|
# k& ^( x; m/ K9 \3 t 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
, M+ Z0 x; ?& I+ A& J/ d
/ t* ]! s4 }! |9 t) j' K9 W1 m- w
4 d$ U8 R7 O, o% J( Y5 Z + Q, ~; y; K4 z: s3 {; ?
7 p u5 a! Q& E; d% I/ } 然后点vulnerabilities,如图:
5 ^/ A t$ C0 a% V: c6 W8 B
' K' F, a% {* u% x, u1 Z" ?4 l2 V. \+ y8 c- u$ Q
) [$ B! e8 f D
$ g5 t: a& g6 \0 Q- i( {" y( ^: u9 @ I- \$ p; F( k
点SQL injection会看到HTTPS REQUESTS,如图:$ E8 d' C" T8 k# `& |
; k; f: i# q2 a& i) i
: c; M- @$ e. d5 w* }  & c+ P0 w- x& [" S' J3 U: ]' r
* e& b, w! V2 @: T% ]* e N+ M* A9 {9 I Y D
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
. { D# X) w& t! S & |2 z. D/ h' y" }' o5 ~' B
; H% a8 K3 E* Y2 V5 n) B
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
- t5 `; y2 d( T* X4 w
& m8 u* Z N1 R. \ I) m. B% m/ E4 o/ R6 `! l+ U- y4 N4 D
$ H- T9 V2 g1 ~1 p* ~; g
" P% y# B- q( k$ J4 ]. n# Z3 ^1 v8 i, ?
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
. ^# b" ]( Z/ U1 T0 b) N& N - J8 W0 ]5 [( |9 `
# I' A0 l9 Y3 G4 y0 z
 0 f' R( ?: v( N1 b/ c
$ h! C9 V2 F+ c4 g( j8 o: S
+ e+ y4 i2 v' ^5 K) b; F  1 T3 P$ I- K$ p b' M2 `
- O2 z6 c& ?7 k$ U( g
7 {* R/ |: M, A* d3 o( ?
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
( L$ k+ w- n: Q8 W7 J k p9 r. J" ~9 D( r0 ^
) N7 W: }/ r' K) H; J0 s ]
 3 a* h# R" o) A: E# `0 \' ]: s
9 _4 p$ y- Z) |$ F# N2 S/ R2 _! [* m2 `5 c. C
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
+ \$ q1 \% O, T+ M) p5 Y: P( P6 a ; m9 H" |4 G* H/ ^/ A, v! z, g) X
# n2 v3 O* | L 
' u; O* t8 k6 G5 G- Y) A
+ b; h, }2 `' Z P9 O+ V: P6 F6 @' }$ O# M. O# \5 ^6 Q+ _: ~3 G' Q$ j2 n. ^
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:/ t. @' g! e$ e& e q; X
# z: N( Z; O9 x; G9 U h$ `/ E9 Z3 D) ]& D8 M0 x
2 P4 r3 k. R2 u, h: \: v7 g
5 ~7 H2 ^4 h0 u x2 y D; Z" e6 k! V6 n7 J" X5 ^9 w, }
解密admin管理员密码如图:. } u/ {2 F, T- c3 Z: D2 M. p
+ q# A* S: K) \, m
8 W* @7 [0 q& W) C- r
 ( B0 |2 `; u+ K( c
5 [ k- [4 z8 L8 N5 U; B2 z
; G* k+ w: Q0 T/ ? 然后用自己写了个解密工具,解密结果和在线网站一致, }# L9 H5 b9 S/ m& Q/ ?7 G6 k
* o! L% ~* O* ~9 u2 r* @5 y1 O
6 Z" P; }2 l* Y t5 _ 
8 V3 w$ P) u' D3 G k' M 5 p' W9 i1 d; E u4 v
; j U4 |9 Q9 ]2 c/ n. ?# r0 I) k 解密后的密码为:123mhg,./,登陆如图:0 |+ i9 |! e' B$ q$ J% e! I
+ G$ c7 n: z* h1 X K
; d( O) d' b: r
/ S2 c, U# D- w. z# s+ |3 b
X' N3 u! r$ y+ E/ q5 @, B& c5 {% Y2 @% b+ r
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
1 g7 d# F* ]( N5 G
" A* J" u {) W
* M; j8 x) o2 l: v1 p 
; z8 g' H. a9 Y8 [9 ] 8 \0 S+ [, @* H8 U! o, y- l
% M0 u: D R# r, ^1 L' \8 x8 W 
2 k4 m$ T0 F( {8 h! Z6 W5 h
& w P. W0 ~ x& w
/ d! a* d3 c* \+ `& | 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
% A1 T* S! {7 ~: Y. `7 ^4 ?
5 i: V) r. ]- k* v- Z8 O; M. N
8 ^2 e, e; c4 X7 a  ) L E& w7 v. E
( f8 |0 E k3 E' N; g
6 o7 }; w0 X* E }# v 访问webshell如下图:1 K6 V6 G* h% g
' G: T; U3 K% v8 _! B% Q; ^4 A. D* ~4 j1 b
/ B" ?2 O$ I0 {: D6 l/ J$ z( | ' u8 I% E/ J. G2 o" k5 J9 z8 t6 v
9 W# v! \' q* m 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:- b5 X, U0 y- z4 {
- B0 q% ^. k' S# B% Z( V9 P) G3 |5 H! {% x
2 n2 I9 E8 q( R$ x- ?' i. Y % S6 W1 a4 Y2 \" m
2 ~1 G7 O( P$ c o s! I# U 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:- f& B' m2 q5 o1 Y6 O+ J. O
' g M3 }6 ~* m) m/ g, j/ u
+ U ^) P% a3 Z  * m& u& P: Y: ?! i9 U
_7 w* b; I- \ ]# S5 I0 [
1 n: n. s7 L+ p$ @0 t9 x: {
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:- Z& C' Q; z3 l& [- z6 V- e n
" K, v4 ?" h, H( U) G4 C, c E; Z
+ w# D8 m% S2 N/ Y. h9 N0 w 
3 K; Z9 Y, o% ~5 l- _ , U/ I$ q& U. t
* @' ]+ Q/ s3 m/ [3 l: C
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。/ Z" B2 \3 [2 @) a, {) S& I
( p/ y3 p/ k/ M7 G l% L
0 ]& {; Q9 w2 {9 B! Z3 F, {$ q
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
4 O7 P/ {1 o3 ^0 h) W. y& e & P- O" T8 Y) R8 @* }7 F
3 {" K1 |4 O1 E0 V1 q% T
2 r, d/ B6 A2 g ( E! [/ o; c: V9 ?- ~
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对