|
7 ? R+ W ~7 k3 r0 l! k! o6 J$ Q 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
, Y h/ @4 o+ j& C& i# [ . [4 g5 y% L# }) M; I; N4 I
) U- D$ ?# ^2 ^6 j. M
 , Q4 h) @! b# m3 |2 A# h- b
! b/ B# m: p B) L) ^: r8 p! G5 j5 w: ~8 y2 C) ?
然后点vulnerabilities,如图:
; V) {' x4 D2 o1 b E" V% f/ H! \8 ^) t
/ y% i5 m3 C n l! u& t! c  & x" j b( ]6 S& {
- q! C- }+ ]0 p/ J' J! U
" r4 `, L `: G( z& f L4 ]) V 点SQL injection会看到HTTPS REQUESTS,如图:
7 x# V, L( [% O: [ # g3 Y& {+ K! M+ y7 _1 N) O+ R
' N/ V9 @, o1 _7 Z) [9 B
 6 C5 {2 s: Y: U# ^1 u
, N' X7 _2 G2 S5 h5 v
' E! L' E7 h4 O& f
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8* l5 P$ h9 i9 D6 w% e7 j( v
5 F9 \8 j, ]: d% y6 ?2 R" K" J! J9 t- O$ Q
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
3 {9 q# w8 M5 h. E- w) Y " A% [" @& H. Y; p
& G8 A* J$ Z% x7 W8 k# C" \* l* h  # Z* v1 o# ^+ b
" I1 u! n ^& R
3 q! k$ w5 c: t% P$ Q! M+ o- H Q 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
- Q0 Z7 W0 y0 \ * u( A+ h. u7 p0 m; b, V" ?
E- X/ c8 F! t1 ~0 ]5 L 
" Z# l3 _+ ^7 O( V( k
8 z8 Q. F# F K4 @2 {& ~, H. t& v9 V8 B
 2 b, _! s' K+ a
9 N X( x: |9 Q( I" l) w; ]% @; f V) P' ^
4 N/ }" {. I) E3 Y5 C# |4 l7 K 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:6 v$ B% s# m% ]( f( G: z) Y1 R$ T- l
* @1 n. ?+ g( f8 I4 B
7 Z$ k' [# [( q
/ D) a0 _7 k1 Q/ Z0 Z
6 ^+ Y7 L. } h7 ] R" q
- D8 _2 F. A! U% _" D- [ 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:( a! ?9 [, s4 t# y
9 U+ J# y& B. c7 g0 F6 z) X# i0 M- C# F9 F. P. [& E- U
 ; P, y& Y! F% x( f7 |2 n
3 t! e5 o" m E( P" k/ r7 y# ^. Q8 w" U9 l* k8 i' M6 ]
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:% `- a9 @- P- f
& ~/ u U- g2 W0 p" c* y) N
( ]: X. t7 W6 Z 
5 ~% Y. H- o. v F1 s ) R, [. \: B5 U- Z
; V. r3 p5 @+ q0 _+ s0 T% h 解密admin管理员密码如图:# z1 m1 D1 j% K1 } H! |3 _, [
! s4 [* H6 ~+ h
( a5 c5 b6 F" D3 }2 x; ]
 ! {/ g; {2 b( M
( D; r* r% y3 y* k- w$ ?
% g8 z k0 M; z
然后用自己写了个解密工具,解密结果和在线网站一致
, [; G" q6 c; E1 l
8 l$ V0 { N. X
% W; {- | D2 E0 G8 r 
! j! d$ T6 u# Y3 M7 Z8 F: `" U$ n + T ^# T$ T% y2 k
4 _% ]! |% ]9 W$ r% k( ^& r, X
解密后的密码为:123mhg,./,登陆如图:% s' d9 B* Z) B, }; {5 m
# i" T2 p5 E+ x) \' ?1 `/ l8 r
. R* v) ~+ B- M+ c 
( j9 b" d/ k8 s2 i3 M1 n# Q, \! u0 L8 g" A $ A' E z1 u: Y; v5 Y" r. p8 f
6 b, s: _5 V5 a- w
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:: N2 ]/ L p4 |5 a) F
6 a( `% c3 | j& O( l+ W3 A
) G- k R; M* S( q0 j  4 w6 }% V7 [* T0 }, z1 k4 y
* B! H; C$ c# s6 |- z6 i
4 H0 s3 C4 n6 H5 W$ k
+ h2 N$ ] q: f4 m9 F- V
# W! A J' G0 q3 {) r) ?# ~
1 p$ a, V' l0 p3 N 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
2 Y( E, ^ u/ { . O1 E9 ~2 F# B& I7 o0 C5 S# \$ ?4 M7 T
8 ?; B$ B2 A2 `0 P0 H/ m
6 A s. Z) \$ {# }
) n3 w$ o7 H7 S
( a' L O/ b: @% N& l 访问webshell如下图:
7 i! ?& H6 i( J+ I8 s
8 `2 b$ L" ?# `. A) e2 ~+ ]+ E* R8 h
+ r) \ l4 T! \6 Q
9 K3 T" _) [" G6 k& A) A- t( O5 V! u# w! Y% }; w; k7 h x7 H
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:% R: m7 B5 A$ n! _3 [
, n: S! O. s' } k ?/ j
, Z/ {; d! ?; F$ W* O
 ; w+ a0 X9 F$ t, v9 i
# f3 X4 ^$ I2 m" N
7 b0 G1 z0 X/ v& J" _# v/ X) I5 ~ c
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
) K% Q0 y$ V+ N @/ w; x& ]" [ 1 F' {( ^/ S! ?+ ?5 n
3 {3 k0 T3 |# Y* s7 u& z  0 G3 A# I) R! U, ^( \5 C" s8 {0 V
+ Z3 E' V- x6 K5 b
1 `; {$ m; o ]/ @& a6 P- R 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:5 Z: ~! I9 `1 n6 H# _# X4 `
/ F+ J6 z/ s+ f& e# V6 F2 S" Q6 s: l$ @9 y3 t, Q& A1 }$ u
# H# J0 \# g4 T
) i M0 O. w- x" Q8 r5 }5 @& ~ y; X# z9 Y4 p& T+ r
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。/ M5 w2 }4 g3 Q2 d) {. `: I
7 g% V" y8 O1 R( Z
- C3 |+ p8 |+ L$ A4 z2 ` 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!7 R' J$ v7 U" h
5 ]7 C0 P4 y6 K8 m3 [; Z: a" y2 x+ {. k2 W
% _& z4 Q: u8 k) X! i& T
5 \" Q g2 ]; Z9 M8 l& n( T
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对