- R& x) R% [( i Z 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
+ m4 g) m, h; L' q' f% z
% j0 N/ ?6 r& A) B w, ^; S+ q: p+ x7 W1 @5 [
8 T& O& p7 n2 z7 {# W4 E$ {# b0 g @5 [3 E( `4 \0 R3 R! B' ?4 W
: H4 g4 \2 s! H/ q- s
然后点vulnerabilities,如图:7 g3 |6 i. ^, k" Q4 b4 y8 {- C
. S) [9 s4 U+ p0 ]5 e% k
: `% ]' m- G$ d T7 J
( C; j5 z1 A$ ]5 o 0 O8 u/ B* I$ h& x, ]/ _, U
6 L- k& s7 B. `2 G) r4 i K
点SQL injection会看到HTTPS REQUESTS,如图:
4 J1 k/ D+ ?7 h3 g- f0 W; ?: r
: E/ _, m4 m* t: b; V/ Y% k$ w! c4 C* H" Y$ O
6 l+ O. [9 [4 u6 q! O3 Z
0 a' j9 e y* t# o# @7 L+ r
; e0 u) b2 D" g; i* o, S& `6 E 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
' L" `' x- V5 [ ! a# t- R: M3 G7 E7 G* B
) a0 Z" g9 @( L" B Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:# u7 ~. m( ?4 t Q) r
! [: p, A& a9 i/ B- r- T: _
- D; f* M! x, j5 K# \9 U
% K1 U) B1 Z8 P
4 a# ?7 H3 G) O8 \5 `1 e
1 T; a+ S5 I G( \ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: n9 }5 ~ p' w
/ k! v7 o6 r4 p, v" I7 y, M
: v' p2 u& O4 i- M6 n 1 z$ U" `- a N2 ]! a9 n" t
8 @- p" Z2 i) N1 t. w% |9 o' j& i
. K( r+ C# k5 q# E7 I
& w% g7 a D) Z3 Z ) G$ p( m3 q& K
( Q% K/ W5 P t$ r( Q2 h 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
+ }8 u+ D" C0 u# \ # B( I1 O& J/ M; ]8 c0 X
' U' g2 Q& l2 ^4 E: J0 u7 _
t2 I" o* d1 S5 @+ ? P
0 \# v6 b+ }& _) b, Z6 `; n
6 J, O, d( L% L% j# Y 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
. x/ z, C9 s: l) G1 Y t ' M! B. [! R E- N) x
2 m9 G6 c4 j& m0 t' X5 r2 @
5 N" G R; j( ?% Q5 k
$ ^$ }5 z. v: r9 o! `3 L, v; d
8 H$ [; j6 R6 m7 u: v* P1 ] 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
S4 b6 l! s" U ( n B4 U. B8 {: b+ r8 s
3 j9 j2 n! P4 x7 Y: m' m; C
( p, C1 W: J! A" y( J: A
' p: d" g B! l5 q
5 R7 e1 I3 W6 g9 ~0 B& Y 解密admin管理员密码如图:
' @" Z+ ?6 D) b; Y& N) A $ u& Q' ?' X" c+ u
% E% t% _& W' i' N2 Q/ y# u
$ u& E3 D. E: R1 t2 w1 ^ & G! a, H% g: c" |
) F1 P. s% q4 l5 R
然后用自己写了个解密工具,解密结果和在线网站一致; G7 ~5 D. W: a
8 K' X" {$ A! o1 g( [4 s
# x1 `* Q8 ~2 z5 E( R" a7 a 5 T Y: q( e% H) ]: V4 ?$ T$ p1 S
4 P5 s& Q$ {4 f4 o# {& Z7 V- k$ ^! X. C5 X
解密后的密码为:123mhg,./,登陆如图:
- n) o$ |( \8 Z" `8 R+ L / C0 H s0 `2 R0 V5 C9 f
, D ^1 \, x% Y 7 t5 |4 y& z2 ^* a: @
6 g9 m/ B+ X. ^8 R( [7 [2 r# X
# o3 R6 y6 r: q8 r \
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:# F% }% C* Z) D/ d. P
' G& s1 c7 B- O* h
+ ?# c! F6 {; ], a- y# J; i 2 \/ }. p+ }6 N$ i, n( d8 J, |0 d
( T/ [7 o) i' E. _9 C: w) @7 Z$ l; C* i' \1 g y1 ~
2 Y9 e8 k6 }7 _ V `/ `. V7 P3 ]# }7 a" h4 i
! @. Z/ [: P6 _( Q4 s2 G6 o 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
[5 O* D, |9 _# p' ?2 {/ n
( ~* D3 M2 }1 J7 n
% N! k% c) \) ?! u* R, Q
3 s3 ]* g$ y: S( f% ?. [) c+ R4 G& U ' j/ t H4 @" K6 h! G# j* {
/ D( i0 \- S7 h, l. U8 [ 访问webshell如下图:
, ]" m% [% W& ^% f / E1 a6 @- ]8 |6 c2 d" T
9 N k6 t. L/ m. C
# t8 S2 J) f' M0 z9 u - }5 `! V" Q6 ^" x2 ^- n+ {
) G8 v( z% t% r0 F t/ } 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:: G4 ]7 V4 z0 S$ e7 y0 @( H
) Z5 F/ D# j) M) P7 |6 G' Z+ f
- w1 y8 K' i* d! |* O, N: _& y1 Q 1 E% E, f( K7 k
, Y! i; I; i! x6 t$ P d7 f2 s* l
+ C3 I+ s) Z$ K4 J# W9 Q: R3 R
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: K' y0 X# X/ t# w
1 a3 R2 u7 n8 G# X
* T n- [8 g4 O5 \
- J' F( _) } A- x, B" Y, y
. |/ x' y$ M+ F2 x5 x( d3 Y3 d' y5 t
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:1 G" B/ M8 ^' Q
8 s. y7 U. I5 h+ d
4 q! o* o+ R; D; k - j3 x2 @- R0 S2 O
* T" a# `! L& e$ v
2 ^1 \6 O M' c3 H; L# U; R 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
( _; W) Q; A, i7 C6 Y8 H, Q% j
5 t; ?4 Y% L% u' S5 x' X2 p5 f, a
+ \! G) s; M: D- G$ d 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!9 F' T$ S. \: w0 r: b+ `: h
) M; M* P7 n7 X- J4 M9 {
' o/ `, ~& W' |
* t3 h/ i+ d1 R3 Z& |: u7 p
$ D5 w6 h$ K% X; x |