|
0 O& @+ ~+ _- o7 E. f e 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:% l. q, r( K; l4 G1 y9 x! V1 [
9 B0 e+ r" I8 ?- B1 {" k2 F3 `
 2 ]7 t5 r2 W' ]3 I9 H% a! e3 A T8 G
4 @, R M( ]( i5 `' P) Y# ^) y0 X6 U2 s6 {
然后点vulnerabilities,如图:
# f) M4 g& g, t# q# { d6 T - }% {& { `0 l& Q
) q( _$ ]" i3 ^8 H# m6 |# b 
: }5 Y1 j H) Q * q$ u1 ~. h; s; Z. ~
+ v9 h$ Z$ b: j% E0 N8 n 点SQL injection会看到HTTPS REQUESTS,如图:
# o) y9 W, S b
2 D+ W+ M% b* J: S$ E1 @
0 |3 a8 {- ]7 p# }  # U* T3 P# T5 _8 M4 L
8 ]1 ^" ?3 R4 I! e0 {: h) A, A+ f4 L" ?
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8# l( i5 r* q; _2 u8 f4 Y6 {1 s
7 A2 V2 @ G- o( R; g Y) d
' T) \) f5 c) S* U, e1 { I9 u Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
4 z% ~& n# i" h) O/ J
% T3 N6 b9 ~9 a
$ x# V8 m A# E! L 
* Y q, q8 y y2 m; P3 A / F; V" ^! z% B! g) C
+ p( F( D1 R$ }) H7 E' e* A: ?) v 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
1 n0 b) n- S, g \' U
) Y4 S L" m4 ^ e
% Z5 D! f$ H- W( u3 P3 ?0 Y  ' g' x+ m) f |( o9 N' |1 e4 T b! I. P
- ` M. x' M2 j: y" E' A5 c
$ p# B. H1 R5 k5 a, | 
6 c K ^: c7 D/ w0 M- F7 ~
* `9 i' e* B3 \" t6 o3 e. C
& {* X6 }* T3 m. ] n9 l 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:: M/ m) L( R1 Q7 ?8 ~
" b1 }8 b9 Y: u/ J: a
, e# _3 y1 o8 s  " X/ t$ ^' D5 s* j7 t2 n5 ]
' f% G9 y; t4 n& E) z- R3 j% J- h
; @$ S2 J. L( U% j: |$ D# Y* v$ O 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:& Z9 H* T' L/ D, ~+ H- \* z
# m) z; t' X" ~" ~1 q2 m
# d: L) w" F3 |% W; \
( R1 T* q9 f2 V4 U. v6 T& I
+ _) T6 D% S- p. A& m# ~
& P# \% r% T T1 \ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
* ]; S ^9 D) e
. h( j5 K( x& \, M" q3 V
* ^) d2 e% i/ s+ y' h- |4 t- i9 x) P  ' \' ~" I3 t. W! ~
2 Y4 O6 u3 ^5 M2 S' L$ M* E7 \6 I+ g; B- y5 m3 A: n
解密admin管理员密码如图:% X, V5 Z, [# K. O7 j2 b* R; u
# x; X; A% I: k' `- F' v* x
: }0 @! ]! K& ?6 I) ] 
) v3 D3 K5 Z; x 9 v' |! K# g \$ |) U" c
8 L8 {* w$ N7 l' j7 d 然后用自己写了个解密工具,解密结果和在线网站一致
8 ~# s7 I% f' |4 k
; E9 D( y% K; d" x+ X$ c5 p0 \( b4 ?; V2 o, s% f
 ; l5 K# _7 P2 |! j
. Z1 D+ O! A+ z7 ~ S
: x) w4 v+ ?6 ?
解密后的密码为:123mhg,./,登陆如图:4 c6 a. @1 `9 C
8 Q- V/ h7 U1 y$ C& U* j
! r# K- w; l; ?4 s @7 u  ! V; a* R, K& Y Z: p1 D r
( P1 k: l* E- B8 I8 ~1 c4 N* P( W% q2 N c! e
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:: ~+ ^5 M. U# z
( t0 q z* C* z
8 M. g( q' | X& H0 \4 [ 
. x5 a: T6 |9 I
. H2 | B' q* g! i' h8 P& R6 l6 n0 x- t& w% q+ C, h
/ F- H; r8 Q2 x; ?
5 T3 F# T; O7 w7 k7 O ~
1 M+ z% Q0 C& i5 R. L' | 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
. w; Z. ^+ q* _5 c. o; y1 t2 T& F
# r2 \4 L3 x9 X1 C! U
, P9 j) G5 f$ _! m( x6 f% Z 
! f) @3 H0 Y# w: Z! l) y" C/ h- c
- G* U! D6 O/ w! b- d
' Y) N3 P$ ^6 m6 B! h 访问webshell如下图:
5 X+ g; f" S' `5 C- R- ~ : R; u, r( S' j( F K* t H
) D; r( z0 A, D# C, H$ p ]* C% h! r  ) G+ T9 f, ~6 |' i9 ?
" {5 c* p9 J0 L) r$ i8 c: L. e
6 b/ ]6 V1 o9 q! W! n 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
5 M7 ?# t/ Q- l
" L: g# u+ W3 P' @, O
( X N) E) q' b" \2 q) |& r3 c* H  ) k, @3 i# [ u3 D3 I6 h1 N) J
* I8 R% x/ X8 R6 W0 ~" ]/ z/ h; T0 A) y5 v9 Q! Z
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
3 O( Q+ h% z" g7 L
& m6 h# G% U7 V: ]# V# W/ `) v k" p% t' K" f; M( {
: C: k) @* Z& c9 O3 e- H* R 2 t: u- p0 W$ K5 ?3 B$ d! ^
1 ^( i2 W: U' V4 ` W4 M$ B* h
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
% ^3 o$ W8 O, r2 C4 m $ Y1 M/ M6 C/ t0 N& R
' T3 L* f* N, R) |. z6 H$ T5 z 
( S9 l- Z8 J! @- k7 @6 E
( I0 \7 b, ~3 s! T8 a" C, W: \+ c' ]# I# ]" U. ^/ F
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 [& ]8 C% @+ Q% K6 T0 K8 \
4 I$ Q+ x6 Q0 ^$ \( U& j8 Z3 T
3 ?+ {' L* P# s( X 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
0 x2 e. Y2 ]3 f* Y6 W ' S" p: O5 r3 t4 b& B/ z
; M# r. p7 e( f1 s+ t- k7 W+ e) ]+ g
9 ?4 ~2 {- n# [, f$ \2 u! J
$ E9 ]# z* m" Z/ [6 j* G | 
发表于 2023-11-28 20:23:22
收藏
支持
反对