|
6 ^/ K- h: c7 T4 `, k
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:0 O" W8 t0 j0 |; _
0 G+ S- _) x+ s9 |8 d% I
2 ^7 W+ X1 s- m! R$ r, a 
) k7 T% B0 ~6 |1 [9 S) q8 o( R 8 ]5 |( D* a; v! p! ?3 c
2 |7 |& F/ o) S' {* i 然后点vulnerabilities,如图:
6 o- w) ~0 z8 }8 X$ L3 @ - b4 P/ L7 g. m h( W* u% L* P
$ @, ^+ I5 [# F1 ]% C5 e  ! T2 a. T0 p7 f# f
: \6 V: |) r9 P& F9 w, |6 P
1 U& z6 \/ M9 F8 h 点SQL injection会看到HTTPS REQUESTS,如图:1 E* M. J) {; t! H; P1 F
) L& ~; v8 b' k m6 M
: ?! Q4 H. c/ R  ) A# C2 {# L; q$ N
0 N) u2 b& L6 ]: ?3 f7 e% H: w+ u" t$ D8 ^
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
7 @0 T- B7 C: T- y( H! b" e " g- q/ C& l. ~+ L
* N* D% R0 h4 g9 j% n
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:) p( h M0 G' q9 P$ A, q3 O
3 z& ]: [4 B2 L: I. ^9 u. R& s2 [2 t J; N$ J% M4 Y. c/ I
 / t) U" h: D( j/ |; ~& w7 K
3 r2 }1 R' t/ I2 `' D- Z/ m7 |
: Q1 \- L! c) T$ t 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:2 Z' t7 A$ J( q: t
" t2 x: e# u( S4 _( ^ }; y" a2 h/ x1 m- x; T' }3 i
9 ~8 B p+ X9 \ 7 G! D: ~3 D& G4 b* o' o+ x
7 ~2 Y3 p" Y; o 
- D) u$ p3 j/ o2 G z ' z1 D& T% r# v( G
+ N+ m: e* |2 s0 B 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:" |5 }' d4 l+ ?; |
" S" d L& @; k- \8 E. \
7 l) j$ b6 {8 _" ?& s  3 _4 r' j4 b& e' N
* E5 }0 V+ Z4 J4 C2 J( @+ A
8 |' L+ v& Q- M; A0 x 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:$ {2 n r9 Z& j/ P) k
6 N$ C9 o3 T" a% I& s; T, z
- o4 U- {) O% p9 |9 r  . ?; c) K& C) Z: W0 C+ X
( z5 ^+ t. @4 |0 m
& B6 U6 D9 f- a6 {0 p: _ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
( j# k/ N2 F9 q- C
: l* W: o& l% P- v! K* x
9 w1 G; x+ o$ l  ) J. ?' }6 b5 ~. }2 g* S
. ?$ {" {9 a3 l- F8 m9 U
6 y3 W; K2 U+ w- k V8 Z! E 解密admin管理员密码如图:
: h% |- I. o" f' d2 W& w8 O1 d
+ B5 F6 g+ V% b" G- h2 \" [ j
0 x+ f* c2 m0 K9 ~) y4 i$ A  . v: p6 { f0 Y B6 k5 O4 G$ ?
% | F& ]. J- f; n; b& J$ X/ E4 {1 l6 F$ D7 I+ c
然后用自己写了个解密工具,解密结果和在线网站一致8 h9 J) v5 s- y$ ~' `
2 E U! Y' O( K# M
# F4 Q3 I' H1 P0 H+ R; z# t. ^  # E2 v- u2 Q2 F) L
0 |( M2 d4 v" V- I& M
2 c2 W9 J7 u5 [+ m7 c% z
解密后的密码为:123mhg,./,登陆如图:1 ^1 I' w! s) e" m! j
5 X7 J& }; j, } r2 r5 j0 z7 a2 N2 j0 e' t$ g
 ' L0 K' f9 x6 }* [. e7 R" U# y5 S" ~
- J& D3 j4 C. N$ n! M7 [# B
8 o5 R/ Y" v; I. o: H
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:; V8 {& A. v E0 y- W2 j
& q f5 E3 G* c7 {1 ~/ A! Z7 D# p9 z" X7 y7 o: q
4 q* B3 u0 a) U; x: f2 d
, }1 R" M0 |" F. p, q
% H. J8 W" y8 d i8 j0 n6 Q3 J ~4 t 
0 }) q$ d; \+ O- |. k" F0 m6 L \$ s; u* |' B' u- F
5 b3 S5 C7 I5 q! d2 \
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:- u& W4 [3 j1 o4 t9 J
4 p; S% v3 | V1 P/ P5 P' x) x4 k$ ~/ c( N% w* \
 1 A# ^. b! `0 h
: }+ k) s: L/ D# U+ f3 C5 S% A9 \
) p% d6 Y, _7 f 访问webshell如下图:2 w7 [& B; Z, J. ^& J+ @
1 P* j. l* i- Y
Q" [3 Y1 g1 C2 s
) R. w8 g$ B4 `; m , T/ ^7 [& }' G3 W% f. f0 Q! }
* g" ^$ ^- I$ N
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
* _+ _0 o% W- r D) h& K / x9 v+ u7 K4 _# W2 p% P# P
8 O1 P! G' t y8 I5 O4 q8 d0 V' f: m  7 r3 m, T7 m3 W- ^- B. n8 n
) G4 }& O0 c- d3 N5 u' \1 [3 R# z2 V- z, q- T8 E
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ Q* a' d5 \+ A0 S6 B+ {; f+ F% u
" C/ |/ f& _1 j+ m+ q+ m; C9 F
+ A* m$ ^* d& _ 
) d' {! l( Z( D( b
9 ^+ i# z2 M( y) \: [% M0 P5 w4 s4 @4 a C' g
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
6 M2 Q4 ~7 P4 H7 Q
J: U- b/ G- `( _) _3 D7 V* W* K( w2 f; \* S# m
 0 K1 z7 o2 ]' U2 Z; C
+ c1 E( D" g8 z% e0 ~4 o' m
9 j: S; g! F' F4 k6 k# P 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。& }" o4 r( ]% x! g" b
$ `( @+ [ i9 G' h# _ Z% @) S' r
- T, ~* k0 u" y 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
1 E0 q% g: g5 X- v
1 K, D# S4 ?6 d3 J
0 o' Q* r. _6 H s" l : B4 K6 S3 h! o" ]0 u
( K! e, j$ l" M9 u4 V0 t9 U/ f) X" A | 
发表于 2023-11-28 20:23:22
收藏
支持
反对