|
^. b- L5 k4 r) _# n
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:: I* ?4 o9 y E+ j# Q
' d' I2 c8 J" r2 v
+ ~, L, t; n: P# D/ h# w8 w 
( ?9 @# n& s, z5 E$ ?
- a2 f0 [: e# j4 Y
) ~ ]! J C+ _% A, R5 V/ H! x 然后点vulnerabilities,如图:
4 W% w) r" P2 U
: n: O0 Z% v9 P# Z" L: x
4 W, V# R1 r: o4 O/ i4 D  9 D5 |2 g6 E& W0 G( e$ y% h& y
9 F7 i( x; j9 v
# T2 ?! [1 `# b2 T$ j1 p
点SQL injection会看到HTTPS REQUESTS,如图:
( u f: G9 ~+ v6 w1 C
7 _7 ~" Q$ w9 N% h5 `
/ I, N2 c+ W/ E7 z6 t  - B# u1 x4 P4 F. l C
' r' ^% w( N7 m3 O7 \
8 x+ d+ `: n1 {$ B: h 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8% G K# B! k3 J; L+ S
: o% H6 e" v# g+ Q
+ J& N. V* B* {3 I, b3 T6 B2 q) E Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
# N3 a/ _$ A2 }: d
/ ]# f' o6 X7 ^" Y" \" i' S) [" R& `0 Q H
 ' E6 Z3 }* d' }& w, {) f, P
3 a+ l$ U+ }5 x, E2 C5 X3 a) \. {5 r/ h, ]+ J
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
$ \) z' z4 C8 w# H
E q& B, r# R) @) T1 ?7 k3 e9 ^+ ?: l' `3 t) r
r% T6 _( \( i* l
, n# v+ |) z4 @; q/ \9 T9 t/ D9 b9 L0 f3 Y2 G
 `6 r' ^" q- r% u3 h
# j9 U3 h) S$ M
' q' C* i+ l; V8 @1 _" ^ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
^5 G( j2 S9 J3 R4 p$ \+ W/ V4 y
7 F: n" _9 Z+ i
K3 n e8 K: O2 R; U S; Y" ` 
W" a& X u7 x3 X$ S/ b3 B + i" t. [5 {+ O+ f" v: D- k
1 a2 c1 a4 p: D) N7 x/ h1 e
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:4 A- A7 P4 {5 h0 y. F h+ W' l, r7 ^
9 I. K+ Y. b4 J
1 c1 n6 U6 Y6 k& z% J5 N
6 k7 u' x; c) n, s# F- b 0 U# s: {! Z7 r: U' t! @0 S/ D
! I- t; z6 \9 p/ ^, O7 e
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:0 A7 o0 B4 s8 l, W
: b0 W. ]- _0 |- c* Q3 p1 L2 q3 I
) H8 z. x1 P* H0 ? 
3 J" C' y5 l( ^2 q% f4 z : p5 ]7 w9 o" w+ O h
) Q1 \- P( \" V% s
解密admin管理员密码如图:# S {2 W( z# a" s
' {7 c% x' u. k, Q X7 m' V, _1 i* m- h; Q
 " j6 Z- G# p* e. c3 K# P3 \
. e8 q+ @' r% o/ [5 L4 K
' G, o) K- |6 ~4 [% p 然后用自己写了个解密工具,解密结果和在线网站一致
0 ?# \' t& \. i6 [' @0 y% F 5 I, g, n3 e! O, |+ s {3 U
0 c) ]2 Q6 z7 J; _ F! b
 6 r, |; P# U. m& A2 B/ b8 v, m9 ?
' ^$ Z& o$ c4 A+ D, Y$ j2 u2 P" Y% ?/ I" K) o1 C0 a6 Z
解密后的密码为:123mhg,./,登陆如图:
' L5 Q6 ~' q9 Y- K2 f 5 Z T- u) k4 m3 } k0 h5 s
4 s0 ?0 a- _4 w, j4 F
- B+ u: P- u+ }
% A7 A$ y% B! S9 s
. T: I8 g- w G& [4 g- h 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:: \. s/ M0 P- D1 D6 ]
! d( d1 @6 |* |* ?. v
- o1 P; z9 t9 W2 k+ c( G; i R) L
, K5 h# ]$ D$ T- z$ }
" C2 Q8 W; k7 x8 P1 t% ~4 v) D5 }3 J. i6 k: v" u1 ?
 , B5 F" b" E5 z8 l6 v; R. i
/ b0 ]6 |) G: ^& V. c: n
2 Y/ G5 a/ H# s- [+ ^: R- C- | 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
O$ s* P1 Y2 l+ ~9 v. b: H
% K7 {0 [. i% b2 q, [! ^2 B
0 Z% R& y3 N" U) X, f* ?  " B$ b4 {" }' H7 p- I0 j
' o; y; v# D' E& M! \4 z( K9 Y, q$ S" h* v$ N! J1 S& \. o; y
访问webshell如下图:% [) S0 y! q: S4 t5 d- |9 y) T
, a, S6 h1 H+ P; A+ i/ b. H# t8 q) h: v/ _* f- [# O7 V
1 X$ U9 W$ P) U R, O
* N) @2 z! m4 I# i! m, r% m
8 D8 Z# @1 _0 G$ E 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
+ t- O" O, e4 a0 ^
) O" c8 J# H( Q! Q8 l2 j/ w8 s
$ `' J5 [7 r) ]' e1 R4 m0 Y  * S; r& R; Y- I) q9 b1 z$ p
4 ? {8 `* N! L5 v
: N3 ]! p. ?# q# W% C
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:5 ~5 t; J( h7 a3 M- a. Q
% o8 y* n7 J, o6 ?3 F2 |, u( N: E2 U! ~9 `+ P( q8 ]
 1 M2 J( X U& E/ }0 {
5 ?* ?/ _" @- N9 v$ a! H* e. f
4 @7 V9 u1 {7 M
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:. o( \9 t7 Y' _0 a6 H
9 f2 g9 Q& h9 f2 J# o% g
]4 y7 \1 b8 @6 K6 ]. a' f5 {4 ^9 m
) m+ E& {6 j- T & E3 D8 K' q Z) z3 Z+ v1 ~
* V T% H( I2 K5 g8 q3 o/ O
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。7 h! f. }! A, T
5 p: z I. `, ?+ o% T# {' X& V; {8 C* R& m
1 H/ M" n( Q P9 k) B2 S 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!3 G- `6 j( ~9 C, {% t8 f. Q! R& B
$ k7 g" {* H# i# P! r7 d; b, z' k0 {$ i& } V9 }
! x- g% C' b4 t6 w: m' a7 Y) } ; m2 L. i: Z1 h- M! V3 o; _6 V
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对