中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

* c9 W) t8 T$ L$ O2 L9 ^ :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:6 ~+ j. y+ A) H {! K- c @* V

; S3 C4 U6 M8 q7 d2 Y' b

0 Y1 d: A8 F4 e6 V0 D) u. n image-1688134638275.png z6 U4 V( g1 e' B% F* z1 f5 i

" a4 Q$ v L' r2 f& w

2 I' W+ z/ W5 ]: z2 e/ k5 u 然后点vulnerabilities,如图:2 m3 h; c: q; \0 Z: H

+ \0 V4 m& L5 n7 \$ p. t+ N' ]

* m7 _" Y( g+ Z O image-1688134671778.png 5 e1 {1 R5 r$ q F

, b/ P$ T2 x2 U4 H

, J7 F2 A. r8 A/ L i SQL injection会看到HTTPS REQUESTS,如图: ' m* o$ a9 V$ ]# o+ J+ K% t. |

. n3 Q) d4 y1 ~/ c; B% X, g3 D

1 A7 {5 p( X2 o3 M! M image-1688134707928.png7 I- j6 q4 Q& Z- {; K- B: b7 U

0 g# S5 K' a) D9 t# s

% u( K# y6 ^! n0 { 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8" m$ x# o2 w) i/ F' t: s& C. e

5 |( r" J9 r2 e& i/ M3 w5 ^$ \

: I% C+ G7 F+ ~. A1 E: B- z Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 0 E- r& F- s* Z

2 i8 k" |3 S4 J2 ?

' H# [7 |8 i# M6 W2 B5 F/ f4 Q4 g image-1688134982235.png ! V* y- ^2 `$ U/ g; w% U

4 w6 a3 y d& B! Q7 l

7 p! x; t2 D! u 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: . A* i' r& A; H8 T: H

; h, }+ }0 D$ I4 |5 a1 `

+ D8 b+ }! S4 u' g5 [ s$ p5 i image-1688135020220.png , _$ C5 V0 S- {9 N

8 A' e7 j7 k* Z* B$ b7 m% ~+ z f

; B. [0 j/ `7 a- u image-1688135035822.png 1 y2 ?0 X9 U: B- Z# D

6 D& ~' i% [, O2 u

4 ~3 b* o z0 v& c 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: & B$ N4 h. D& {

& G6 v' I$ |$ L8 ]: D7 v y

9 {8 K6 d% ?/ f4 i: [ image-1688135070691.png! A* T3 ]2 I2 R) F% x. T

& G& p1 e9 s' j8 L/ f7 r

, _# o# x6 I4 u% w( E4 v/ @ 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:* s' \ U: z; f5 Y

( a' w- B& y% h

' G2 L9 m6 J: k7 J9 x. ~: p image-1688135098815.png. D$ ~! E* A" t* S$ H& U. j7 B

; a) x; M0 ^4 E! N# O! K2 z; _" c1 @& \

2 b7 o/ t+ g8 O( R! j2 I7 l 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 2 t3 I) Y9 v" z% J. X c

- }3 a& ^! l' G- X. x5 _9 b

1 ]5 `* |4 O6 X9 y, r w- ~% T image-1688135130343.png5 n& R4 K" L" U9 f! k u

4 V i0 L& S! o6 n) R

# G# J! r7 q- l% @: N+ v 解密admin管理员密码如图: 8 M, p, b" Z/ b

4 _& e, p. a+ M9 ^5 `

% D# x4 n3 K: G t image-1688135169380.png3 z( z0 W+ z0 Y. x

* O7 b$ \/ E; d9 K) S* i

* O& W6 _* s' A# u5 C 然后用自己写了个解密工具,解密结果和在线网站一致5 a7 ]; E p1 k8 |# Z% r R

/ @. K5 n9 I) I; y( L1 A7 L0 B

, o& @( s9 B8 Q, e0 Z image-1688135205242.png5 z8 Y4 f. p4 l _ r( o! [3 V1 L

A4 r! \; y" V8 T

: P! M% o) i' o 解密后的密码为:123mhg,./,登陆如图: . y. V. N9 Q* g

* @* F: r$ t4 a" ~5 U

: `( A3 Z- f6 V" Q; {& M' Q9 x image-1688135235466.png ) N7 x6 o$ x( O$ H0 _( X" P+ ^! w

1 p4 c: D0 o( ?: h0 J/ [. R( ?5 N

( n' f: c/ d. e- k8 t1 \ _ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: 5 A5 m% U/ l8 ]% O% U

# x$ W4 a" d& ~

) U- D; ^ u& b' e! X7 G# v image-1688135263613.png0 s- S, x# d3 T+ v9 h" E9 p: P2 [* n

% z* ^" H- E1 b

; Y# j2 P: J4 F8 }* o; e! t image-1688135280746.png % T8 M- I& _' |2 x/ ^9 w* e3 p# F

2 Q' h: @ f8 y' D' g7 Z

: O" X! H* v1 d$ m: j* j 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 7 ]0 o& D) B1 c

; { z4 T# B: A% @

2 @1 z7 B$ h# z image-1688135310923.png : k- ]+ U) c9 O& B/ W" a

" q5 v* {9 d$ C8 U9 ]$ h9 }& k

) ?8 {9 h' ^& f" B2 T* C) C- l 访问webshell如下图: ~ x: M; N: `/ x" ? c6 w2 S

/ J2 t6 W, F) {

7 v# ~+ J) ]7 W1 q: | `/ f. [ image-1688135337823.png# f0 T9 _( q: a- l+ ]9 J

7 d# B4 C2 ]9 J: o

8 v0 C, R a; _: c" c* T+ y/ s 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 3 u, F5 h6 Y; E/ [( T$ v' v5 C

4 B7 @; I2 N9 ^3 L& g0 j

7 D9 ?0 _- I) J( h image-1688135378253.png! f8 C1 |& D# u% D) u1 e0 k0 Z* r

$ \8 Q; u- s/ X

! P3 {: h2 L" s7 g4 r5 \& a 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:7 z: v; j& L- m& A6 W

4 U, f; b A- X4 K4 ~ N4 m3 {

& Q1 F6 h3 r/ v6 i- F/ m image-1688135422642.png1 ~- |* p v. C$ e' ^$ E

% ?+ ?( n' |& a/ ? J @% S

6 Y; l/ J) x8 `0 e8 ] 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: ; q4 `" ]* {+ S6 k3 j z

' q g; I2 \( Z% y5 v1 U9 [5 L

; z, {9 s. G! g9 O4 E1 A image-1688135462339.png$ H0 e7 Y$ P( H9 q

$ D: d; O; N p* b1 L. o- x# O

8 b% i/ G# s) x" _ \0 H( K 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 5 E$ @7 V* S5 r @; F) d; j+ P

; W' a1 y) R, {4 Z5 b2 g& G

! v7 p9 N' N; V. b. N 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! & u) i$ ]! s+ x, {& A

4 F& `& ~, y- f1 D F9 o" h

; N: j+ A* z+ b. R5 s   8 R, X" s2 E+ i9 }( V

5 ^" G' `! L+ Q4 V4 a9 [+ |



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2