原创-web渗透测试实战大杂烩

admin

注:各位同仁，今天晚上主要防止被限号来凑个数字，这篇文章本来是给一个机构做科普的，所以写的有点怎么说，反正土司的人看了会骂哈哈，大家凑合的看，文中哪怕有那么一点半点东西，能给大家带来启发，那么我这个文章就没白发，所以大佬们轻点喷哈哈，嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入，直接在avws下的Scans---target下点击你扫描的过目标如图：

; F5 I- x0 N0 b V. R

6 ~% y% |1 x# R' l

3 T% s) c. A/ i- J/ A/ ] 然后点vulnerabilities，如图： " n* j6 V1 R% y5 Q

2 {* X/ ~9 X7 [( V+ V! Q0 @ : _+ F: O2 o4 i+ \

" X' t/ I7 ~1 W. e" x1 S s$ e

/ |: F2 K! m3 a( m9 `) G' ` 点SQL injection会看到HTTPS REQUESTS，如图：

+ E/ E2 ~4 Z. u- Y: X2 Q7 [

* S' F3 H) `/ [1 ?/ [

) y1 C- l0 S+ a 获取到http的数据包，如下： POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 " B8 j- T* }7 w0 _3 ^7 ]

Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下，保存为1.txt,注入参数提前用awvs已经识别，注入参数是productType，注入命令为： sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名，dump就是保存下来的意思，会保存在./sqlmap/output下，以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图：

' ?+ C1 w- D- }+ v4 O( H ) J. Z+ J2 g. p

2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值，为了更深入的测试网站后台是否存在其他漏洞，需要黑盒测试模拟黑客攻击进一步测试，故对网站目录bin目录下的dll进行反编译来获取加密密匙，最终成功解密密码。 把bin目录下的dll全部加载到Reflector中，然后通过跟踪常用用户密码相关的类函数，得出如下结果： 6 ~8 I9 k0 o+ h, m8 O8 h: }' [

, d. G6 ?& B; M; s, Q- [* ^) X" \

0 s6 d: N9 m2 M" l8 k

@( M+ J$ e7 ]& O2 o0 z4 k 得知密钥是fkue且为des加密，接着定位encrypt类函数找出其解密方式如图： / d, C" B1 i% n3 d

' V% k5 W& u( ?: O r2 W

$ ?8 y3 S" g$ { x

1 o; ^+ J+ D& w. j( A

+ K" ^/ X6 }* J% W4 a5 q! d( V5 E 解密方式是把fkue使用md5进行加密，然后取32位md5加密值的前8位作为加密密钥，如图： 8 @, E4 H/ o# K9 U) M5 ]

+ t) W% s. X- N+ m2 a) F

; W9 _/ D4 g) y: i9 n! J

* [+ B% j( S8 D! G, x P% I 通过在线解密网站解密得知加密密钥就是：1110AF03。 前面sql注入步骤已经成功获取admin的加密值，如图： 3 c8 V D6 Z7 l) r4 L( Z

0 _/ c5 O6 d" w' L! a9 S * [2 Z) N. d( t, `' D- w" S

0 j. i+ R5 @3 A& T4 Q" P2 `

解密admin管理员密码如图：

然后用自己写了个解密工具，解密结果和在线网站一致 . g0 k6 j3 y0 t; g

1 g# e3 p4 q& ^; H0 V . E, r8 n7 ^) P/ g

! I* I3 x9 r9 Y0 U6 J# ^1 g1 g. ~$ U 解密后的密码为：123mhg,./，登陆如图：

* k+ a. \2 U7 |

5 G' ?* z/ r$ S3 k5 |: E . v( n) ^5 a' P. O

) G; c8 g$ O7 a4 L

6 k3 S0 J7 o' ^7 C 3、后台上传绕过漏洞getwebshell如图： 登陆后台后，在添加信息处，会有上传图片的功能，随后使用burpsuite抓包如下图：

6 g' I/ }! \, g$ B) k

3 d) d$ U3 \- u8 m: f4 o$ f

) U8 V$ r: b$ s

4 I) O* _3 l4 W8 [, t- r7 a; c

绕过上传限制，只需要把包里的filename的1.jpg改为1.aspx，即可成功上传webshell，如下图： 6 |4 `" V z; O+ t/ ^( ?7 r

8 s- [1 x( h }1 v7 D$ ?# ^1 E 9 Q) P) k8 E( K# k! |8 z" B

, e) t5 j( d0 g. G( a 访问webshell如下图：

( [2 |, n" ^: P) n1 O4 O

4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能，注册成功后，同样在上传图片处可直接上传webshell，链接为http://www.test.cn/userRegister.aspx，登录如图： ( M$ _* c0 }" o: V

2 h, i% @' G; f. H9 l; t

! O, S& g3 I$ h/ y # c$ G4 @ \- N: @- a

0 z# }2 u6 c+ a

在上传证件或者头像的处可直接上传aspx 后缀的webshell，上传成功后，点右键-属性，可查看上传后的webshell路径为：http://www.test.cn/Admin/upload/demo.aspx 然后登录如图：

' V: H+ S" b* K' F% D7 ? t+ n& R

4 o( s( W) n2 R- C v1 e3 ^7 P

5 @3 R" y0 j5 O

x O5 F3 I% C* h1 G' b* \ Y 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图： % L+ y# @; G! `# m( t* o3 [+ Z- v

# T. i9 Y2 K% s9 B2 k

y! D$ e: S. z

1 m1 r- T6 e- U4 N; l- [ 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。 - R9 T \. J! m" s) s/ W& g5 v

- h( C# H) W2 Y i' l. j2 X

6 ], ^0 R: |* T; Q5 H5 d 总结：一套程序不应该只考虑其美观与功能强大，是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前，条件允许的情况下，首先进行白盒测试，其次进行黑盒测试，再次进行灰盒测试。如果通过白、黑、灰发现安全问题，那么就要再进行一轮这样的测试，直到系统难以被发现安全问题，然后再进行上线。特别是一些政府、企事业单位，数据面涉及基础人口等敏感数据，一旦遭到黑客攻击被泄露，给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容，谢谢大家的收看！

h- Z; B3 O3 f$ |; U8 I   2 B Y/ N8 f) w# W

* [( D7 {+ W+ r1 z+ k% L