中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

) p4 D/ R( s; d* a+ I( l, y :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 7 N2 ^& P0 h( g

# K4 d6 w4 y% @3 s- c+ r) j* Z3 r5 G

+ g: S+ V9 t$ r image-1688134638275.png4 l; Q8 g0 y5 a! ]+ [/ E; G$ t8 U; Q, _5 c

- u3 M. Z8 _- o6 i* @

7 a8 s: x& B" F. k! r' {/ W1 _ 然后点vulnerabilities,如图:( b8 g. u' B, J. r, |' P

5 G! W# _6 I# a$ \9 [

% z$ g2 }5 ]6 E# z: F$ q image-1688134671778.png8 I9 o. j' k0 u0 o% W) w

! y% J- h" e f! e

; S/ x0 t- [8 b. J0 S- s- I SQL injection会看到HTTPS REQUESTS,如图: & B1 [& p) K) n5 [# y

0 o3 C& w1 F0 @( }7 c9 ^, C

. F( h, w; Y: a image-1688134707928.png 6 _( M" W3 G5 h; [4 ^1 B7 ?

6 R* [/ G$ z1 C: E4 }

2 M6 m; Q: |/ U. U p7 ? 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-81 j( l8 @5 L2 }, [. a) l

( a7 K6 o5 _( m" d! j3 t, v

@! c$ d( y% }% [7 X' Y- X Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 3 A! `$ ^ g6 R X# ]8 _

) ?6 E/ z. L9 s

2 o" s! X; J' u- G2 Q image-1688134982235.png9 ~9 `( ?1 e5 ^3 ^

( W. \- L& p, `# D- W4 N

2 ^9 {% F5 ?9 k" b. n9 T/ J 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: ~6 X. f) v7 n

' g; r! ?! T6 ]1 @; h

- g6 S( R. S/ n0 [ image-1688135020220.png/ x5 b8 d7 q4 e8 x: e

' q9 @3 k! o' ?6 v( y# h; p W* f9 L

1 R V5 s3 s' @7 W1 y @ image-1688135035822.png 1 {% n# V3 I, `/ N! a( w

( f' |" w+ A0 j+ o

8 j8 Z# P) M, l9 D; } 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 0 j( Q' ^7 y% K8 `8 L- B

, \7 J) \- Q* t- L

H u% E. o" G) K image-1688135070691.png 7 e0 B, ]$ c3 y

! k' z, A* {) P

( }3 `% \5 {2 H$ b- y 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: 4 n- N0 N* S3 m; B5 E9 r2 s" D

* M5 X8 }, H8 Z3 m0 \

' @7 F6 e- _& {# U8 P: p image-1688135098815.png; b: b9 J3 g5 c! ~( i/ R

) Z/ R! d( F6 {5 m

- u- U! m- J/ [ 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:; ?5 g4 R* J1 n, A @* ]

- O6 d( I! K2 Q- z" {! C

. U9 _# Y& f6 @' e; Z image-1688135130343.png( P- `& Y1 S- J2 L7 m# _0 b. |

% ?% p' `- q6 w& @) E+ F& D

( p4 y! j, r2 y+ R# o7 Y _- s 解密admin管理员密码如图: , [3 f S& ?8 j

" q; w# |+ b9 j* I

: O; C: c# h& d% M% A8 H0 ~ image-1688135169380.png+ E" n* o$ Z5 v P) k2 \8 E6 A

6 m1 \: X9 t, k3 ]9 Y

/ s! Y. {4 z' O. r. ]/ e- G 然后用自己写了个解密工具,解密结果和在线网站一致* i+ e0 m- b4 r7 {1 m4 |6 j" @

+ {, Z: E o6 M& E( X# `* _

' G/ l- R$ S$ H+ {( F8 G image-1688135205242.png9 {. G y- y7 X. U7 {0 k

! L9 Z* e' X. H* _6 r9 ^4 M4 ?% `

# }8 R( e) Q1 ] 解密后的密码为:123mhg,./,登陆如图: ' u2 s/ y) A& b% E

% u% A r/ C1 g8 r

: D- |6 q) a7 V1 o7 s: j image-1688135235466.png 1 `8 w# n" g3 t( J7 K

) `* j: u& E8 Z9 C6 V2 O4 \9 h- L

6 z. A; Q" S& k* }* g 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: 8 Z/ ?- y) N/ p( G! [

7 R ?3 H( l G9 X" ?% C3 S6 L

6 y5 X! V, H; @# [3 {0 y image-1688135263613.png 5 J0 i% A1 l* i Q b& S

/ B4 O& x' L6 Q8 \7 i

6 u2 f* a$ ~0 i8 i7 ^: v) z image-1688135280746.png$ V; f7 A8 |4 } c+ h& q3 Q8 n

# Q' z8 F& ~$ Q I4 M) s

' \6 M8 K9 L# d/ O" f8 o) Z2 [ 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:$ G9 L/ a) ]0 b" I7 |

! \$ J3 x- i0 N, E' u% F

! G2 A6 e5 K6 j, t. { image-1688135310923.png ) Q7 q- q% u6 z+ d; ^. n: C

' g- N4 p. b N1 ^( d) Q/ m7 C

M' Q" y+ D c' J) }/ Y 访问webshell如下图:2 n9 O" [& c, f4 }! f

+ M0 q6 |3 f0 a% f, @5 b% L

* Q( g2 {- d: f5 \, X/ R image-1688135337823.png & T( y9 E+ m# X2 _4 ~; ^# S1 \, K

$ b6 u' C( f$ r: k h

& C$ ~! H- C* [- Q" [# G 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 9 J3 g# c6 d6 V4 Q

# l6 e' l4 E( z% L, Q3 h6 x

/ Y" V, R+ F# A+ [; M image-1688135378253.png . e- ~2 q* a X# u' q! P

. C# x! J, f1 G# S) i! [

; t S6 N! G* M. Q' f6 V5 t 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: - Z$ K3 u$ d( }0 n+ K' O: @3 h

8 `6 y1 ^; W4 {4 G* m

& x: F: \1 v9 ?4 p$ ^) ~( h image-1688135422642.png & U0 B$ V) j: ~. O" |

& H* Y% F. |: n( h! F% \; f7 ]

) w: ?% ^7 U6 H5 c. O; O 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:/ `# N# u; o, ~$ ?$ E$ w! d) R

8 q8 y1 D& e% v! v+ m

) j9 R7 m+ }9 u% V, a$ R4 U image-1688135462339.png * z1 f. d: r% ?# r4 i

; {8 d6 k( [9 l) S

9 }! [2 I) c# A( g* Z; m& [ 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 : y; s% X, V0 G' {

/ [1 c! L+ _5 D7 m) v n( w8 C4 n5 X0 M- b

: N, Y+ ?( J5 Z3 L0 w 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 6 A7 ?# B4 ~4 p- u4 i2 u; u

3 p- A8 V' ^. H& w( s" M+ M/ o

j) @* B% b9 X. J   ! \/ Q7 U3 _1 q) b0 Q9 a

- M4 x: A# _( l9 M. x1 B4 X" M



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2