|
3 o+ u* n4 E& f q' w% e5 k! n
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
, s0 ]$ b* p+ f6 }, Z. d 6 l' K; h' p/ f) g$ N8 U5 p
( |0 @/ n/ N% X0 m5 ]  5 x9 U2 \' Q$ W- Q+ l
2 `1 M5 u m$ z
0 }. l) \2 |9 z+ S7 h 然后点vulnerabilities,如图:
$ G% b* k, j! _$ [& Q# U
% q% _$ z {: `* b& J; f. C" r3 k% g* h' s1 }8 `
 0 C8 ~ M1 e L! @% O
/ L" A0 v) y- L8 o
% u; z5 R: R- X! e0 F% K% g 点SQL injection会看到HTTPS REQUESTS,如图:* v) r3 U4 f' A/ I% V
- R8 J% { g6 d0 t! j z! Y, F
' \. l0 e) L9 c& h1 X4 D: S1 c  % R( ]% @( z5 w) c Z8 K
: C5 q) {3 }3 L- K' I* b" S; M: |
- C7 d9 X# j7 _' T3 P: h 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
$ O, R+ W9 w( t
/ K$ G* D% Z V6 R* d
# C" K( l* M/ R) L Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
! i" g0 B0 B% Z0 d8 `: J
8 f* Q- \+ t( y9 O- H2 ^ G6 d2 Q4 E; j
$ r1 W* I+ T0 O3 w6 k
* M/ O. {) S' h4 ^; t% y* a( K! s7 N
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:2 o! V4 I K5 O# o$ L( l7 u" b
. |# i9 |% G0 Q1 i! A- v
7 k" x( W$ p& a# G! y 
z' z) ]( e( f1 X* e) P6 K 8 x; `% j2 d4 u' i/ Z8 s0 [( O
, H+ u" m9 x8 f  " J2 L. T: n( V2 Z
% s3 l1 f0 C& d% ?/ W+ d$ |
8 q) z# G% V5 k' X
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
$ {2 z7 }; ~% _* q# j$ a$ k! \ 2 b1 D& d8 y5 v
- i8 |1 f3 [$ v6 x$ }  5 i$ T* m- e. G" w, m# A
1 d0 `' ?: w, X q" M
% {3 i A6 O; h: C' u" p0 l
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
0 f0 I7 o- \+ X! ~
2 [% B3 @) Z, A" O0 V: w6 e7 k" B
6 v1 P0 q$ w: F# ?9 j 
. u0 [& F. S7 l( { ^. C
) f+ C3 H. H7 v: p) Q/ f& H# y1 }; Z. o7 c2 I6 w% a
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
2 {: g$ d7 U, R7 b8 T# Q, N5 ~ - D2 a# B: k6 x: ~$ f
3 v' s" T b& _: B8 P7 W
 ( l3 r! Q* H* y! |- c# X: f1 x
5 C+ |# H# m1 U6 W/ y1 Y$ @1 t8 S4 \/ `
解密admin管理员密码如图:9 o' ?, C. L* |7 a; [4 H l4 x
6 F8 y& V1 l* z; w0 L
) \8 q) d- L2 q8 [ 
( a' U6 j% e% M* w% C
& N! H* h2 U# p; }. t1 d8 r3 d! K
然后用自己写了个解密工具,解密结果和在线网站一致, T; M r5 m7 d+ G9 i0 y& Y
8 `( m c& r9 n; z
" P% y0 N1 g- h. Z5 ~4 T 
( H- \: V/ Q5 A+ H
9 L8 I- {+ }: A* x+ c
5 Q$ w9 V D% a9 Y4 E 解密后的密码为:123mhg,./,登陆如图:. U0 L, D' Y$ }1 g3 C1 {/ n
7 A% N' _' x2 T( E! W! m$ p
m2 a; m- r& n& g8 h, `: z 
+ D- G g2 h7 N- D( E$ ^6 F2 P/ G V
2 B4 K4 j& ~$ f
2 ^0 ]! |; ~5 j; p* Q5 y3 \ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:9 \/ X, p; X; d8 o; I }# l
; S5 a, R$ l e/ N! H. U
0 B$ S8 |. Q& C9 C# l7 H
 ' n4 v2 _ x/ `$ m# J5 L( R( @
& [% M5 u* q7 d/ a3 [' E+ ?6 ?. p7 v6 q% o2 ~% S: ~
5 G" @% x# Z: }, ?
$ z5 u, U( b; A" W9 p- R9 Q3 x# L
! X [8 F# L8 {& R8 C; @) X 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:+ E( `6 I& p! r7 v) ~" T9 j* Z
! N& i: m% g ]2 Z
5 u" W' d- A6 z" e, e) v: r 
2 w- {- k) d! G9 P
/ b5 i4 l1 G9 Z6 D. t6 U1 U* f% P# L( W) ]6 v* f+ F, N3 q& Z
访问webshell如下图:
8 I6 T$ M& C( L- ] 4 L4 d7 o$ ?, |9 } E1 E0 a' _
+ }) l+ F D4 w
 $ r7 f. j) K/ A
" y& b: d8 X) ^! B6 ?: g) z3 {8 h
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
5 w2 J- t; o% l) P) _1 N w/ t # O* X# [9 G+ Z& T% P; ]0 |+ o
* e- C; d0 O# E# g/ M- Q- ]  ' a' M$ W' ~% t+ [4 E8 X
8 W3 T ]! K$ J4 g4 F7 I' K- P6 G" Q9 o2 v+ k2 f( S
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
4 D- _' E) D! ?2 i ' B$ K" ^* @( |
. m9 c2 |8 [; ^' l/ }8 R" j 
W. x& o/ B: ^ # e9 ~3 c, L$ _/ j1 \; s, V- [
2 P9 H F. q ?. Y5 o 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:* x. g" }. a: P6 M6 I8 W5 v s
2 h# d( E7 p# I9 g- X
1 y1 g8 a1 X; _* P 
6 N' ~9 F4 A) \$ j) X ) a' D4 Q3 g- X w& |1 ]# r
* J+ K4 z$ m k; h' _7 g
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。1 ?+ N# S1 A1 f7 {. _. z& o0 R
8 d, e/ C9 y% x, W5 ]1 i& g7 f, P) Y/ |/ {0 B# o6 C0 c
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!4 e/ R3 J, H* O+ i1 l
- d1 Y$ n q) n
7 K( f& F" ` o
1 C7 n8 V" @4 P/ ?9 c/ h% C
3 T/ d. D+ ? j" r. {/ l" M/ o | 
发表于 2023-11-28 20:23:22
收藏
支持
反对