Fast-Track是Backtrack工具裡面自帶的滲透工具,在現代的滲透測試過程中展現出了她所擁有的強大的威力,同時也對安全人員帶來了很大的壓力。
一說到Fast-Track,使用者對其最熟悉的莫過于Mssql自動化攻擊了,它不僅能自動恢複xp_cmdshell這個存儲過程,而且還會自動提權,自動加載Payload。而這一切,你隻需要提供一個具有注入點的URL(當然,權限必須是sa)。Fast-Track就會自動幫你完成這一切。甚至是你隻需要提供一個IP位址,Fast-Track就會自動幫你檢測注入點,然後自動提權,是不是很強大呢?接下來我們就進入Fast-Track的介紹:
《Matesploit滲透測試指南》中對Fast-Track是這樣介紹的:
FastTrack是一個基于Python的開源工具,實作了一些擴充的進階滲透技術。它使用MSF架構來進行攻擊載荷的植入,也可以通過用戶端向量來實施滲透攻擊,除此之外,它還增加了一些新特性對MSF進行補充:MicrosoftSQL攻擊、更多滲透攻擊子產品及自動化浏覽器攻擊。
接下來就讓我們走入FT的世界:
啟動FastTrack
<a href="http://blog.51cto.com/attachment/201309/131831200.png" target="_blank"></a>
建議使用指令行互動的模式進行滲透測試,比圖形界面簡單明快許多。
讓我們來看一下Fast-Track的啟動菜單:
<a href="http://blog.51cto.com/attachment/201309/131850387.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201309/131923953.png" target="_blank"></a>
進入fast-track指令行界面
<a href="http://blog.51cto.com/attachment/201309/131935181.png" target="_blank"></a>
<a href="http://blog.51cto.com/attachment/201309/133409630.jpg" target="_blank"></a>
我比較常用的是第4和第5個選項;
第一個選項Fast-TrackUpdates顧名思義是更新用的啦;
第二個選項AutopwnAutomation就是小編上文所述的提供IP自動找注入點自動提權的功能(越自動化就越容易出錯( ̄. ̄),你懂的);
第三個選項就是内置的NMAP掃描腳本啦,感覺和Fast-Track結合得不是很緊密,沒怎麼用過;
第四第五個選項将分别用一篇文章來做介紹,今天要介紹的是第四個選項MicrosoftSQLTools功能。
第六個選項是你能夠編譯一些經典的漏洞利用腳本,和Fast-Track結合使用(但是漏洞利用腳本都太“經典”了,連MS08_063都有╮(╯▽╰)╭)
MicrosoftSQL注入篇
<a href="http://blog.51cto.com/attachment/201309/131939652.png" target="_blank"></a>
Fast-track的使用和sqlmap一樣,需要攻擊者事先進行漏洞踩點,發現可能存在sql漏洞的URL。在MSSQLInjector選項中,我們隻需要提供具有注入點的URL,攻擊者隻需要确定查詢語句和POST參數,fasttrack就會幫我們自動恢複xp_cmdshell,甚至是自動提權。但是要注意,這類攻擊隻能針對MSSQL的web系統。
1、MSSQLInjector(MSSQL注入攻擊)
<a href="http://blog.51cto.com/attachment/201309/131948704.png" target="_blank"></a>
經常使用的選項有以下兩個:
·SQL注入–查詢語句攻擊
選擇SQLInjector–QueryStringParameterAttack
輸入待攻擊的URL:http://localhost:12345/zblog/view.asp?id=’INJECTHERE
當fasttrack開始攻擊漏洞時,它将查找帶有id字段的所有字段,即決定哪個字段可以被用來進行攻擊。
…
listeningon[any]4444….
如果攻擊成功的話就會彈出一個cmdshell,表示控制了對方機器的控制權。整個過程都是通過SQL注入完成的。
注意:如果應用程式中使用了參數化的SQL查詢語句或者存儲過程的話,我們的攻擊将不會成功。
·SQL注入–POST參數攻擊
fasttrack的POST參數攻擊比進行基于URL的query攻擊所需要做的配置更少。我們隻要把想要攻擊網頁的URL輸入到fasttrack中,它就會自動識别出表單并進行攻擊
輸入:http://localhost:12345/zblog/view.asp
如果這個頁面存在POST注入的話,fastshell将直接彈回一個cmdshell!
2.MSSQLBruter(MSSQL暴力破解)
<a href="http://blog.51cto.com/attachment/201309/131958403.png" target="_blank"></a>
有些小白網管直接用系統自帶的sa賬号來建資料庫(現在很少很少了,能用mssql建站級别的網管一般都不是小白( ̄ˇ ̄))。如果sa賬戶密碼被暴力破解,将導緻攻擊者使用擴充存儲過程xp_cmdshell來攻陷整個系統。(MSF中也有類似的MSSQL暴力挂字典破解方法)
fasttack使用了幾種方法來探索發現MSSQL伺服器:
1)使用nmap對MSSQL預設的TCP1433端口進行掃描,然而如果目标主機使用MSSQLserver2005或以後的版本,這些版本采用了動态端口技術,這樣增加了猜解的難度。但是fasttrack可以直接和MSF互動,通過UDP1434端口查找出MSSQL伺服器運作的動态端口。
2)一旦fasttrack識别出服務端口并成功爆破sa賬戶密碼(實際沒說的這麼簡單,需要良好的配置以及很好的社會工程字典)。fasttrack将使用進階的binnary-to-hex轉換方法來植入一個攻擊載荷。這個攻擊的成功率相當高,特别在MSSQL廣泛使用的大型網絡環境下。
在上一個清單中選擇MSSQLBruter暴力破解
我們經常使用的選項為:
(a)ttemptSQLPingandAutoQuickBruteForce:使用這個選項來嘗試掃描一段IP位址,使用文法和nmap一樣,然後利用一個事先準備好的包含50個常見密碼的字典檔案來進行快速暴力破解
(m)assscananddictionarybrute:多主機暴力破解,可以使用自己提供的密碼字典,Fast-Track自帶了一個非常不錯的密碼字典,存儲在bin/dict/wordlist.txt中
(s)ingletarget:單一目标暴力破解
使用者名一定要輸入:sa
位址可以輸入以下類似的:192.168.0.103或192.168.0.1/24
如果對方主機存在弱密碼的話,fastshell将直接彈回一個cmdshell!
3.SQLPwnage
SQLPwnage是Fast-Track的一個子產品,可以用來檢測SQLI漏洞,掃描和抓取網址和子網易受SQLI攻擊的參數。是一種大規模嘗試滲透攻擊的方式。SQLPwnage可以掃描一個web伺服器網段的80端口,利用爬蟲周遊你的網站進而找出具有SQL參數注入的URL,同時嘗試模糊測試,POST注入。它支援錯誤注入和盲注,同時也具備恢複xp_cmdshell存儲過程、權限提升等功能。
<a href="http://blog.51cto.com/attachment/201309/132001774.png" target="_blank"></a>
進入SQLPwnage後,我們選取2.SQLInjectionSearch/ExploitbyBinaryPayloadInjection(ERRORBASED)
<a href="http://blog.51cto.com/attachment/201309/132002428.png" target="_blank"></a>
可以選擇任何列出的有脆弱漏洞的URL選擇選項1,如果掃描整個子網選擇選項2.
是不是很簡單又快速,當然,不又快又狠的話怎麼能被稱為Fast-Track呢?可以在這裡找到更多的關于Fast-Track的SQLPwnage子產品的詳細資訊:
<a href="http://www.offensive-security.com/metasploit-unleashed/SQL_Pwnage" target="_blank">http://www.offensive-security.com/metasploit-unleashed/SQL_Pwnage</a>
參考資料《metasploit滲透測試指南》、《MSF學習筆記》《淺談SQLI的危害和利用》
本文轉自Tar0 51CTO部落格,原文連結:http://blog.51cto.com/tar0cissp/1298157
,如需轉載請自行聯系原作者
![阿裡雲天池龍珠計劃SQL訓練營day1[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)