|
& x$ r) K& p- r9 w1 r; Z 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:; U2 A. C, O+ t# l9 g5 G5 c' R( C; z
A. a0 T9 G0 d7 S+ c2 x: U! b/ |6 b. Q4 n( g2 | _. F9 e
) I% x' O8 \. s' I0 t+ A
. c A3 {: }3 r* L* x
& @' ~8 |; a) h6 ^6 a% l 然后点vulnerabilities,如图:1 }3 k$ F) c1 J+ [, q1 R* W
/ Y k! i# f0 @& D0 c$ F
4 \: k: p' M/ g% ?/ B$ N  . |% v6 r' Q) j* {8 y- Q. P% C
4 @9 e1 F$ y0 S- b9 T/ i- h8 L
- _# J* y9 f3 n: {0 X+ _ 点SQL injection会看到HTTPS REQUESTS,如图:! K) Z7 B$ C+ b2 n
4 n, _! J% s- `7 f/ N
; Q7 H3 H- e- o8 }7 q8 J; P  5 r: _( K0 v8 o6 U6 K6 f0 Y$ [
5 g& F' `9 _% W/ X4 i1 v/ l2 K
& T7 N. ?2 e! r2 b. {4 v 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; Y! C- U2 y& [
j5 y8 y k" F4 a: C% V4 H7 a7 Q
& B4 z# {. |: E Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:3 c6 ?( i( Z5 l/ C
& V2 Z3 j6 d% x
! J% x/ t) `- y8 m l1 G) o
 : T9 I$ R# t* v2 o7 R! _& k7 c
6 ] x) t& @4 q+ {5 e \
, s' M% A& g- I# A7 a& E5 @
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
% U( A* Q8 c6 `6 l7 ~# C& \& O% M, w( @ - w1 z3 u, G4 W! C3 q
. c% D5 B$ @5 W( p V1 L  % E& `+ R/ M5 a, _: F
+ Q! j, N( n; \! ]9 n- s. r( P4 W. j' c6 q
9 @$ [: Y, Y" p6 |- r
. m' P3 S b, C5 @1 O5 T
: Y% X+ K! p" M/ B. |- }- A 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
0 s6 m/ E8 n: ~$ a$ e
) v) @( \2 X5 V" p4 ?* K3 d" e, I4 B; B' C1 j, T
 " d& c; K+ w! |7 b* U8 @
# e- v4 Y. y7 G5 o( ^
8 T" B" Q/ R( _9 K7 t# i
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:8 k/ H; ^1 \! m' V0 a" O
! S/ J% g' Y$ z" p' |) P; s& a/ k# J
 6 v; G, D2 _8 |3 V
% Q0 Y& A: c- D" p& L4 R
" v! O% R/ M/ W 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
8 K I% M# L+ P' y5 ~ 2 U0 M6 {4 L6 `$ X
5 M& b4 b& n4 S- Q0 ~8 u' q 
, c8 R) D! X( M8 U
/ r* c6 r* ^: |. p9 q$ g$ `6 u/ }; ^9 p/ f; z
解密admin管理员密码如图: ]* N/ Z1 o! o) p. T, t3 s0 }$ t
) Q6 ? [9 X' g6 u
7 N9 b; j6 X% A# E, M 
" B9 B v6 A% [0 k# _# e% z 1 K6 s0 s/ y+ Q$ ?5 q
# g6 h) ]5 r* \3 Y+ f; u' X 然后用自己写了个解密工具,解密结果和在线网站一致4 ~9 h8 D0 T! C1 R/ J8 J
- T6 z* S/ M& b
2 J" Z4 |2 W" R 
% z. N1 e1 A' q8 z7 p% V 0 h# w% M/ j, m( c. U
+ E! J. G. ?! }3 [- j 解密后的密码为:123mhg,./,登陆如图:6 Y6 k& u9 m3 N" o5 h
" l. m! L4 @ W$ W2 A* E9 [; {, @" r. e5 Z" u- K
 0 a4 c) P% B5 Z" F! Y" K. S
! I1 l+ C. n# J. v2 N
8 p& k6 F z% r2 B) J, x& S2 v
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
, ~6 h, o1 a O: }/ O/ [" J
. \$ h* E$ u1 H+ h2 ]7 k8 i8 x) ~( g1 K- }
" \0 q/ o- i. s) Y / u5 h! t0 g5 F4 G5 U" f
8 i" y; @6 P. O8 a, K6 {  $ V' f f# P& a) q' D
) F, n9 O: ]) ]$ [8 u8 o& E
4 n5 A( @8 y- s6 U, c- N 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图: f/ g& R* P1 K, s+ P8 T
' p+ O+ \% s! k8 I$ L4 T6 q- s z$ n" V
 ! e" A- V1 e) Q, u) ?3 F
0 D, w& k- G2 |% _
: e1 M5 s2 s+ |' [% m! \; l 访问webshell如下图:, @1 g p; P" O4 r% K! x" n
4 c' P0 w" [5 o; U3 [
( q& M I, ?6 x" k2 [
 # O! w( s3 F+ m. @: N( `
* T: M( q f: Y
0 ^2 b8 g7 H1 B1 K
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
: M0 B8 a( c0 z. y$ s% T / X0 ^) e: S$ t. a2 P2 c; R
, C ]+ j* n. }" `- g  - m7 e) a8 @% ~; x
$ c- o) s' \' P5 j6 U
5 w! U2 t+ p, H2 X' A 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
* y( v w3 |& F& L' c # }* T1 v8 N% M2 u) z; m7 p
/ ^# G8 ]. v: B' T; n9 u \  $ Q( x$ d! K: l$ H, f1 n4 E
- M% ?; G h: f' I
: B/ C- c# f- Z# z% Y9 j 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
: P- R, b% ^) w% r' b6 @2 j1 M
0 Q- C- X0 e9 i2 R0 c) Z7 q+ M: K
, K+ Y# n9 d1 V, E! M* B 
& N8 H" s5 s4 g; s0 z* ]$ q
2 M b- [7 S- m# Y( J& u# c/ [; j6 c8 D3 M: _+ B
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。3 q1 O+ t. {5 W+ W" H
: f2 C, \5 Y) s1 X. n: G/ U) F( E" B
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
! n5 g/ D) S5 B - R: r: u3 g! |$ B# u2 M
' e+ j+ f9 E4 f9 N A5 h
6 u- k& \6 R- N- q' ~6 N: H
! o$ G3 O3 o. ^$ e9 _ | 
发表于 2023-11-28 20:23:22
收藏
支持
反对