|
! @5 X n& X m$ v/ _3 n8 I; x( G
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:( a( N6 g+ ^, {( J9 U* g
, u+ \: a, x7 l; p2 p& L
/ h4 V$ h. p* u
$ m$ U" t3 F8 A; {/ q 4 H6 K2 q+ q% T5 R, r8 I
4 K7 E. g4 L5 y 然后点vulnerabilities,如图:8 v& |5 u$ {# Y5 }! f9 k
+ \8 g: w! I* w$ D. z8 }2 ^. P: h, ^2 e- v' E" C
* l. h/ X, Z9 k' N8 {5 I+ o" Q" r
+ N' O& R# Y# J! S* m! ^+ g {5 O3 i
点SQL injection会看到HTTPS REQUESTS,如图:
* y6 y5 A$ }6 g- D& [5 p % W6 ^( l2 i6 l
/ |) q) W% e; S 
8 t1 q; A, ~: i) E a4 q: ?
/ t2 B/ l. h" F& e0 L( ]8 a& t0 j" f+ L. g
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-82 Z! R# B8 N2 v* I/ x. Q
! k" v X3 |" Z, F4 Z
+ u. E& n! c- O- b: u2 M
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:( P1 r, ~. m3 N: P
9 ^2 Y C$ F: o- {; {/ F
+ V9 r: a( F* L. H+ T* Z2 @% Z- A, { 
6 s7 D, @8 _: I3 W3 Q
7 y G5 U) Z9 y: Z
' |3 e. s8 T* Y! P 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:0 z/ a6 t3 [8 C1 L& m) y# l9 d. H
6 z) s5 |5 k2 }# I. K
' p [" K# Q5 _' E  ; E. Z) A `! t; _3 ?6 `
9 {4 N6 } P+ Z; @# ]$ Z$ j
& x& A/ r; }& Y9 v/ w- g% t  0 ?- N% ?+ z2 j8 S4 H2 ?
' H C5 \) t3 h, y# X
3 V0 x1 p- B) v. p- V I' v' V" v 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 g3 P$ E7 q5 j
5 e' b9 k" M' E% b6 M( j
4 J- _% P; v7 ~$ r! x7 m. O  7 [; @0 f" \3 Z& q s$ ^6 \1 B7 |
+ j% D7 }" S! o/ U: \+ N
' I( S* t+ h: j% j; x# t 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
* }0 ]" D9 ^/ E6 r
; x% b) I: d5 h3 A, M) d: U& R
/ z, |" W1 X( T+ T  " X6 s% i/ }8 f5 w* K
6 e0 z# F; Q0 a2 f
, y. ^) e* Z- j5 _7 I
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:2 `/ k6 U: l! }: `' o) W
$ D- P( R/ X3 C6 G# ^# r
5 u% ~6 d: m# C$ t5 P 
" N$ ]8 d5 u2 Q
! L) j, @# K8 l7 K
( K p* d4 |) W! r( I 解密admin管理员密码如图:6 {5 t: O& y& [8 z V3 t! X
, B' o/ B3 K( r1 ?0 T5 j! G
) j% M& H ]. I& D5 b9 f  $ F1 t1 e$ F( w: S. [& D9 [1 x
7 }8 K0 k8 O& q; ]" j8 T
@% A, z4 \6 Y6 [ 然后用自己写了个解密工具,解密结果和在线网站一致
* O0 o' e, M4 [3 O
" m: {) R2 Y& Z2 O7 @& A" S, s% C! g0 e: n
 / N' T2 Z+ w5 b6 W
+ j/ k5 ~( D4 q- q' O
5 {/ w h( h* q 解密后的密码为:123mhg,./,登陆如图:4 |8 Z: a. G7 X- ^) l
8 v5 Y! i0 D& \( S
' {" ~& c$ y6 |: |  , K1 Y/ Y( n8 U
- e; \4 M- r% R6 r# s- K7 H
* i1 e. e' I; q8 Q; x0 i" r; j% d 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
$ Z1 t& X0 E1 z d8 F! L 6 X U/ D3 M' b- Z3 l$ c- ^/ R
, ^, o, j6 a) r6 F: V  " V2 [7 q3 R' u' v
9 `* m* E. L5 H+ E# B: u' B' Y6 x- _% N
 & _6 ~) M8 p: l9 c4 A
0 V+ s0 t/ y8 x$ D: _- J4 ?4 N$ b
/ s3 p9 n" T* {, b6 ^ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 e0 z! j( J. ]+ h6 g* h
2 J$ K) \. T5 U- z& P( O+ `) [4 ^
J" ?( _ i- @1 u 
7 a9 v3 e2 ^3 ^4 F( T0 u# Y5 g) R
5 n* a% g* p* q" k L' X2 Z( z) m" [4 D" v9 R% ^
访问webshell如下图:
8 d$ G" \; _ y! m! u+ ^ % k" v' `" a- v6 E
3 y) t: r5 I& b7 A
0 @- v! A$ S) ^. G; X
* w1 L0 z' ~, p5 g7 \" F% k0 H
. p6 V2 `3 P- N) e 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:6 R8 t. F9 [1 N) y# G
0 z" @/ A. m$ U' T
: |! h& s# o# s8 V
 & t! E: u9 g: O) G5 [$ [" M8 @
& f. O, S& E6 f$ n8 | _+ p# g* s! b5 N& k( L2 w
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:% C8 v c2 H1 x! l, _; }" E; p( C
9 w r* d$ D' A! Y8 W" E. x, {0 y$ V! g2 p- E0 v9 b2 P" D
5 j# L! @+ P, A$ S& J& ` X. Y! d0 n, z ! v- o \5 ]2 i% D; j* b4 Z" W$ m( u
: B% _2 I _ O. C+ G2 ^% m
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:& v+ I# [5 N; K
5 m7 B' Y" k8 X; h2 }
0 [' V2 O9 c V/ _+ _& N 
+ d9 k: U# [/ O( X, X
, t. J; k; o' C
9 `- @. w2 a! P+ L* i% j) ] 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
8 Z, e2 l$ [/ j) Q 4 i- a0 X% y* Q/ b' t0 A
0 ^ ^. H' V! R, H
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!/ ~/ t. }0 O& N) m% k: k+ M3 _- }# N' N
/ o+ y l `) N* g' p) R7 i6 Q, o$ g8 L( l, \( g2 Q$ j
. i$ {" e0 Z, G) i1 F
0 ?9 U9 s5 x3 L" L J | 
发表于 2023-11-28 20:23:22
收藏
支持
反对