|
0 C, s5 V% v, `7 `. R! @
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:7 y8 |! o" h v2 A7 A, y/ Q
7 E8 f$ a% v% y1 N& P: i2 v, l7 j1 V& ^! m
 ! u! m& V, w3 [% @. e; g; N
$ h9 {4 S* f" H: d! o# Z
2 w, c, A, t% v* m; l 然后点vulnerabilities,如图:; \( X1 }" w5 Z9 h+ e' s
, R4 B/ f) \ N$ ?
; s2 R1 I3 x; u: [# H5 @; e) |: y: ^
 3 r S1 p0 P5 j% E) v" x5 N1 N# r
3 K) I }+ ]7 c
6 }' _3 G3 H, u( j. I
点SQL injection会看到HTTPS REQUESTS,如图:2 D- d0 P0 T2 U" M6 s& S7 B
( y6 S' N( d( b
! Z: c7 |, F, \: j3 J# L
. ^: h, A' P; ?: ~1 Z. P+ q % ?) W5 ]6 L2 y. G+ W
/ m2 s2 Q0 H4 i3 I 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8: I3 @& F0 B4 ~, `6 n& u
E( z: K9 t. r6 J1 y
. I6 D& N a9 n4 v% o3 l
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:; [1 t% ~2 ?5 u; A
0 z( r% M. J' m
" [6 n1 _$ ~; Q+ z: E7 z5 S& Q) n  5 j8 V; X+ E4 m5 L! m
- T8 S$ H- m8 j( T5 T' P0 {9 N- L0 `: t M% ^
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
& z* I# I3 p. e, l- d' K% v " J D) a3 e& ]6 z1 J: F) `
8 K- k* `+ y' I0 A) ?
 ( m: X, ~9 a; K
, I: y+ D2 o/ B! x; c: G
2 F5 u8 X& S/ P# j7 V 
4 j+ M9 D+ p8 `( _) f+ N 9 U4 X' g' K% \9 }* K: V" a
+ C9 Q1 c4 _3 N" L2 y4 b
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:& Z5 F1 u4 v! ?* Y( [, y
8 z2 U# Y' ?7 O6 q; k
0 x" F Z! C/ n! H0 [5 f1 j4 d
9 l: i, M& R( }2 c
, t" \+ o+ d( |% p1 c$ q. |1 N3 l! R+ E# D8 B/ ]. n* J3 C* ]* Y
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:: K0 ]# w6 X& D6 Z1 n5 }
$ r7 _* Z& \5 _+ W3 H4 S9 C1 x
- R3 T# N' v2 u( X
' c' O: @1 L* V; Z
7 q: b% O2 T. e/ C( I0 j# v k1 j6 r+ J" U
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
* ~$ N- i& z/ N! D; A
8 ?0 u% h# I0 M' G+ w
2 {2 j1 k5 M+ @& R5 _ 
' |0 p+ P; {: U% F / P0 \. n5 F& _2 ~7 O1 i& i
4 I* P0 |! L2 o) m
解密admin管理员密码如图:5 y# p8 F5 X. O; {" p' l
: n. F2 v. T- e
' K, E4 B& ^9 B, ^0 S L8 d
 ! o7 G" ~" D& i- q9 z% e
- e K' j9 @2 { c, s; A" @6 T: J0 a
然后用自己写了个解密工具,解密结果和在线网站一致
. H D% Q/ N4 U( v$ ~- e
; I8 y9 H2 [# l* Q3 W9 X, B5 ]2 I$ e
! j* `! Y- t" N4 y O w 
G6 {3 \7 r1 `: U+ x Y, P; j4 @ p- d 6 v8 x1 j4 t. y$ S$ H' K( ?
0 ]4 B O, ~3 \: p6 r: c 解密后的密码为:123mhg,./,登陆如图:6 ^% t# A, _! D I( [
/ A5 h. T, V/ ~ U
% D, e3 z% [- Q: H% [  ! ~# N4 U# }& p8 d t% X
( A; M1 {& c1 a( |% E D. M. a3 f: c$ J% w3 Y$ Y1 m$ a0 `+ b. ]
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:/ S" K, e P9 w+ x- B# ^1 M
# z% k0 p2 M' u6 b5 d# K
4 j4 z( t8 Y7 u, }, D 
5 u* ^3 n2 H+ ?0 W" p
% |" i$ Z- f) [0 D: U9 @0 y# C2 t" U; j, T- F
8 w+ A! ?3 [, H1 J ' T: r9 J" b5 h/ u
& y2 V1 C2 [) V- n( J! R
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:( b$ ], z: y$ K% G4 ]. w
7 B! `8 p" q1 _$ ~. O4 N4 }: F: _
$ x' I$ o/ K4 a; @
8 H f) u# H" m# l4 C ' A; r- v7 M' j
& {' J6 s4 V/ h5 G$ G3 u" k 访问webshell如下图:$ c3 B2 ~/ J/ m8 S- f& Q
* V, L+ C6 @6 p
& ]( g- e# B1 u8 l; |# u; J9 D 
2 \9 e# o7 R0 w% q7 j4 F `/ T
- p P3 g0 { Z2 Q( q1 Q( n
2 S: m" A, K, J; b; h0 }+ ^& A 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:/ Z; `5 a6 T2 L5 V& R- I
' E: r3 ^ y3 \. v# m5 ]
" M8 ^/ q+ H/ W" Q3 a  $ ~6 N" K, Y) n. f$ X3 e7 U# c
' @6 _% _6 w4 u: F: ]: U. n: X8 P: w$ S9 X* y2 k; W* w% f
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:" j1 M/ B4 y* A
. J! U7 a, M* t0 p
+ a6 l- ^0 ]6 D6 c$ D
 7 h4 @: J: J3 a: [* v
$ Q+ c5 F) X3 J/ A" W m" j6 K- c! F2 ?: _4 `9 d
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
$ |. x! X3 N4 G1 D % U1 S, T0 U3 o/ ?$ }' R2 q
% y1 Z; N6 i9 Y  & U. y/ ^! r' _# U% p8 `
% B3 `3 I* W+ {, U3 A& @/ e) F/ e1 v1 U) k; o
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。, d! A0 E1 a. D$ E
+ U$ [7 ]6 T8 T$ e! m" a n
# Y6 K# C7 I3 M6 a4 L3 W
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!. A( u, g& T- ^6 \% b
) k) }7 B1 a8 K- p6 q& \+ G1 b6 d
3 y% ~6 c# u% V3 w9 L& w
$ [+ c# X% T/ G! M+ k' B
/ {( g( N; Z& i. w7 c* U& m | 
发表于 2023-11-28 20:23:22
收藏
支持
反对