|
& V( @- T- ^8 d9 I& E8 {) A& z' a 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
5 W0 h$ q3 z' ?& R) ~/ ]7 ~, o
7 d& t4 K$ E4 q, c. B: [5 |7 C( r" m+ v% N' i* S7 w2 K7 _) K
# u' B, g2 E8 A0 X& T
7 N) e7 n2 J( Y7 [7 c2 F( Q8 }$ S/ d6 C E" q4 L% Q# N
然后点vulnerabilities,如图:
/ M& e2 [# y: ]# T) W/ l1 f+ c 5 C/ x5 w0 A( m, R5 n/ B3 Y
# `1 p+ \. c q% B6 A
 7 \5 E" k t8 n4 a' s c1 r# `; ^
3 f: c% k- C& q5 J3 Y! r$ b4 R
: g& C0 d E: ~7 ~. c7 S 点SQL injection会看到HTTPS REQUESTS,如图:
* {: p/ `, X3 r; J
1 i" H. Y |5 c, k5 g c
! }* j; t( p5 s1 g+ ?: p: E# t  5 H" v% L" F* k2 A& ~' P
/ l: x' \. E# e+ }% J5 I4 A E
! l6 m1 W( q, Z x( L 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
r' v0 z; Y4 i) m+ k1 G& A t8 G1 I& ~5 J/ ]
6 D& s) G* g2 y: g ~7 z1 V/ i& e
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
- b. N$ S& p8 |4 e 8 @+ u) O: P+ v7 v
8 u7 b0 z5 c3 G+ Q 
. e: n5 A9 m* M 6 o3 y: R- _0 |* \! X& |/ d
) m4 b" N4 c G$ m8 z
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
$ s( ]9 V/ b( h% H9 q) { A/ A5 C! N - P1 y! i4 E- ^/ L+ G( U! ^
- `! ]+ i* a* j# |0 ^
. E. T3 d1 F* x+ S% }; w8 g
- C" A8 Z$ d) z; v- i7 a, D" T; j' z
 ; W4 L5 Z! X+ x0 T5 J5 \- r
; V& C, m! ~) h' w
* }& O" L' ~, B7 F* w% J 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:. B- ~$ O$ \" \0 ]& p, k' |" p
# X) B3 \* l1 W) O9 s% C
2 E3 v. x& ~1 D- v3 O  , ^& n( a; O+ x: h" j
8 D2 G7 A; a! C& v/ w9 c, j+ T8 w( T* O: q& H% b# s" u' k# v
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:2 @, Z: | `3 H: G2 t6 f$ q+ {% |
3 Y5 L1 w/ d! o: ^; H, B6 [$ ~* p
9 G/ `" ~3 s3 ^) D$ c 
2 n2 I4 u+ E, E+ D' y ' q8 a+ |9 y) Q }" z1 h* V
+ v( S+ H6 {5 {7 J1 B
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:5 L( m9 ]5 H# X
# m8 F5 L3 }$ T) K& b! }% K8 P% J7 K; q
# ^: A; R5 `, l! |# d
/ H' s! P$ O7 p/ r n* o. x" o" ^% l, K1 X& T7 Y% N7 N
解密admin管理员密码如图:- U: a+ h; X* Z
: Q# Y1 v1 |% n3 @3 b4 z2 `6 S4 }5 W
, s L- P, U, P2 K" ~; s  1 K ~/ k( |) h: m: h% {0 a
3 z/ V: ^9 w) p T# c& H
: r5 R d: ^5 }* j 然后用自己写了个解密工具,解密结果和在线网站一致
1 t0 }* l6 @, _" k g* g# p/ p! ^/ z* b ( w y" J+ D9 A& K0 E, d
N; a) z( u: c5 Q9 a 
6 \0 Z8 C! r$ p' B5 z! ?- \, e, j: _ 8 m5 N3 s( N$ k/ H& k3 K' R
3 a V1 Z7 C& p; D3 _6 \ 解密后的密码为:123mhg,./,登陆如图:9 E) z" R' \' X7 q( v3 s# y
& T. o7 q7 K% z4 B+ t6 G/ O9 {
9 ?& J! g2 b1 ~% j 
) G7 N4 R3 f2 T! }! T 3 H. I+ C' c/ }6 @- }
0 v; V: O& A. V0 ^6 o3 u
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
, \$ n+ V4 }2 Z# a: E
: y) A+ ~% `3 w" }+ u+ C- ~. u# v$ e5 p3 Q
 + X' q" q( N: `# q4 ]
2 M+ c- Y, M$ m
+ ?. @- ^& S6 A 
5 F- w9 i5 Q+ X. W& E# w1 r ) ]! l6 O2 U" f9 r% Q# ?4 s$ R
) W* Z( _0 O2 p 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
" C* O. J( b% k3 x. ~( F% k & ~& \0 y6 A# s4 r) B0 |1 Q
7 X# q! d" b. {: R 
' s+ E8 ~. m6 l. p. l5 N& C # F+ {: t4 m7 R4 Z' _& C! e% ~
2 U. t$ I8 S7 b! ?6 R2 W, a0 M1 O2 C 访问webshell如下图:
2 `8 ^* L5 n$ X& w& _" U! H& S
7 t F1 U3 o. j! Q/ A8 W( }
2 K {5 \0 y4 R  5 ] f% @* r& R9 n- g: S% [9 h
% P, d j( t, x: ~0 M4 S
8 X5 r( B% J5 {4 o& O 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
& S' C% t" n9 l4 O# k4 k% F
m" V- O: P p! s( N0 O( U6 ]+ H/ U+ U( y4 Z; C! [& N
 . x# u- V) p t: _
. |2 Q' E; Z6 E9 n4 {1 c
6 h& T d8 h) V( B- y: p @ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
; I8 t1 H7 o- D; h ?
+ W# U3 ?0 t) g* X2 Q* V" [" b' r$ ]3 l4 G# V. |$ c' Q
# u6 j) p/ w7 y$ S7 d! T 2 F. z7 l& p, u( P8 j
( g$ i$ s" K+ p 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:' c2 g$ f, n' @9 l
" x6 j- J- ?0 X4 o/ B7 s% C9 R( ~1 n& _: o, q3 g# b/ h
! m8 m* b5 P/ A, k
( d% r$ m9 \5 t1 T
+ V4 d$ p$ j; U& M" } 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
' m- a" P+ Y/ M+ j5 d
' x5 n7 f/ ~; }- ]
& \2 c0 |; T @' N8 O 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!& `7 `& |" J/ a( f0 ~0 |* r( @
) a9 l7 e- f; f1 G
( ~0 F) o% w0 }" L
; ~5 |& l% G% o9 x: \$ j! \
2 T/ @3 [$ ?5 K. k | 
发表于 2023-11-28 20:23:22
收藏
支持
反对