目标
1.给定一个已知ip地址web网站和一个网页后门webshell
2.通过nmap扫描,获取web网站开放的端口,开启的服务和操作系统信息
3.通过openvas扫描网络漏洞,分析web网站的类型(jsp,asp,php),端口,项目名称等
4.通过web网站上传漏洞(以jsp为例,可尝试,,upload_file.jsp等),上传网页后门webshell
5.通过本地入侵检测ossec,利用文件完整性功能来检测webshell,当上传webshell时能在ossec的日志中查看到新增文件的告警
6.通过网络入侵检测suricata,利用规则来检测webshell,访问webshell输入用户密码并点击登陆时,能在suricata的日志中看到WEB-ATTACKS webshell的告警
工具准备
1、honeydrive蜜罐工具
2、kali linux渗透测试工具
3、虚拟机virtualbox或vmware
4、网页后门webshell,名称为
环境搭建
1、在自己的pc机上安装虚拟机
2、虚拟机中导入honeydrive蜜罐,以virtualbox为例,打开菜单 管理--->导入虚拟电脑--->选择一个文件夹,如图
3、同样的方法导入kali linux渗透工具
4、虚拟机导入后可以先看看他们的描述信息,honeydrive描述可以看到,操作系统是基于xubuntu的,用户密码都是honeydrive,如图
5、同样的方法查看kali linux渗透工具,如图
6、两个虚拟机默认网络连接为桥模式,并且会自动获取ip地址,如果没有获取可以到后台输入ifconfig eth0 配置ip地址,最终的目标是保证两个虚拟机可以相互通信
7.开启虚拟机honeydrive,如图
8.打开honeydrive的终端,输入sudo ./Desktop/,密码为honeydrive,如图
9.开启虚拟机kali linux,如图
10.打开kali linux 的终端,如图
11、通过在终端输入ifconfig命令来查看ip地址,如图
12、上图可知honeydrive的ip地址为172.16.20.3,kalilinux的ip地址为172.16.23.31,在kalilinux上ping一下honeydrive的ip地址,如图结果则表示两个虚拟机正常通信
步骤
1、nmap扫描
开放的端口和开启的服务nmap -Pn 172.16.20.3
操作系统信息nmap -O 172.16.20.3
2、openvas扫描
在kalilinux中启动openvas,如图
打开kalilinux的浏览器,输入https://127.0.0.1:9392弹出登陆框,用户密码都是admin
在首页输入要扫描的ip地址,点击start scan按钮,如图
扫描结果分析,分别点击扫描报告中的Apache Tomcat Version Detection和Directory scanner,可以分析出web服务类型是tomcat,后缀一般为jsp,项目名称为test,如图
3、webshell上传
在自己的pc机上打开网页访问http://172.16.20.3:8080/test/,如图
上传漏洞利用,尝试输入,,upload_file.jsp等,默认我放了一个的上传页面上去,所以输入http://172.16.20.3:8080/test/时,如图
打开webshell文件,复制文本内容并粘贴到上图的”这写马的代码”文本框中,注意”这写马的代码”几个字需要删除,点击up,如图
4、查看入侵结果
查看ossec告警日志sudo tail -f /var/ossec/logs/alerts/,发现有有新增文件告警,如图
在页面输入http://120.0.1:8080/test/打开webshell,用户名密码都是kj021320,点击登陆,如图
查看suricata告警日志,tail -f /var/log/suricata/