|
6 r6 x+ r3 |/ k" l( i6 s2 F 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
6 u0 m7 }- ]% B3 T( W
2 v1 y2 A- P' ~2 l1 k4 m+ D6 f7 B; L- b7 A
 ) \2 C/ H+ s8 o1 h( g; ^4 j% i3 {
9 a8 T+ R4 k, m- d n* o& F0 s" Q- ^1 t) f" A; C
然后点vulnerabilities,如图:' q$ x; |, U, ^% `# r
' j3 D8 s2 j h* \& Y
1 N/ E" `! y+ y2 h; m 
$ l8 e+ P# C% k$ p" y8 W6 ^# q ?3 r& m [7 d2 o
9 o. {1 X- l" W: c) d* Z 点SQL injection会看到HTTPS REQUESTS,如图:; s( R1 M1 V0 x, w. S+ H5 a
* ] R. V9 y2 X: D9 M' j2 g
/ C) c" w8 l$ ]- g
 # n6 `* s3 x- \# Y6 E) l( s
- s: x; T" b9 p1 }5 e4 G; A
% P, n" j$ J$ o 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-80 K. K4 g. e6 @: d9 a( A( W
|: Q3 l. D1 x$ D8 k- Z
6 Z, U# r' ^) B) u, g9 { Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
0 j# o- @( K& e2 _
' V: S/ `6 \& A+ |% L! H/ q" @6 I7 w
$ D6 O r z7 y ?" @ 7 N4 |8 V! o4 l: I
$ b2 U% i- l5 O# \/ s" d: i) h
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:! T" H8 c) h" V- J" |) O
$ u! C2 w( i& V+ _6 A8 y" f& G1 g" L# `" ^
) s% T7 p# I) G& i . A* d+ K6 e% B* |3 u7 L
3 l" n1 ^$ n( s8 s/ Z  % B, d. m# F0 T& P9 D
( k7 ]$ e5 S' q( k+ @( \% H
2 O4 I6 T: E: ^2 w. W 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
+ }5 i2 p4 [7 X" s- Y h: c
! l! R# e! c c) u4 n& W" `) I( e- m, e, @9 Z
 3 S* {3 [+ F' K( N4 W( {* N% d
. A; g; l8 ^0 ?- i8 ~ X! ]
6 p! ?3 V5 [! [: m 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:- w2 o0 @ R, y* M. s
2 u$ C! Y+ u, d4 J5 X
/ l! j+ n/ v4 j; j7 m; l# B' ` 
8 Q+ a% c- w8 R+ q6 }+ L
% u' \* P3 V% x, m' T4 }0 g) e) s7 j! X3 C4 @1 c* C- u' M
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:+ ?/ ]# N# S& Y$ m
+ b0 d8 j7 X+ G) m" X0 d p4 ?( L5 A+ J( O& Z
M& {1 A& _# D/ K$ i# u, z' q( V, D$ ~# d
/ T3 e1 ^7 n- i5 D
$ R3 ^# X5 J) @# H3 u" Q 解密admin管理员密码如图:, P. h& n9 F3 h: \2 G8 H% z, s6 L
- d* Y8 |* B i' S3 C \5 L4 W6 k9 {8 t+ C
- a( O% X& }) ?! Z5 U5 | 6 _/ ]" T4 I: D, e& J9 Q' A
* o% g/ u7 K/ a* g7 p3 G: S
然后用自己写了个解密工具,解密结果和在线网站一致2 H9 N! X% r& W, H+ Q
8 \$ U8 T, `! j
0 Z* T; Y+ z7 ?+ O8 y
9 W+ O& q# o Z* R& p3 H9 L8 n ) Q, P5 z# C& o) e' ]' {
; A$ ?2 v5 _& L3 {3 M: V# }+ w
解密后的密码为:123mhg,./,登陆如图:
7 b* R/ [6 w# v+ N: o " {2 @! r; L+ k O; q2 k
: ?% U5 {7 `( Y8 W: x3 c, Y  , O" \4 o/ r6 |, P3 D/ C
8 X n) u# d' |; d( k, \. ~
; Q6 h; G6 b! n% V 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
. ]0 E* g0 I% q7 k, k3 {. S
: a K; h) k% c* ]5 |/ Q
- ]1 Q( E& p+ m7 U  4 s- R( O. _0 o8 c; E' K
( M- ~/ q$ E0 Q3 o8 F& O0 b
% Z7 [ S7 J0 L% z; f 
2 t6 p2 r! z" M5 b* O1 f* k9 A5 ]6 e
2 c5 |) W- k) n( T- _& G# C0 h
% g# K6 B: N2 t/ K0 L 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:( k: ^8 m) B, d8 s- V" }. W# D) [& D
' u& G0 M/ f, X, f# u, l9 w. u2 S1 a% k+ k
4 l( t/ l2 B5 }( r4 g3 E+ W ) S) W5 q8 p! G. ]6 _ r* W# e
5 O1 J% z, y1 f! Z- s4 t* X
访问webshell如下图:* Y2 q' n; P" f4 D/ ?- x
9 N% `. o$ j' _9 Z. o c
7 V+ |4 W% i2 d+ T& r4 h! B6 G
0 H/ f8 }! s' }0 ~' K* X) @ ( ~: k% r6 i( `
5 X& T% j8 X1 h, Q& o 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
" o* G6 {4 V7 s f# S# G! x$ B" N5 @5 l7 b
$ y% f% s$ i* S9 j! D
# m" M; o- F$ S: i* o 8 G) U! R# p$ U$ B$ Q
2 R/ f, [2 X9 t; c1 w
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
1 }# C* e9 ?2 A+ t& d0 X |. q$ K* F) n
& K5 U7 x0 _* e3 R/ F  - p6 ^* Y; [# |, c$ p. ]7 d0 H
% ^7 u& i2 z8 Y
9 u% h* w& V. T% C# r
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
. U" U( K9 H* L" K- e. c- H / J$ p( j& e# N9 O! x( O1 w5 F
7 J, m4 x/ c& M3 K  ' w# ^2 z5 @; u- E
4 l; ^5 j5 D3 [, x v3 t0 U1 B8 }+ R& V* R, q8 @% Z+ S
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
1 J* U4 z, R6 n) t! L
4 c% d1 G( `2 D% m# I5 n6 d
: g9 }: c9 B5 w 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
1 W% v! X3 k0 f( r* n( e0 b
8 f# S1 M" B& \- d) V4 J3 b
" X [, j2 {' z0 K; ]/ J
) f3 d: P \, I/ y4 H
( J6 b' F6 e' Q t' A | 
发表于 2023-11-28 20:23:22
收藏
支持
反对