|
+ @6 T( W; G1 s" R 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: m2 N! I( G& Z) P6 [* v9 a: a2 Y
. z n+ P5 ]- \) W4 E4 U& J
# S. M% P4 m1 t3 v 
7 b' H! m6 M# p3 T+ t" Q2 U/ C 3 z0 w2 K4 l, @; {" c5 D
' _* t5 R0 J/ o9 I+ w
然后点vulnerabilities,如图:. x% e! l4 J. h4 K$ ]) N* ~' P
$ G/ I5 @' c/ g9 ~$ `+ W" d' A. H% q$ }- ~, `, M, v) H
4 G5 |- \- I$ v. _3 H& E 6 E D8 a1 p0 s; a0 Q+ X0 i$ ?
5 ^: k$ t# }! P: w) c; y 点SQL injection会看到HTTPS REQUESTS,如图:# y! j0 P; d \ R, U* p
$ Y4 e; m2 U: `2 I
7 @* J$ p0 h3 o& R* s% s
 - D% C! ^9 W0 `0 s) _4 e
) G) d A8 B8 W; I2 h, d7 i. g
. D" L8 s6 }$ C( W' `$ H: A, |; s
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
: A2 s, b8 U4 Z" h+ l* V( z1 S. y , z7 ^$ G7 T6 C2 \5 q# n: V0 F
5 i8 }- F2 _* f% X$ j% d; D: Q Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
' v; h+ ]7 U5 y/ N, A* f. H+ x 1 K/ A# C5 w; n/ s
0 y, ~+ x; q$ d0 P5 S. J L 
& O9 m/ q+ P; L# X+ @
: y7 e+ h+ E; J1 h6 ^/ \" X" p Q* \ x, G# `
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
* H: ^3 {) i) q' q3 B4 \ . E1 h O# ^! E' Q
& a' x1 U! U% w+ x- q2 D: t) a0 M3 C3 i
( {8 e$ H1 ]* ?7 j9 ? " G1 r4 q0 N9 M' w; }* o+ ]7 r
Z6 q. Y7 ?" p) i) k" i
 ; l9 M- k2 C% r
3 f0 D; J; K$ K# G. o7 t; `
- g& H) {+ i9 e# b* M. v7 g 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
8 W6 a, B7 t: `! ^% B+ X & w6 C2 [* g4 C1 M4 ?; q) F
8 {9 C% @, C: P 
9 B4 S8 L# F& G- f& N
C8 ^! T! @, {/ W" m8 i/ C: K( b7 a$ S
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
N& l. I; Q& h |# U2 _$ D- S7 L2 w
1 R5 M# }$ G& O2 f: ^" Z
" Y" F5 Z+ M/ |! _8 M' A1 R 6 z( }% z+ |9 H1 f% M
2 z1 k0 }4 f7 {1 P' o# Y 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:2 x2 K( ^0 \! k$ A( A
: W* @- Y% Z* u9 q' S/ i7 A L8 e6 P# u0 @" B) a7 e/ h
 , }9 u; h' s4 P& ?
4 |& H- w/ j9 X( U7 R9 q8 j+ ?& b, O \8 ^4 o+ ]- A9 w% ]
解密admin管理员密码如图:6 U& J0 F |0 O8 I' l
# M6 z+ y& w% v) C! p- q) f1 A+ @# k6 a5 ]0 d& L+ ` {' m
 7 [0 I6 Q9 o% y D
) R" r! b7 T9 b5 @% N3 ?4 K& d
: p) R- n; j3 ] 然后用自己写了个解密工具,解密结果和在线网站一致
9 [. @* Q' k4 G7 a% ]" i$ Z8 {
( n9 a; X' [) U1 T, ^3 p5 y& D: k8 G0 N$ o0 B- y
& q- t1 s. h! k% E5 f& { # r' R7 J$ C2 r3 [
, a( Q- l/ x/ ]* X- F 解密后的密码为:123mhg,./,登陆如图:, [% w' \6 ~! x: h5 [ N
0 R" |! s2 l2 W" {
# y" A/ ]; m1 L& h( i 
' @ A" F, r/ X: N$ V$ E 7 R% e( E/ @0 Z3 l* W8 J
" f6 H; @3 O3 `: Q! A 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
+ {5 B$ b1 L2 k% X% W( V! n7 N" O ) w. B! J! c1 w: L- u
3 v9 P/ U) F) u% i! y7 d: {+ M
% s: y, P/ P# i' ?1 c2 q( \ 2 Q$ w! {6 F- h1 U, P: ?; |
0 N0 K# {. e0 B) }) h& z 
0 v! t+ W5 k( L0 v( A ) U; F ?8 i3 B" N- ^% V* \ N
, \9 Y- j6 o" _( {: ^
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
! |5 }( o4 _' T0 \% W" } 2 }9 g: L+ e, |- r
! N4 ]4 f; ^* x3 J+ ]# t 
( [9 R0 H( B# v5 v
7 e+ y/ Y. V4 ~) \/ x3 y2 @
9 Y! u6 N! t- M2 N, v* o 访问webshell如下图:
% H; ~# E% p" W1 Z6 E
7 S9 ]3 ^9 q, c; X9 e& P( {$ q+ T3 [+ z4 e" Z
 " ?- C2 Z% Y+ R* F& w6 C2 b- z4 U1 @
2 D) D u3 U, P. ]: d' k
! ]0 T# C5 q/ C k; H: b+ {- p$ f
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
' O! s6 s( }4 ]7 O
- t& O( y! ^0 a" @" U
+ q- o, E9 b) E% Q2 n 
3 d9 w7 B; {6 i6 v) o8 W: s
8 `6 D) c9 g; r& ?+ y
" Y I! w) Y7 |9 _ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
; c- u8 X& [7 H: h' N2 t. Z# Z
3 t- }/ `" ]5 T7 h# N6 o0 F
" O" \, D4 O& R3 b) m5 z  a! T9 Q; \: Z' P! g1 _
$ @3 U) _0 g. T V; \/ s- J
& |# v4 L9 |6 R8 g4 d
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:/ q) g" K1 g) j) R2 Q3 X S8 ^% T
: B+ o" b& J! A1 [* C+ m W7 M- o/ \
" [! X; u, `; j% }2 P3 m6 i  ! Z# |; `4 W! |
# H2 @7 B% J" t% D. W$ @
1 U _; T% J& B: n" p8 \; z
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。! T I$ P' _! M8 w5 v w" j( \
. o% E! N8 q& H3 Z5 J9 y$ K' }! r$ o. A. _1 r3 R! `4 \4 B
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!# t3 i. ?* M: d- F$ ~
, h2 L- P5 @( T2 z% A! D, W
) i, F( M1 R: B: M " V! U+ b2 ^# P) f3 p
* t! @9 O: h& X! X5 v+ h | 
发表于 2023-11-28 20:23:22
收藏
支持
反对