|
; T# t/ D! G- c1 s0 o- @7 U
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
; o* ?: j! M' g3 H 2 ?4 I/ l( H6 G
/ q5 Y; r# r: ]* B0 h% s( ? 
% t/ e5 a6 l: `2 ]
! r% O) x* o! b* p" A. h/ N/ F) a7 Y# @8 u3 T
然后点vulnerabilities,如图:
( e# E3 j& j4 a5 T1 y / K3 `2 | q& m
$ l9 Z+ L' s2 y6 Q% E
1 b6 I; P: A; N: e" y
) K/ F# {/ c& S. L5 k1 Y/ O( n* B8 ?
点SQL injection会看到HTTPS REQUESTS,如图:
. G0 M: [2 t2 Z8 b
1 G0 s b) ~/ v6 z) a) c3 H' S8 y
+ }5 k/ a! c3 t5 l5 R( V$ N9 P$ \6 `  6 C4 Y4 k- i2 k9 f( q- r
" Z9 b$ O) I9 d3 H8 B# f
0 n- H" p* N- u( f& E* J( r. m
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
) ?$ y) { [( _7 L5 N. {" E ' X' Y# \5 M6 |8 K, B$ o# v4 P! a% T
. n7 _( X; U+ }, r+ s6 N3 |0 B
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:1 d6 u& d7 k0 R. x# R$ \
$ l8 v5 m8 b- U/ s$ E$ d3 a4 u" v @
' g( F, j! m$ U/ C/ s$ C
 + [3 M2 H: i p2 o
) D* F3 U$ ?5 _# U
3 D9 ]9 Z* R; L 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:+ A3 O5 w& B" ^3 v8 o$ D7 \
8 t# ^; j" [- ]/ W$ w5 @" P9 v2 c8 F7 F. S
2 Q8 b0 y0 G3 q1 I4 T
: i) Y' E m' E; K' F
" ?4 V4 i9 G( K4 e. d0 o7 C# Y 
4 R$ @0 v+ N, w! E* z9 f $ S* H; g3 g7 M3 s* ^+ F
: p- t, I8 t0 n6 y) j7 {& Y 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:5 C7 X* S/ F! ~1 s
3 O A& {5 g1 Q; \3 m1 O
k6 S) i- y8 z# [& W  3 s. l, ?- x. a2 i' Y% j
. F) I9 \4 b# Q( T! v2 z! `
8 N' |- }2 I$ p; C 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:: c: z' l" Z* Q1 T+ k
; A. d; v9 n, {$ j, x6 y( }
9 }' V; e: G) G0 ]+ Q
 . {% m7 m7 `% b8 A" b; k
% q$ A |' k. k' `8 h& V5 b& P
5 k& Y3 x4 l; J8 m) {2 c v
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
t* h2 _, C+ n9 @ ) Y1 {) h8 G0 b6 B$ n* t
3 f7 A/ o8 ~* X6 F( v4 K' V% | 
" m- {+ |" v8 O3 U9 f4 G2 Q
* h5 X1 [8 S5 K% T; b( x n: X: Y/ S0 c9 y2 @3 ^- P+ a8 h
解密admin管理员密码如图:8 @2 e3 t3 F" s
9 ^" r# S v! N6 v) F) g, R: G, U8 i- {3 l8 ^* ^
 ' @- w x) V9 o, o, v+ J$ O
" u: I& q& I) L, k$ x
3 W, h4 F5 f1 E4 } 然后用自己写了个解密工具,解密结果和在线网站一致+ f/ U0 n! P: h. [) P7 ^
) M2 H& [9 \; k' y7 y( K' R) v: |
, u2 f$ l+ |5 Q6 p' [# F  1 \: }4 E' d% e* L' D
7 [% y% l+ ]/ T- M) h# j; W: Y) r# j
5 l+ S3 v% H0 S( X7 W
解密后的密码为:123mhg,./,登陆如图:
7 r& y2 G0 ?8 R* \ ! Z- K; i' U0 B/ ?
, X* n6 F& X+ [: P( t9 L4 [! i
, @+ c# m9 y$ w# U6 ^1 r3 z. W/ E5 L
7 x% T6 _0 v, s" X
7 Y3 V- |& w# s; J( i 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
' d- H9 o7 ^, V/ o: \6 p) B" C+ _' Z
8 w, `& I6 Y& x) ^7 }* S# D$ k5 Z# g' E8 e$ q
 4 v3 l& |; H' n5 @& f& E
# h) z } ~/ `" {* t6 O
- v: s& a5 @! n% K  G" S7 m: F7 Z. \! y k3 [/ [
! a3 P) m+ f/ J6 F+ D& {* ?" p$ i: g
/ R! U! Q; u' f3 e3 _! X
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:: p# B9 Y0 H; q& u
4 [2 V3 s$ c% f7 @: w B' R2 B6 j$ V" s1 n+ @- s
 9 V; v& A, A: v$ k5 i
" [# u* P2 @6 W& f
! c* V' ], Y: F7 X' J8 T, M 访问webshell如下图:
3 i6 Q; A, W6 ]( i
- `) N/ \1 t% \+ g$ Y+ A
$ Z) {9 @8 q# {- |2 [# m 
, Z9 d5 B4 f/ ]
' N" K# J* g S" C# C) D+ C' Q4 m7 ^+ p4 y) I/ K. Z
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:7 m$ j* s- U2 e5 X2 t
, E; v4 L; f1 H5 i7 b3 m$ E
; p `- B3 l3 k, v- r 
0 K+ ]" ~5 x: s4 U+ }0 h1 v
+ l$ p9 O7 Z: E* T0 D. m/ P& A6 d; Q4 N1 j. G' G
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
7 g! Q9 O, K# Q& h* t# e ( ~! j0 I$ l! c! `5 m& M8 d/ h" z) ~
2 S1 X; }7 F- U4 j3 T9 D
: j5 M) r2 c1 \, f3 w+ R
; F I! l8 Y3 C! w g/ g3 W9 L! u
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:: @' \9 }# U" ~" T' e6 F7 k
2 G6 J' ?% Y5 b$ m: [! [! O; l) u9 Z: x% s$ p
2 S& G/ d) H7 E1 n N* t0 _ 
$ D& @7 E) [+ m" @ z* q 2 k" z- O; P/ S* W1 s T1 o i
! t+ j: F1 L5 f3 f5 z' w* ? 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。5 u* m; c5 n, b( N% o
+ M$ J3 ]# ?7 N E! Q: h5 G$ P
z3 X9 Q; w; I/ o1 @' R 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!' }# n8 W' `8 i8 j m Y& J- c1 B2 `' |
: K \* L a" B) Q" {" `1 }% }7 `/ X1 U. d5 z4 _' V W$ Y' N5 s
) G/ H7 }0 B" ]
% ^' ~4 A5 h% `1 D
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对