中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

' i0 C6 ~& P& R3 v; {6 {% }0 Z :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: ' q2 Q8 u0 a0 a) e. I! U

( A' C: v4 A% t+ I" M

$ y+ }1 r4 F/ }8 X! Q image-1688134638275.png o0 r/ E; y: _

$ Z, `( R4 O+ p/ n/ D

9 c9 W" N+ Y- f, S# g, W 然后点vulnerabilities,如图:; O# @; R' ~4 i7 b

[2 _! v& |( ~& u2 j; i! c" |

& @) A' Z8 a' o2 ]+ Y- |, b5 R image-1688134671778.png o& p, |, w6 H2 b; \2 D2 u

/ ]% Y9 d% t. V" M

8 K) o) Z* H, R+ F; r6 q# }* K SQL injection会看到HTTPS REQUESTS,如图:, v2 [& M9 Z0 K) N

5 o/ d1 s" L. J6 i0 J; r. p0 ]0 V; h

; {2 [9 X! P% F6 I& g2 b image-1688134707928.png* K# l( E! [' W+ k9 ?' d) W& u

q1 v) w3 ]( n; W; q

) A$ ]+ A& V. T$ B( { 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 - J! Q' h% m( {& b

9 M, x6 K# R4 N' y* _% z! p

- r3 {5 p- s0 Q; f Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 1 A4 S$ m2 C9 k" G+ P

. G% V8 X/ `: E, n H

% k( t# G8 |8 d$ |. i/ A! ^ image-1688134982235.png : C5 e4 T, O; c9 L+ d U; Q1 t8 R

+ q, l3 g( k Z" n7 z

% r! q% X3 b- H) y2 s5 g 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:. C4 `4 G+ b/ Z8 r2 U. b

/ e2 j o/ m, Q( V

, |* n7 ?$ f6 m3 T) ~ V image-1688135020220.png / f% g( @. [6 b# E' a. ~. Q

! h( T4 O' k: |+ R/ s* v

* H4 f2 @% w' N& W/ k% r0 H image-1688135035822.png . X8 a0 D6 {7 t

% |% D9 M/ F6 H- ?. ~

, l$ ]& c3 G9 Z& t% m% E7 T- q7 N 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 6 M4 U6 k ]& ~! b9 b! A; k+ t# _9 k

+ ~2 K& q, L8 e0 f4 d% X6 r

6 @/ ~% E+ n" d' F- K" Y+ i image-1688135070691.png : G3 a/ p3 T/ U. p+ f; ^

% K: _$ i2 e1 I/ N: @* h5 {" |

2 g' ^4 `. r( K$ _( k 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: 6 \# T7 \, ~5 @5 S

) }; k' Q$ Q1 ?# D

9 a4 V! y% T/ g% P9 _5 ? image-1688135098815.png& ?; C5 \+ Y; r+ y+ A' U

" Y! j3 w( o$ L7 W& y+ ?7 j

* d! ]( l4 p: M 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: + v( ^2 u! J' w6 j0 D% b

/ i- y2 E& c) x$ W/ U

6 T. r; x7 M2 E2 w9 j/ n6 l image-1688135130343.png 3 e, a+ A+ ]; H' x9 k) O& B9 n5 }

# D- {2 F' e) z

2 g5 [9 P& ]0 M* M( Y t$ Q 解密admin管理员密码如图: |; e7 u- W; H

7 g2 w8 \9 M0 R" V

5 U- ~0 n8 x7 L/ U+ ? image-1688135169380.png / O3 S) @! a# P: s3 X

: @) z& O0 E& r; p0 s4 L8 w

+ u9 i& w( s: m4 v& [ 然后用自己写了个解密工具,解密结果和在线网站一致 0 o3 z0 ?2 L3 S7 _

, {1 h! Z1 m9 }6 c1 Y/ T0 n; G! f

) t$ \6 ?3 L+ B( o image-1688135205242.png ' h" L" m2 e* q) f3 h" ]/ {: r

! w7 _2 A8 ~8 v r1 T1 P# D- S5 e& V

4 o+ a! R) n3 n+ g; j3 X) y1 U 解密后的密码为:123mhg,./,登陆如图:2 M& |$ k7 w9 v" i0 w! n3 @

: o/ O8 p" F9 S% ^$ U! a

8 o" f# f2 C1 k3 m4 B0 |& f image-1688135235466.png1 ^; y$ C: X+ I; H- P- D

# g5 y) @/ i+ I% J# D' V

$ e4 t1 N2 A T! y" } 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: . ]) d, v$ F) {# k

G/ J& x* m- a$ \' ?+ f g: v% T% L

( l2 [3 [+ F2 d, Q8 a& u9 U image-1688135263613.png " [! ^6 J+ Y) q% @) {; q& J# w

* ^; S' q; p" `; g* ~' u. @& k9 G. i

. a; N4 O# A9 s8 g3 K/ Y9 y! U) B0 ?, U image-1688135280746.png6 [, l% C: m5 f' a

) k1 @3 s- z6 E& q3 Y: r

T9 U" C6 N3 }& E$ U 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:) L0 L! O+ b6 \$ W

+ G+ D2 m* o& p0 z* k

" [0 F8 J4 t3 \ image-1688135310923.png4 G- q9 Y5 s5 z; {; ^; P

+ D$ Y" ^0 o6 f: |& e" ~- U

" j+ |7 ^4 a* ?; b% X+ z 访问webshell如下图: 9 C+ m1 Z4 ?. E- B, p' [

) M' R+ }% C# v. u" j. N# b

' z' I4 m( n3 D- k8 N* m e% X image-1688135337823.png . ^6 _3 a& ^' D1 `( C3 _4 @

# D$ c" B' U7 n/ N1 h' D

: \3 q2 f# h. \# u- f) u 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 7 {' l7 B1 X& A8 B

2 u& E R7 S2 z

, L: }( @( T/ l2 |( N! G$ r, k image-1688135378253.png 2 @. o: w2 y8 [% |2 F9 e+ n

6 b0 t' @3 N& u) i9 {- F

" a* S/ _0 x6 W+ J% B) K( x! X 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: , L: Z" P# p' X* J% G

5 W P( C6 r+ V* h0 K6 |, w

, Y6 u. w7 \1 ?4 [0 l8 C: n( W image-1688135422642.png # u& \4 l9 S e8 m* }

) k7 K, [: R5 i" K8 h

1 ]0 M3 t# c3 e: t3 [+ n5 h 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: ; k4 J$ t+ {+ h: K$ ]: X0 H

. g* w# e" n; j/ d; o

$ a: T/ l# M* j( r" q5 e6 f) ^/ Q image-1688135462339.png# b2 C: B; I8 n2 ?0 p* I

! g* U) p) ?9 W: ^3 q5 x. I

5 D) x) c3 g. w2 U" W! b 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 * V4 Y& e2 P$ k( j: f

& _& @+ S0 P1 h+ B, W2 k4 _! D

* F c+ J6 J4 u! `, M4 _6 v: e 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! , c$ {0 E5 Z1 ~$ R) C: r" d

, W& ^5 x8 i8 ?) u

! T) K5 }: e+ V2 _7 P! r   ' U- y5 d/ T3 k e0 T

7 }. X/ y) B. ~# l' ]( ^5 T



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2