# }2 ~" d0 D) P' j$ R- @, j- ] 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:; E; c) T+ N0 F' ^5 n: q
! y/ w; b+ x) c% v' Q# F9 Z
/ x. O+ e4 ?3 }& t 9 j& M! D. H2 N* I# k9 B$ T$ Q7 u
6 ]% A' Y4 I% \& _! j0 w( @. M+ _( ^3 r# L. H8 g; C( n
然后点vulnerabilities,如图:
- e7 t) G: G5 |0 G1 M
# F9 P- \! z7 a) j
! ~: |0 g. I: C$ _: Y- [ 1 q; G/ u4 G5 ?; m- W6 u% X8 X4 Z
, ~ }4 H1 C6 T6 ?0 M5 N$ t* N# s# M6 E/ |2 W7 D1 J
点SQL injection会看到HTTPS REQUESTS,如图:
# ], i+ W8 D: M$ V) S; {
0 e6 s9 \% z+ r( ~: J
9 z; t5 B7 t- W/ F8 J
& g5 e/ }4 ~8 h6 }% ]* D1 z8 k) O6 l$ D
; W: Z) I9 H% n! E- x5 h6 r0 ? a
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
/ e& _2 l; l$ \ : ?( _6 Q/ a% L7 D
! b; T, G- i) f3 Q+ p* B
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:7 m) p! M) e6 ~$ `
9 i* w6 W5 }2 c
1 C6 [1 w- v2 i" ^
8 Z3 o! O, I. @' P! A
3 C$ X& y, M+ U, O# R$ p- y5 l! o6 }: ?
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
" i; u2 C* \% E
6 ^5 u5 \. c/ u, B1 D0 x- S8 @$ q' I' B
; r% {3 {7 ~8 M6 ^" I
/ P# X" A. T3 j, S; c
) J3 h. y0 B# P6 w* x1 ^ % [: k" r& w9 |7 p% u$ _" ]
' X! M* M- G0 Z) t. O( w: |# y
. d A |$ o1 B5 L8 ^6 j; Z9 X$ i7 p 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:% s7 J$ C. X1 Z( s6 u: D
/ @$ U* M! z h, E1 H1 `
! A3 K: z4 k+ L4 ^( x7 ^3 ?5 `
$ n8 Q; T6 U/ a- ? + j4 m2 p/ y ^. o, _
- M0 W1 O+ ?; E" s9 a 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
& q' }& B3 X. G & ^( x) `) ]0 j: B+ R
, \/ k% Z9 C$ H, f* I5 R ( n3 F# w$ q& P) U' l
- M9 k; r$ D; `, S
, S7 m4 i: l; `. w9 s8 X 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
! o, |( k# `& @2 d
/ H9 R9 {2 J4 |. t2 Q& h( V% A% j; m
1 c; s( ` o8 P9 T3 @' J' w
9 m9 s+ z/ P% ]& D2 i
& P+ G/ \* t9 F, n7 @7 P7 \& w* R" \ c
解密admin管理员密码如图:2 ~, a7 C2 ^5 D. r
6 J& L# u9 V5 p* B7 N7 s% d# s: N, q4 [9 F
- n* d! w$ [- Z1 V4 M
8 }0 i, H) O/ n& O9 Z1 Z. i F" F
, K4 `+ K# A0 O0 ` 然后用自己写了个解密工具,解密结果和在线网站一致8 p# s+ ~& c+ y6 C: X& v
1 z: g* k# y7 ^ c6 r
8 s! b5 L, q1 R) P3 u k4 N
% F7 d# g( F% Z* I0 Z1 N& g
6 y q, _$ Q; W& p$ p; q7 \
" y! J# y( j+ ^3 B# V y7 X
解密后的密码为:123mhg,./,登陆如图: B! P" n" B$ k1 h/ x% i c5 b
' V; R5 x# H2 a; D( o* n9 @7 ]7 q0 J9 `: K3 m* b9 k3 h
/ h6 O) c; H; l " j2 c6 L/ r9 f* C3 D9 |# Y8 S/ O0 m
2 K# x% ?' F- `9 q& m/ `7 ^9 e 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
- _ Z* Z3 x" L , r* @: D$ |9 n" b
" f [6 |& ?+ C, n$ \ f
+ e. @- B' X7 \' c b$ G0 s" }/ g) H
9 _6 i/ C6 h0 W8 K/ G e
, P. U8 g& }, s- ^" h
6 B3 r) v* L/ S, N8 x9 |/ d: O* v/ R
$ n7 e( F" {; A
$ ~' m0 V( W4 V" @) _9 F0 d% s* g 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:& ~ S, \8 I! l! c6 @) `0 n1 w
6 S- o" y8 f- x: I8 ^+ K
) |9 Y; ~5 [2 O3 r8 O5 ~8 @6 E/ k1 N/ a( A
4 `- W! p! B8 _
Z7 x" n! P% u7 G
' c% E& d7 l1 M 访问webshell如下图:! L4 p0 O( s/ Y1 m
' @) N( q0 h5 K u
! o7 e0 X" ]- w7 a I; Y1 v# ? 9 ^) R1 D2 r6 x
; p+ e# x' R& V5 [: L( w( A3 i/ u/ r h$ M3 f
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:; J9 a+ q" P9 I% z$ a6 i/ t
0 G1 ~# f Y2 _$ p" A3 A, z+ j6 |$ Z/ A4 G2 H
" d: O' p- [2 ]4 ?8 y; }
& V- D; ~! Y8 a& e
8 p2 F+ d8 \) c* i 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:8 o3 |& n; F( p6 k" m+ O% G! K
# ~/ b" h1 {+ H
" V3 @+ g. Y3 ^8 D
. l' s; a! Q& t' n0 T
+ e2 `3 A& G" p
' f; ]1 S0 Q Q' s" k1 O* q( a 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
) p/ u' ?5 L9 A
" k& w+ A9 \" Y, R3 @
3 @- h% }+ g6 u K$ k+ c . F" X4 I7 \: C+ R8 u
7 c E: n( Y7 G! _' ~2 X
O2 M2 u% u% U 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
; K7 B3 `5 \! v6 Q& _: a
" k) Y f" n N6 d! @& M g/ S2 o. p! y+ P# E4 S
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!: v7 F8 p+ K& a! o% O
" M' W4 j+ M: W0 r1 K; J' F* Q- E
2 _3 w8 [! l2 T+ _ : t. Z# B- G' |; y
; Q; K0 M& ?1 o( z8 V$ q- Q
|