדוגמה מתוך האתר לגשת אחורה /../../../ נאמר 3 פעמים כך שמ/var/www/html נגיע ל / שזו התקייה הראשית של המערכת, פעולה זו לא עובדת בכל מצב כמובן, רק כאשר המערכת הוגדרה להציג קבצים מתוך המערכת וזו חולשה חמורה ביותר

במעבדה זו עליכם להוריד את המערכת הבאה

PHP Include And Post Exploitation

טענו אותה והפעילו אותה ב vMware Workstation

כעת בצעו את אותה הסריקה כמו קודם עם netdiscover

netdiscover -r 192.168.31.0

התוצאה, זה המכונה שלנו

נוכל להכנס ישירות מהדפדפן אל המערכת (נזין את כתובת ה IP) או שנוכל לבדוק עם nmap

namp -Pn -sSV -p1-65535 -oN /root/LFI.txt 192.168.31.87

נגיע לאתר הבא

נבדוק על ידי סריקה מהירה של Nikto אם יש דבר מה מעניין

נוכל להבחין שהוא זיהה שניתן לבצע מתקפת LFI

נעתיק את השורה הראשונה שמורה על האפשרות של LFI

נקיש אותו בדפדפן

נראה שנקבל שגיאה, נוכל להוסיף %00 שזה בעצם יסיים את הפקודה, ונבדוק שוב

נקבל כעת רשימה של כל המשתמשים בשרת זה

PHP Upload Explotion

כעת נבצע PHP Upload Explotion, זאת אומרת שעל ידי העלאה של קובץ PHP נוכל לקבל גישת Meterprter או Shell אל השרת

נוכל לרשום בגוגל php reverse shell

או לאתר הראשון בתוצאות (קישור ישיר כאן)

נוריד את הקובץ ונעתיק את הטקסט, בתוך הטקסט עליכם לשנות את הכתובת IP שאליו יחזור (הכתובת של Kali שלכם)

נוסיף לתחילת הקובץ את השורה

%PDF-1.4

זה בעצם, “ירמה” את המערכת העלאות, כאילו הקובץ הזה הוא קובץ PDF

כעת אשנה את השם של הקובץ למשו יותר קצר

נחזור לאתר, נלחץ על Browse ונבחר בקובץ ה PHP שלנו

לאחר שהקובץ עלה,אנו לא יודעים לאיפה הוא עלה, לכן נוכל להשתמש בDirbuster

לחצו על כפתור ה Windows במקלדת וחפשו Dirbuster

נטען אליו את קובץ big.txt שניתן להוריד מכאן

בסיום הסריקה נבחין בתיקיית Uploads שהכי הגיוני שלשם יעלה הקובץ

אצלכם זה תקין וצריך להיות הקובץ php.pdf

אוכל לפתוח Netcat בפורט 1234 (בדיוק כמו בקובץ ה PHP שלנו) ולהאזין לתקשורת שתכנס

כעת נפעיל את הקובץ עם הסקריפט הזדוני שלנו

כעת קיבלנו גישה למערכת

מאמרים קשורים

Leave a Comment