" L B5 f+ D% F3 H* W' a 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
& ?% I9 C) W: `6 h
$ t3 x. @' w8 o2 a f" J+ A: I1 m, i
. }% f5 v1 x! `" w; o, U
/ X6 W6 n4 E1 Y% x4 ~5 \
( U; E9 o# T! ?5 k+ G
* O" [ c7 L+ D# i 然后点vulnerabilities,如图:# F+ \4 W/ r1 W8 Y+ B' M4 S1 E
% L! H* K% @! K6 f' S3 H- H9 S3 P9 ]; Y- Z6 r7 h
5 l+ t+ x9 Z! o; n3 ~
3 E! J D+ P+ M; h: D" s
; ]% s) I/ y/ v/ h; n5 t% u9 a$ G 点SQL injection会看到HTTPS REQUESTS,如图:/ ^9 c& T+ Y7 j( Z. G9 o6 q
* J* u1 ~% [' T
1 g' @4 ?* f& Y5 o k
! X1 q9 d+ R% F$ x6 Y2 J6 I+ W
4 a* s H# U$ B# C @( n" ~7 b
9 N$ N0 q4 _/ V% l7 g 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-84 U! y1 L" F+ `# p) b
: q& {2 o( b7 I3 U6 D4 h* ?7 V* z
2 j2 X: C |) c! g Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
& Q/ {/ H2 S3 ?5 K, D( k
6 z; o+ B7 T" p; c8 {. ~1 h. y' [9 J! M" [+ |5 L
/ P' p3 w5 z: {
9 t# [2 Q2 P* p# c# M" y4 R$ `# g
9 o- e1 D0 K+ M4 S8 E" J& n
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 t( f$ e- d# C9 S" G) N0 T2 |5 A
( z+ x0 d$ ]4 @5 o) ?5 D2 \7 t# L$ p8 _! o4 j% A
! ^2 a9 Y" U& j# ^, k y0 y
! L" H" v+ P% |0 t* ^7 B) s$ e2 O( m
/ W6 n! O8 G+ B9 k
& [% V) W0 f& R5 T- ^' f
3 Z4 Y5 K3 v$ `$ `+ w. M a2 L2 u 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
: m$ s) ?' C9 F! B% x; {
' ]# h$ l h* N5 |/ }/ M
0 G2 H" x% ^5 P( S5 w1 R 9 o: b, z* p" L, i5 U0 P: g2 G; r0 [
K1 P, \) H) D1 l: ^
# _2 c2 T2 ~/ t, m 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:4 o# c8 \+ n# @7 Z2 ^0 s( t& _
) G7 \9 `7 \+ }9 ?- ]# `: D( `: K) v5 C, B% F
. Q, c; U/ @# M; t0 ?7 n) Z5 M
; X. ~6 q7 C* S$ I/ a* [
3 {2 W `0 E5 y0 g* w 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:5 z5 M& x/ |; F% \. R( Q. }
1 j- E1 |! Q) {) X x& }: |! S
( a# m6 F' F* `- m3 \ # U& R2 z2 i7 r. X
8 a8 C. @. @# u! H& D# _- i
# W2 y. h& E; |5 e- t 解密admin管理员密码如图:+ `2 [. z8 {) k; E1 R' `% r' M# J
: C6 `: G" d( e7 c) x- E6 M' [
}3 D( w: d/ s( s7 F! w3 J
6 T' m4 t! ~& x$ b- u2 K; O
6 S. v' S/ ^& L% S2 I
4 r" N* w9 r& e 然后用自己写了个解密工具,解密结果和在线网站一致
- U4 O o- b5 a& ` F - U0 x4 Y0 Q3 b% G$ p0 V
2 r J/ G2 i/ X! n
, u: `( }- A3 K : U% n2 t3 K O% |
/ z* f+ D9 B9 t$ \$ M7 {3 e
解密后的密码为:123mhg,./,登陆如图:
5 l5 |4 u' Q. i $ T+ [' m# d- p) l9 L
# [; M0 J, s/ Y 0 P+ k, m$ m, Z$ x$ i8 S
* |3 w* q( j: L' @* w. K, z4 B( k
0 R9 ~3 k1 O; B3 S: `9 e9 C 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
s9 |8 ?7 q; s* |# ]" L
@+ g" r( k* o v
6 D% f8 c' r0 a" z $ i |# D- r3 a5 \$ q7 S" [1 K1 o( L
, R) s q! s/ ]. a, J" k; P1 U
6 L4 E" S1 U8 E# Z
/ s! m% V+ r$ g" G ) A. C9 P! H- d; s% L! n
- t2 j5 q! s: x$ U; d' r, ^ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
3 ^, T% h4 v/ _5 C _8 B+ n# r
# v: P% ^; k: z7 _0 b) ^2 b0 ]7 s! O9 X9 f% D, r' h! z1 h, G
. E) r* S/ b1 K! |' g/ t6 E3 h S& Z; W7 {" _8 u
! N# |$ I6 a4 a 访问webshell如下图:6 C; K* U! X B- Q" J$ n: J
) t' D$ c( s: a1 L. Q+ x# g3 t
* t. X) @5 e; p. I. x6 k2 t) b
! R5 O3 M" o7 j; O t' b/ F
, O& H) Q& G' ^3 ?$ O# @5 P3 N2 o: Q. c2 C
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:* Y' T0 |3 w" i0 S
! {/ j4 {4 V) v$ \/ H: m
4 G* [9 p! l" R# ] . J9 p) Z+ C1 U2 y6 h, p2 f& U
8 K8 s" E8 T2 c4 l+ Z; Z5 [, o" q( l7 h- G
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: o+ T/ J8 Z7 p$ F
. N. e! t. \6 e, @. e
1 b( I1 _- O8 | 6 B7 m# [8 a0 n; G
/ H5 U( S/ v; O, `$ C9 m
* C; Q7 R% }8 O4 y# L0 h* k" l$ F
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:2 i; W+ f0 c2 b( H- m
- d. Z* b/ ]# n: t4 @' @
( n3 w; ~2 Z5 Y3 `
" G) M! f- M/ N- g , ?* ~7 k/ e& a" d& M4 c+ D
& O* l A7 F& E6 V' A. ~$ Y$ f
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
3 _* M, w0 G/ p) [. I( V
$ b C' P% ?0 D( ~$ g0 T' |8 |) B2 {1 x6 D
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!( |, U* q2 y9 }% S! }0 m
1 Y' L3 h0 ?9 R/ e$ e
g' U( |1 F" h0 M$ w* i$ e
" N# ]5 o s. m& S: S
* ?9 C) l) A5 u8 b D |