|
# R7 j) N! y( h1 C }5 i
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
6 e" ~0 B, \' i9 ?3 P- x. \ ( W( l+ e' T' j3 ]# I
& C- M/ [2 z3 n: M! A  3 @- t) ~0 G. n$ r* b+ z4 t
: y; L& {- L( C* }# ], x3 j H
2 J0 D; x. V! s+ M7 Z 然后点vulnerabilities,如图:
/ j: {8 [3 g9 k& a+ G 0 d; k, N( z6 {3 c
. L8 b4 }- m" L# m1 b! V 
( t/ F6 R8 ~# Q4 j7 p3 M4 |5 u ( F/ s( C' |( q, Y8 F" x* c& k
3 {+ _, S. t# u& R& s6 V
点SQL injection会看到HTTPS REQUESTS,如图:- A1 a+ l/ n# J% ?- Q! a8 @" t
5 f+ E( w; Z* w( m E2 }9 @, q) A% g5 ~9 ?# C6 Y
5 S A6 U% |6 v) U G8 g# E& J / D3 W" @# {% N7 t
2 c, O: w6 d3 V. u1 H, `/ C1 [
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8+ i4 P# u* W: K/ M2 L- k* ?* S
# ?) O% G( W c* x5 y
( J! J2 I% m1 R4 m& ~2 k Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:9 l* G$ u4 U' Y: {, D
9 }5 o$ F7 Z! y3 P: X. j
4 u- a; |' e( n) G. p# s( [8 A 
# o; W: Q# @& J0 F
9 I9 X) U1 Z8 E& t4 U1 \" @& s4 P0 ]8 o: m5 U* B. ]& h! Q
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
( o" L) b3 f: s H 3 D: r9 z9 p9 I1 }# c1 i# y
U, Z. t3 j! d
0 x9 C8 q1 b/ q8 C# e 9 N y t- l0 L: T. d6 A
5 o/ p8 a5 y( d8 w, t% s
! C/ l# u# [2 }- o4 C % ]% t* q8 a9 D+ ]$ [% Q
: {0 p* _5 o5 ~9 B
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:; X g8 t8 V9 Y2 a- O8 G, V
9 o+ j! V3 N$ R# z4 m) q# t% ~* Y2 \, K# U* R5 h- o
: X f/ s) N- w+ l1 E6 F ) P, Q0 P# u) n0 I$ x
% ]; h* H. w' L$ C! i4 E0 x 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:& D0 ?' f( Z6 N3 W$ d
) f, R3 J( u3 C9 C' V/ f m
% z" C/ u& _/ b! }) p5 D4 X 
$ N9 c+ J* p" S6 J 3 b8 m4 ~$ h, `3 q J
) n, ~2 G, G7 l$ p& N
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
# m C& w& J; D* P% {. P 7 k# o1 o3 `. D
, }3 _ N4 W0 R) q# R6 {9 ^1 S; { 
5 d2 f, b3 L& I: ~1 v8 D : E+ S7 h$ S9 k" G) m" h. g
8 J: W, ~- l$ U3 X
解密admin管理员密码如图:
" l& |3 B: A+ a7 @ 5 c* v8 {0 r* o" h
) z( V- l7 l! d& a7 |: Y: v  ! G+ `" ?( s a# G1 [
j& [4 f# d) a% H
$ u) M3 A; `/ q1 x$ b 然后用自己写了个解密工具,解密结果和在线网站一致! P( p+ z# v2 t; b, n
% P; ]! K. F* x) x* \! s
, o/ ^+ ~* Z% u! Q
7 Z" S, u( q: h( B; [& h
& w$ I4 ?" J- s! I2 r) G9 H8 |6 r- X: r& r6 g Q, S, `& o/ K
解密后的密码为:123mhg,./,登陆如图:5 q, Y% M, j% v' V4 ?
6 i: p/ F, i& ?
2 Z+ d w$ E {' }! h 
! z$ x' \" y0 W1 p( e
) p$ W6 T0 `# G* U4 \% _9 J
8 V- v+ I, ]6 r- z i6 O8 Q& F 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
l+ R- C4 R1 y) l2 K% ]2 j7 R
5 k8 W' n4 Y2 q
# r( y5 c; }- l* C  ) _4 P0 _& ?3 L: I7 A \
. u* N, }8 p& g2 J; ^, S; F1 g* g
9 C- o' z- J2 v  - I w2 O& q3 E% x. J/ z
# w3 _ o7 b' X/ O7 H
* }% h9 U0 b$ D" w3 _, W 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:, g5 i. d: B' C! g
! g7 i, Q$ _' h& j. r
# p. ]* I, e* Y2 p7 ?
, l; A! c* @, y* k+ c1 U - {4 \ Z$ ^. b& r- k4 d
3 n; w" x8 j' D1 i
访问webshell如下图:7 U3 M4 Q' l! c A
( k7 ^: A2 @/ O P2 g4 Q/ W
- M2 ]" t8 B" p: W8 I
, j0 s' x5 L. K/ y* F5 o) _# f% d2 \
9 }3 F( K9 L$ X7 T- M- _8 b8 D; e$ M% O% U) z' g t8 b, T
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:- t* F! l9 X2 e
5 L3 f- [7 B- f w6 m9 r
4 \% c3 m& Z4 K# q7 }' |( Q  ) [/ v k& r8 G, f# k3 Y& D# u
0 \% [1 Q1 U6 k3 d
# m+ ?4 v+ R; |2 N+ ?5 o
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ {! V5 ^0 F7 Z2 R- x
7 Z) Y$ F% \& E+ z
9 T1 o2 F5 k) Z& ^* j$ C
 $ C1 U, V7 K5 [
" G3 N! n4 A; t! r
( Y: W* c9 r, K% A* q 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
3 N0 d: [) B9 {7 p9 a 7 H6 h1 o1 |4 Y
' M f$ V5 }/ [# o
 , a9 i7 P* Z7 S' a5 r1 s' ?
* U/ n7 }* ~; J/ R& }& F. Q9 u! E# s3 z- B$ M
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。, Z" V4 {2 }& m0 z: @) @0 q
" m- c' L3 Q! X6 _
3 A0 ?. |' P s+ I- x
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
5 P& C$ J/ V1 h0 W5 k 8 y. p3 Q. o- c0 K* B% ~
P3 H) Y- d2 D* z
- s6 k5 q8 E8 ] I7 v ! n) I4 A( V- L9 A( P! q3 H2 b
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对