$ s3 C* f8 [5 }: c 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:4 L) j* O% U8 k* |
4 Y. j( ?; W, Z6 `
( G! i! F. \* B4 b- l) q" O
9 K& C) @1 z$ F: ?4 _3 T7 _" K
! v0 A2 g4 \& ~6 x8 ^5 y) B. O. G2 t2 X1 w! Q* \
然后点vulnerabilities,如图:
6 y! l7 g; {5 M- d o , @* B4 v) X9 p- {* q" X* a: ^
' z# l4 @1 h0 g8 g' `
" v( K" S- T, E3 M8 D
$ w* T' i" Z! v: z& r& e
6 R4 Y) f# K0 Y9 k! \3 A, k$ D" E+ o 点SQL injection会看到HTTPS REQUESTS,如图:
: L: M) y2 y. |$ S6 P6 f. z 5 [ @ D; F2 f4 U
* ~8 i( S3 u9 z, E, S- R
# H: s& i7 ?: O% u; D q# i# j, y+ d( N
; v$ {( N6 g8 \% f: o* W 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-86 E4 M/ V$ y9 T; B1 {! A' A# a2 j
, {0 |/ `2 N2 w4 \; ~
3 m! I/ q* @! `$ j4 w6 o Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:8 q! z0 m& w! u, h
4 j& n. y: }( W8 d! X/ \8 A, A
) Q6 J! o( j8 @9 d: N, U 8 T0 |' P q; G! N. J
: m& Z8 Y4 v6 Z0 d$ ?/ x2 H9 ]
6 `5 M' g! G" C4 G$ C2 f7 i
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:- n( v1 J$ U9 M
% a4 Y! m* m! e8 O% O
" |! L8 z% F/ h T/ S1 u 9 l, [7 k$ l. }4 C' f
) b. ^; y4 q' U4 m- r$ `5 N8 W, h. f* E8 e; b9 B
& H+ m# Q' B$ [; i9 q4 u % }' ^) Y; j* x+ g1 ]
$ I- ~- _+ l/ z" V& h T: D 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:4 L4 S- X" j, o" I0 a
# n7 B! x1 J- a" G
+ C4 o( z% z, t" q
9 k, y) H2 u6 V. {: L 2 K9 I6 }. Z b; Q; T- f! a
. Z2 P, @3 q: `3 y6 K; r% K
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
6 h7 r3 e) y3 C7 g
/ ^0 d5 R" o' ]% |8 k; I& ]
: @! }$ F. Z1 i" ?, ~# \
: H, K1 ]% W# J0 p$ J 3 D; K9 [8 B6 b6 j: K
" s3 }% O& H5 v( U- A, R) | 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:+ ?" p9 y! ]: {% s
! E; _7 i2 r. ^; r% D7 M" [0 o% b
2 L2 t3 X. Y# u4 B: D
+ {0 V; T9 y1 p7 x! _1 x% P
+ D9 C2 b r+ o: k
; z, K! d2 O) y4 r# M- j1 j 解密admin管理员密码如图: v. C" W4 Y) C7 [
# j' X# ?' T! e" R6 [
' a/ {8 Q% h v$ Z. T % f/ T& x* ?( |/ o
V6 D/ _: b/ d) B7 j: W# b( M9 }2 N% W4 E- u' R" b1 v1 ]8 o. d7 _7 `
然后用自己写了个解密工具,解密结果和在线网站一致
/ b/ h6 R2 d5 g4 q
8 ]1 ~# d5 z4 k, a3 A3 z1 Y d, Z( h' c8 o6 `
+ v z3 n9 u$ I3 B! L. K# u
! y* @4 d) T; A' [! ]1 `4 x) P# E
1 ^: A/ h4 H- Q8 K, h# S 解密后的密码为:123mhg,./,登陆如图:
3 g) C& v/ x) O; t1 m 6 a5 ]: c$ c6 q" W! t* |1 c
/ Q% |5 c3 V: n9 D/ }& V' {8 e 6 U' C5 ^0 f* Q: s
8 ^% Q; L2 E! i. o) Y3 i! x ]1 B* m) @5 |0 L
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
! ]* u. R0 u! n w+ J; Z
4 u7 T- d& Z5 X, v) T6 f+ \
- L% ?4 f+ M# f1 ` N+ M 8 n. a: L" X) }: A! [1 x
7 u: Z& B1 o. A& p" D, p6 Q+ A. u; n& I7 o9 Y" L
9 `% Q- Q3 B1 j4 a2 r ; l: S Y0 A2 s# [) }
; ?. r7 d6 S2 e& l7 }8 C 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:3 j% @$ }; w# l6 q& N
) Y6 {3 S1 K. H: ?2 {0 ?& ]
! E+ s9 Z2 A( c! b, V2 b 5 M4 Y1 `3 i. R# E
2 Q+ C8 {; G: @9 f- f- B$ E
$ e6 }0 e# O2 ^6 k" F; @1 a 访问webshell如下图:5 w( w. H: Y+ {& m/ g& c' _
4 l. \) C8 x$ o& Q S0 }8 j! i
3 m! K" R U' i % M4 ~$ |0 ]. [8 D' g
" m, k( y# L! T8 `. D, b5 I5 o% x
" ^, e7 n* B. K 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
. ?: ]2 b9 @) ]% O7 w: c 8 ]& [4 u% R. ^6 f5 ^
$ ~1 p% ~. r8 H6 q6 K! s
+ t2 S# G* w: b! P7 A9 E9 }: H
; o) ]0 o" @' m, N" F5 u' e* ~1 K w1 `
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
' c Q6 W3 k4 P T* h( a9 w5 L. s
- \7 _- e* d! ?6 u4 x* B+ d" G* V$ Z; S# U# D8 X0 d
1 F# {5 z( Z K* O9 h
1 e1 B' Y& A5 O4 D3 {" e
: P# v, ^" i: j& ] c6 ?3 S 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
5 f. q4 P+ e: K) i( x# b ' J) I6 L+ n! |. E
* Q" o {; F$ d
1 g4 P( h6 J( r5 d G& I) z : ~ E( S/ \2 @* K: C j8 X/ c
; m& d& o0 ]! V( m. n8 @
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
$ V; u# v% a2 Y
9 F6 w7 M* x. h8 u% c. O) e) a2 F" v2 M9 d
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
2 K# u6 L& L; F6 Q7 \* F
- ?1 P1 x( H" S5 ~$ q& K _" d6 x% y
/ E# J+ c0 Z4 z1 m7 G4 t
E7 R" k n7 g
2 v [8 k$ D3 b. W, d- F |