找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2009|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 i8 i+ T/ z/ M5 r8 {1 z+ }3 m5 `1 c :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: . I" b9 }' Z/ f/ w2 R

2 ~; u( H$ b: v

5 Y( X9 p5 L/ e" ~ image-1688134638275.png* w7 z! N% t9 [. }+ U. }" l" @

. B) h* r7 s7 B( ]9 c. }2 U

* z8 u, K7 N7 u 然后点vulnerabilities,如图:# u# |: [& V" ^5 H' }

+ Y, S1 b9 Q0 b

! B) v: ]! p# p3 I& J image-1688134671778.png * t, C" L! G5 q. k4 u

% `8 l( |* |* E* \# I

0 f: R# @9 k& I3 R3 }( @ SQL injection会看到HTTPS REQUESTS,如图:) M* d4 W+ E+ E9 A' F$ T

) K# m$ F( B* l8 F0 H

+ G5 U( |* y$ q9 T9 r image-1688134707928.png8 v2 {( q2 e: M* _4 \

& F8 w/ R1 \" S( @2 }+ Y

+ s7 j) i- a ]& ]' U 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 3 `3 L4 d) B: W# ~ K' C

! w, c; C0 S* _( o4 G3 ]' D( z

1 ?5 H; q# g/ m2 N1 L4 _% o6 ^ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 7 n& R, z; L/ Z$ P* N6 G, ]

& c1 j/ {3 O6 n5 Y. M

: p2 n- ?* g* ^ K image-1688134982235.png7 ^$ \, C* R# S

- V( n$ j. y$ p# ]( y1 A0 b* Y

7 k4 r7 i' }8 l1 Z: J0 F8 O 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 Q( o5 S& E3 t5 _# M

6 W- }0 R0 p! R4 U: k

+ h9 b# g, T; N8 e# f image-1688135020220.png 4 L7 d5 e1 `# o- `$ y

9 }$ h% ~) n- c6 p# k: X4 m' E9 U

7 k5 o4 L0 ? d( w image-1688135035822.png 4 G- M' C4 }4 K7 v

5 Z# q! D" R/ @: Z9 U8 c

; B/ r6 ]$ J/ s$ K 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 1 U4 W3 ?' f( V. {. _; u

j; w7 X p+ E9 @' m

$ Y7 D$ w5 c" i9 k image-1688135070691.png 2 p7 Q' B; q+ o9 R+ J1 M

2 R$ S# [; I$ F& U8 ?2 e* ?% Y

! {* E) `8 T, k5 h1 ~. \. ]# u 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: : x6 ?# j4 ?* D% @

9 i3 }$ r5 r8 f2 i6 ^/ @

1 v" J) j3 s6 c j image-1688135098815.png! Q0 s0 I; @) N# h O9 r G3 J

+ w- u, K0 q3 ]) ~

8 F2 Y* a w C. n: K/ `9 O 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 7 E0 L# D* y. s& r3 S6 W

' A# q# S3 I, e5 Z; Q, s! P

4 y. ] [! y9 R; f; n1 m image-1688135130343.png : i! l8 t- M; a1 \: L" S$ y* O6 n

) h* U2 o9 ?& {2 t) M

# W" l9 h- c; d& u4 e$ L 解密admin管理员密码如图: / q6 R! Q0 ?% _. r( y

' [8 O( O6 G+ @6 r% \

f3 v( ? J4 X! O image-1688135169380.png+ s s. L# v' u* F# u' u% b$ [

5 E; ?* i$ q& g

5 \0 s* h& n6 t# U# n% n$ B7 h 然后用自己写了个解密工具,解密结果和在线网站一致 % M& O- `' Q) {) g4 j) N& M

" Q5 R: E" x" T; B x

& ^, X0 R u- ]9 Q( M image-1688135205242.png # j* K$ F: @- Y+ A0 H8 ~! o7 N9 Q. i

2 y) V. X6 X/ [' Y; b

4 p9 j: U# o! F, c& v 解密后的密码为:123mhg,./,登陆如图: ) v% l# C9 s3 s4 n6 [

1 \: h1 j; V' u! ]9 A$ b9 O

3 A4 e& J& S( {: p& k image-1688135235466.png0 ^! e6 q8 k. d0 C8 u. o& F

E0 @ F" V+ {6 B

) f1 G1 z. ?3 E1 {6 o 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:+ d5 r3 ^0 g" f. [; D# d5 k& C7 G7 P

; Y* F; {& I ]* w

6 o4 U) f% [1 B! l$ n- Q image-1688135263613.png4 X* D. k3 J$ Y. [% a

O* X9 X& I% r' C$ _) d

6 e! V! n, v, s d C' g image-1688135280746.png8 D+ k2 |6 t" {( j+ Y# |

8 ^3 s0 {. V' [

3 B* }6 q1 {/ Q# p/ j, b1 r2 l 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:2 d" W. N% C* ]; @" U" `

3 U* r# v. e- @8 Y: v a, d) Z

* D* n. [) }! _ b0 V& a image-1688135310923.png( E1 e; \+ V3 [* v _* g3 W

% p- V; }' Z$ N8 w7 Z1 N! K

6 T# j( q8 z0 Y6 Q 访问webshell如下图:+ X P- f3 |5 l8 j; h% t7 \. P3 @) K

1 V, o3 S3 N% b* v# D6 H8 i

# o/ C( N3 c% d image-1688135337823.png " h! m8 C0 L& K

1 Q |% k& z- [% h8 \+ `, T# Y

: |. Q( l. E7 H" o# L% p7 | 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:7 p+ q8 }) U1 S9 t/ p

5 H% O, \! ?; \7 p

! w4 |- e9 u! }6 h+ V" T* M image-1688135378253.png : d& C0 Z+ ]1 f/ D2 R

( o! t, \( R. S p2 I. u& I

' Z4 h6 c' k8 ]2 K1 s9 V" i) ~ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ @, N- F7 A( A* T

* V0 |; [* a. P. \* R

6 W4 U8 D! I+ Y T }; R5 W7 A* p image-1688135422642.png+ e3 z+ j' |" ?

) S$ K8 A& A2 D& O. O% o' V+ B

) W2 y# ^1 o2 ]0 B 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: % S& t, N2 \; D3 n

( z- S- h( m8 K6 \( J- Z

+ r9 v" }: M5 P- x/ M m image-1688135462339.png 8 \ M( e* C. r2 G# W# b# l

/ v+ O3 i, u! O" D

! m, \9 s$ @$ j$ k9 O 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 6 E! d$ z0 t3 g+ Y/ ~$ g& s

- }% M2 c! ^" v2 l; v8 N

' U0 |0 a7 K) f5 v7 b 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!+ _/ v& k& q0 `- Y& E

2 O. Z5 F+ @. F; L6 `/ f

; r" F' ?2 r+ _! f% s8 V   ) m8 E( A" H& J

5 [3 f3 y3 A7 y: O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表