|
5 i8 i+ T/ z/ M5 r8 {1 z+ }3 m5 `1 c
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
. I" b9 }' Z/ f/ w2 R
2 ~; u( H$ b: v5 Y( X9 p5 L/ e" ~
* w7 z! N% t9 [. }+ U. }" l" @
. B) h* r7 s7 B( ]9 c. }2 U
* z8 u, K7 N7 u 然后点vulnerabilities,如图:# u# |: [& V" ^5 H' }
+ Y, S1 b9 Q0 b
! B) v: ]! p# p3 I& J
* t, C" L! G5 q. k4 u % `8 l( |* |* E* \# I
0 f: R# @9 k& I3 R3 }( @
点SQL injection会看到HTTPS REQUESTS,如图:) M* d4 W+ E+ E9 A' F$ T
) K# m$ F( B* l8 F0 H
+ G5 U( |* y$ q9 T9 r 8 v2 {( q2 e: M* _4 \
& F8 w/ R1 \" S( @2 }+ Y
+ s7 j) i- a ]& ]' U 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
3 `3 L4 d) B: W# ~ K' C ! w, c; C0 S* _( o4 G3 ]' D( z
1 ?5 H; q# g/ m2 N1 L4 _% o6 ^
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
7 n& R, z; L/ Z$ P* N6 G, ] & c1 j/ {3 O6 n5 Y. M
: p2 n- ?* g* ^ K 7 ^$ \, C* R# S
- V( n$ j. y$ p# ]( y1 A0 b* Y
7 k4 r7 i' }8 l1 Z: J0 F8 O 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 Q( o5 S& E3 t5 _# M
6 W- }0 R0 p! R4 U: k
+ h9 b# g, T; N8 e# f
4 L7 d5 e1 `# o- `$ y
9 }$ h% ~) n- c6 p# k: X4 m' E9 U
7 k5 o4 L0 ? d( w
4 G- M' C4 }4 K7 v 5 Z# q! D" R/ @: Z9 U8 c
; B/ r6 ]$ J/ s$ K 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
1 U4 W3 ?' f( V. {. _; u
j; w7 X p+ E9 @' m$ Y7 D$ w5 c" i9 k
2 p7 Q' B; q+ o9 R+ J1 M 2 R$ S# [; I$ F& U8 ?2 e* ?% Y
! {* E) `8 T, k5 h1 ~. \. ]# u 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
: x6 ?# j4 ?* D% @ 9 i3 }$ r5 r8 f2 i6 ^/ @
1 v" J) j3 s6 c j
! Q0 s0 I; @) N# h O9 r G3 J
+ w- u, K0 q3 ]) ~8 F2 Y* a w C. n: K/ `9 O
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
7 E0 L# D* y. s& r3 S6 W ' A# q# S3 I, e5 Z; Q, s! P
4 y. ] [! y9 R; f; n1 m
: i! l8 t- M; a1 \: L" S$ y* O6 n
) h* U2 o9 ?& {2 t) M# W" l9 h- c; d& u4 e$ L
解密admin管理员密码如图:
/ q6 R! Q0 ?% _. r( y ' [8 O( O6 G+ @6 r% \
f3 v( ? J4 X! O
+ s s. L# v' u* F# u' u% b$ [
5 E; ?* i$ q& g5 \0 s* h& n6 t# U# n% n$ B7 h
然后用自己写了个解密工具,解密结果和在线网站一致
% M& O- `' Q) {) g4 j) N& M " Q5 R: E" x" T; B x
& ^, X0 R u- ]9 Q( M
# j* K$ F: @- Y+ A0 H8 ~! o7 N9 Q. i 2 y) V. X6 X/ [' Y; b
4 p9 j: U# o! F, c& v
解密后的密码为:123mhg,./,登陆如图:
) v% l# C9 s3 s4 n6 [
1 \: h1 j; V' u! ]9 A$ b9 O
3 A4 e& J& S( {: p& k 0 ^! e6 q8 k. d0 C8 u. o& F
E0 @ F" V+ {6 B) f1 G1 z. ?3 E1 {6 o
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:+ d5 r3 ^0 g" f. [; D# d5 k& C7 G7 P
; Y* F; {& I ]* w6 o4 U) f% [1 B! l$ n- Q
4 X* D. k3 J$ Y. [% a
O* X9 X& I% r' C$ _) d
6 e! V! n, v, s d C' g 8 D+ k2 |6 t" {( j+ Y# |
8 ^3 s0 {. V' [
3 B* }6 q1 {/ Q# p/ j, b1 r2 l 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:2 d" W. N% C* ]; @" U" `
3 U* r# v. e- @8 Y: v a, d) Z
* D* n. [) }! _ b0 V& a
( E1 e; \+ V3 [* v _* g3 W
% p- V; }' Z$ N8 w7 Z1 N! K
6 T# j( q8 z0 Y6 Q
访问webshell如下图:+ X P- f3 |5 l8 j; h% t7 \. P3 @) K
1 V, o3 S3 N% b* v# D6 H8 i
# o/ C( N3 c% d
" h! m8 C0 L& K
1 Q |% k& z- [% h8 \+ `, T# Y
: |. Q( l. E7 H" o# L% p7 | 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:7 p+ q8 }) U1 S9 t/ p
5 H% O, \! ?; \7 p! w4 |- e9 u! }6 h+ V" T* M
: d& C0 Z+ ]1 f/ D2 R
( o! t, \( R. S p2 I. u& I' Z4 h6 c' k8 ]2 K1 s9 V" i) ~
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ @, N- F7 A( A* T
* V0 |; [* a. P. \* R
6 W4 U8 D! I+ Y T }; R5 W7 A* p + e3 z+ j' |" ?
) S$ K8 A& A2 D& O. O% o' V+ B
) W2 y# ^1 o2 ]0 B
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
% S& t, N2 \; D3 n
( z- S- h( m8 K6 \( J- Z+ r9 v" }: M5 P- x/ M m
8 \ M( e* C. r2 G# W# b# l
/ v+ O3 i, u! O" D! m, \9 s$ @$ j$ k9 O
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
6 E! d$ z0 t3 g+ Y/ ~$ g& s - }% M2 c! ^" v2 l; v8 N
' U0 |0 a7 K) f5 v7 b 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!+ _/ v& k& q0 `- Y& E
2 O. Z5 F+ @. F; L6 `/ f
; r" F' ?2 r+ _! f% s8 V
) m8 E( A" H& J
5 [3 f3 y3 A7 y: O |