|
' }1 n4 g: `) W h- A( Z 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:: Y% T/ V. t! r" k
8 ?- U! F% _/ L4 w9 E1 s+ l& n
5 ^% C' l4 g; @- Y/ P4 R# Y8 L 
$ _; q5 L Z3 V: P% d% `1 _9 L* C- F
) V3 v L5 F3 j. k9 R
# P8 z- q6 p" |, s1 b1 e 然后点vulnerabilities,如图:! v/ K% H. ]1 w2 S. W
3 k: V+ r$ P' F7 W+ [2 t3 G7 b
: j+ H- o2 q5 {& n. Z  * G; }0 |: C5 x. N) p+ V
4 E) F! Z6 y+ t: o
/ e7 ^! K$ O( M) G4 j" a: o# S 点SQL injection会看到HTTPS REQUESTS,如图:, v1 F5 I3 [* _2 ~
" n- L! v* {4 \* m3 J6 s/ T
! D7 i5 U, X# T8 m8 R
 $ C! f& x' v# b4 m
; b2 D a4 v$ Y: v
# t2 d. ?5 o" d P' [( Y
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8* B, K6 G+ ~: n
9 _7 m2 N8 p/ z# I5 b) p' Q8 E( J& H2 ~. y3 ?2 C T1 G; K- ?8 O
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:% l9 H E; [% P J m$ R, k% u
$ X2 v I9 ^5 P1 Q$ H/ Y3 _# ]! C1 a2 U! h
/ j% q; K3 G5 F7 j  4 [7 E# x# Q% _. Q; k. I2 v
' A0 |& f( c- }3 D/ J, V; A
& J8 o% X% J) Y, c5 `. V 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:2 X% t2 B- Y% N6 X1 i4 l
2 t" m9 N; M1 b: {4 |
# Z6 {- P3 X' m( A; P  ( r! B8 I/ D& b$ }3 |
" R: N2 ^% C# T# O$ c% P& t J# D0 Q
 7 M1 H w, p6 \) a
5 d( U* R: B: s4 [
8 `* A7 i' m+ x
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:) M3 c" s4 |7 V ?5 S, D) k3 t2 m
% ?6 k/ H" _4 l5 D( | N* ^: w5 y# _. ?
 $ N/ ]/ G4 S* O0 T3 V
8 ?9 \ o& h( b& U% ]
; L/ @: E: n7 X$ c7 _! g 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:* T3 L" y$ L8 v% \+ q \. E
3 Y2 v5 V9 x4 U7 Z+ H
- N8 f/ w4 B; _  : \/ j+ k. h3 o: w
, G' F2 R4 H- B/ L" I3 E' R
1 Q G, ?! ^ }' l8 a2 U1 D 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:" R2 b) C6 ~# r% e
3 I, K- Q6 y2 E% q
( [. b! A6 h& l 
! p6 R: x1 R! F+ b( } , `( |3 M; T" H( ~* {4 t
3 g Q7 s4 u+ h' q" d
解密admin管理员密码如图:
6 m" w; T Y3 t* ] 0 u6 \# `. G, P9 ^+ z6 F' y. W
, X, Q+ H2 C4 J! Y* t  ' d {0 K2 S+ ]% A9 h$ b
" p1 ]3 t; V) w: N3 Z' ^
+ F9 g4 ]' o; p- S4 q 然后用自己写了个解密工具,解密结果和在线网站一致2 `6 D3 p; E t1 Q# n
6 W% Y: {. c* n3 G
$ T7 W5 u; i; r' X; y 
9 |. i( S: A9 w) e- ~% M" l, R5 @
, L% S0 F7 j/ d1 L3 U+ g* ]3 l6 l* E" C
解密后的密码为:123mhg,./,登陆如图:! V. a% |/ `& O9 l' t ^
7 u3 ]' a' L4 y! J: U1 k' K: ?
! u; e9 f( G1 `) F- x, j  & z* O/ p+ ]/ C
+ {# v H3 z# @$ a5 w
B0 x! K z: l' L: o
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:, [( m5 _; L* L' J, _6 \
5 F: c e1 k5 O, M! k' I( q! K
1 [7 P+ C6 E: F8 w0 X  ! K8 u! p: Z( R( Y! U
- @2 m3 O8 Q+ k1 L
) b4 R! r4 I. z) T F( |, N- w
 4 C; S! y$ v( X3 x" |& _+ @
% ] p1 @0 \( {" {0 f! I" _( m9 x7 h7 ~
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
+ o" c" l* F' ]: d$ V
5 l5 l+ R# M6 y% D! w5 d2 k
9 R- f6 d7 J5 S% {' @) | 
* {5 \+ _ L) n - D& X1 t6 p8 F, T
3 L# j# B% R, ^. Q7 J; a+ s4 f! ? 访问webshell如下图:) G. w* [$ c/ S* F1 X, X2 `
- w9 D( q( A6 p
; n+ Y- S# _ V5 `0 R4 g! H* w4 d 
1 X+ E. X/ J5 Z; \0 v' Z
- {: m; t: y- _& R: s2 c0 ^/ t M+ T e9 R
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:3 s0 |8 _3 J7 _, n. p
2 x! L$ {+ ?: T' \" ?
/ P$ q/ _+ R4 L: `/ b  ) v: ]$ c- P$ u6 c# J& I: A
! o3 G* X# L$ b, Q! l. {6 {: l" g/ Q
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:: u, ^0 w2 V* o& `; u" M& b
$ O$ \6 s: `3 x
6 r! b: C! |! E9 D& w0 P
0 p* U1 v) I, W% v4 X " L, G, o9 T& l0 ^! f) P3 R
% p1 j6 e: x6 [( k; [! P8 g) t 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
( k" X2 j C2 E
$ H5 ]' Z/ L3 l I6 R: A/ H
& `. `5 s& ~) l& s; x  . _, O! j6 B$ g
3 k9 O5 w/ h. ?8 \# ?) F* p5 r9 d. T# A& q3 A) s
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
) V% j! J; A: `6 H7 F ; }+ ^1 _' K ^6 W
4 ]% O; p: K$ g! K% y- }, {( X8 ` 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
+ j( \+ |1 u6 Z
' t( W7 B1 Y4 v* T9 a4 B1 ]' m3 Q V/ ]( i7 o! I4 p3 f
* _$ x, j, l1 q* f( h: k0 d9 { * h* F+ V( F! S; F/ z0 ]0 o7 p
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对