|
- E5 y1 C0 @, u% l& t; a
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:, N" h5 `" o% F! z
+ g$ q/ i9 R3 h" r/ p
; v; {& e) V4 v1 ^( m) b3 p( }7 p7 c% }6 m# e
 7 o' L: \7 O/ p1 a1 @
# b8 L% A. k8 Z9 Y/ S% e* l3 g1 W
3 P3 H/ C1 X4 ~% Z6 n8 l& V$ }2 d 然后点vulnerabilities,如图: S+ t6 A' u! C/ y0 M4 T
; @ k/ |0 J# E$ c- y: z4 c
) a7 I& d S% P7 D, J% M# z 
5 E* a' B3 G' U# {. n' p 9 O7 U: W" b f5 S5 }' K
2 x& Y3 s& W5 I 点SQL injection会看到HTTPS REQUESTS,如图: S/ T) a+ r# X$ ]4 K, P6 x' T
' y3 p# c S2 u# O2 d
" d+ Q- l' J( M- L  ( [. Q/ L. d. J9 P
7 K4 p/ m1 M& X9 u8 j% Y( S* c
7 Y+ \& B3 [# S7 | 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-89 i0 y) q- y+ k' @9 V
9 ^; {( G9 j! J5 H. H1 c$ a1 m( o
/ L+ w6 x X0 [ }( K
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
$ I1 y: T% y5 N7 \% b+ J+ o) v+ [. ]% \
1 e1 g* |3 G8 ~( h5 m) q3 P" o/ x
4 d2 c& Z8 M9 o- Z U 
3 A. n0 x8 j8 M, u* X + d; @8 r6 }* p r0 D; ]
]/ O" A: ?, o$ i. X ?8 V. n: n
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
; u* W @2 P" I2 C+ f2 ]8 @2 G
# d# E4 \& X3 F3 g4 e0 l
1 ]* Q! r5 Y" X- ] 
, x9 k4 A! K9 [- Z1 W
5 W& D* @: `) p& Y& U7 R0 }$ m U" L! p2 d% B! [4 G5 }7 [
 5 b R/ D' N0 d( O! q! H5 n: q
$ T, G' B* E3 ^6 k
2 q4 u+ g8 x+ t/ x; ~3 c) X 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:" B6 ]* j% Y7 H1 h! O
# m# ?2 [! Q d( z" N& e3 J% o: v4 W9 j0 d5 j
- v! W+ R4 a% V ) V! H6 ~$ u3 u, F. H
) Q* ^% j b2 p4 l$ {
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:9 |" @) z+ H/ S: n4 h. A6 i
7 n& d" J- r7 L p$ u- _ a
2 Y, t6 c j& h, |" [( u& W+ o 
9 E0 P- q# Y2 E% T9 D# `. n 3 F1 ?/ c: w% a/ R( w7 s3 |2 f/ f
9 z8 k: ?" M M! a
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
8 \) a8 \& x8 h- t% c
0 |5 u5 l- }" Y7 F* h/ Y6 W) a& }$ a9 o1 G. |5 q& e/ b- }! O* ]0 E
 ( x/ u4 ?2 l# E2 P+ A; l: a! M/ L
& C! L( {4 I0 P. f4 h A
5 ^3 I; @/ p9 F$ P/ Z 解密admin管理员密码如图:
. M, w( W6 j$ c: g. a I9 c, \ ; O, n4 G/ v8 ?9 i* L
* _7 E9 ~( ^9 v T8 ]  5 Y0 V2 |9 i# D1 K3 o4 L: p& ?
0 N/ |& U `7 H3 ~( Y; {1 m% N
8 X0 f+ F6 z) ~1 F6 [8 b' A* K9 |9 X 然后用自己写了个解密工具,解密结果和在线网站一致4 A9 k- `# |/ f0 ]
7 }! Y7 H' m/ x( f
1 Z$ C) o( S7 p  - s( q5 K5 t& }. ?! h. A9 n
# o& j& @% V( ]- i8 ]& u9 b. Z# i o) z& d# ?7 Z
解密后的密码为:123mhg,./,登陆如图:
% F& @; r* c; u2 p3 {+ b$ O * _& }$ C2 [3 R* O, b& Y* J
6 q3 R% W- J, Z" d$ I% l
 # G3 b1 B' d3 D; D/ u3 S# d
1 d% Y/ {+ z5 v. @& p5 r$ r
* O: ^0 r; d7 y5 w4 g* e+ V0 h# J 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:/ w6 e. R, j+ X1 d$ c/ Y
2 G0 c+ Z! J6 ~& ?- `9 S0 x O
3 L" ]; P. q [ s4 v
* l& z8 K" s; U" `' { & L# W7 G0 }5 W7 ] |
% c( f6 @: F% s. h# b( L 
/ _& U* U# H5 L8 H( q( Y3 G6 A $ X; w }+ S! D+ A0 R
) c- u% D$ |8 d) n; F7 e+ c% `4 r
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
2 Q7 y0 [5 P7 t/ J% A: o
1 @" e3 o' C+ f1 b7 X% g# }- z; }$ p' H1 @0 D
 $ N/ {* ~( y! W T% {
; ~- }' K) U- g o) D- t
) {* M) g% p9 A* n! p. O9 d) Q
访问webshell如下图:
8 a. t- y9 B9 ]: C' }' ` + q2 b: V1 }0 h" Q1 j" V/ L, E
% B9 X J& F0 Z* e
 9 U6 {6 A9 M2 q- f" @& F8 G
1 L7 r1 V( A) t6 ~" E' m& o
/ l$ c) A" s$ U3 C) S& W 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
% \) Z* [: L+ `' r9 g+ h# Y" m( L. B
- E8 w& |4 i3 M( ?- `
, l8 O! |! T( v/ c7 N* f' ~  2 O& [! T( x% \' \- g" z
# n+ S9 u8 R) l: i" N' u7 a
5 s8 j* c( l& e! p8 R
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:* Y0 D' R; ]: o; h$ H
' Z' v$ m- r1 H5 z$ A2 y! ]; A, w
2 b3 x$ ?( D, {( T7 }" o* Q
 & E; y4 h+ ^/ n) g0 B5 Z
8 t. D; t/ G/ ^- p( E1 i" z9 |! S. U0 w9 K: m! b) _& L: H
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
0 {' m, g7 Y" J$ F' g6 z G- o! z- k: W) _
{( t v. q( R5 w1 O, O6 p& `. j
 " v! u- w7 e; ?7 ?% A6 c% r/ Y
[2 }; x! K; o
- E3 J* i; n: f 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
* U9 b' u& y( _& C1 N . j5 Y2 T1 Y9 B( Z2 `! L
( {* |5 b! ]6 u
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!1 k; Y) F6 ], u
: A7 M) q. C' Z! L+ e5 }
5 E4 o; i6 z! g6 V- y( l
4 u/ _; _( e& Z1 x/ p% t8 J 4 u1 s; d3 U% D: i" P& F! f6 j
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对