|
8 v) E) I6 f, V7 q$ r/ [ 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:9 M6 J) d* Z. N/ S& A& S
% _2 k3 g' X4 E0 ^/ j% H! t$ N* n% s" Z5 Q# O' H
0 q" G" W" d& A2 ]# o ' n- [' Y( E! F, z( Q0 @
$ ]- n5 i' ^8 a* k
然后点vulnerabilities,如图:' S- t4 o. E$ o" T
0 l' Q8 X" a# \8 m* _4 X t9 q- y
P7 b6 S: H* }( N h. d" R8 A8 l 
]7 j2 [& V8 g2 I# p' [% } |
5 `8 |' P3 l/ }) p$ Y' r9 \. n! O/ l9 o$ Z7 d
点SQL injection会看到HTTPS REQUESTS,如图:
; r" I) k8 [4 ]9 ]) e; d1 d5 d4 Y* s
) r+ b8 d, {8 ^7 D/ ~7 F% t& g" v9 b- K7 O2 ], F5 d
 . _0 v J3 c% `$ ]
- t; O+ a* _% F% E6 r/ I
! _; H8 b6 y& k3 u1 X/ }8 ^ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
. ^0 }# J9 N( K) V1 T; H
' o7 G1 Y; m6 J, e, n* ]- n/ l1 p' G- \7 ?9 z0 Z
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:5 F/ F' @+ |7 P' V% Q* I
S0 `: Z; x0 Q3 p% f2 l! W! U/ b4 @" d8 t: ^
 7 w: C* I& n) G) l( F' l
& a# W. P Q9 u/ A
9 C& }3 z# ~1 R 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
- i p& o+ ?# c) A" Z3 ^
3 J% J7 w4 I# N' i- u: b" d1 p% T$ ~. r+ Z
 1 J7 m8 u, T9 Q/ f
- e5 u5 G% I3 N( r0 r0 s6 U* A, u/ D. g9 N' R: U/ s* D
t# W; ]3 e, h! n 4 u, A% |# z" D
$ G8 ?8 x5 }7 x: m3 U: }6 e 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
7 O4 R8 ^* ^# ?+ |
1 | ~) q# f7 Z# n$ W4 C( R, S5 T) i3 N( ?3 P
7 }( C( s, P# \( n9 J" m7 } ) Z! w3 L4 z, D' h+ `
2 S$ g/ I, p r 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
1 v' g: L4 Z" W6 O0 y+ U! D $ l0 p$ B1 T) w# W8 a; j# K9 Z0 b8 E
" @3 E6 O" {7 a* E% ` 
; T# k$ D! x2 G. U0 a
& b) c. l8 W7 x$ H
$ X5 n( Y1 g+ ? 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:- c% m) Z7 F! f" G5 g+ e
9 @7 d) u4 g, _8 B3 i' X! W! Y( x
, J. C5 ^2 o/ y8 f" ~/ B
- i( d0 @0 ^: w! F/ r6 M( w/ ^( l2 m: s6 X' ]; G6 |6 |# m
解密admin管理员密码如图:
3 Y$ P7 I" G# [3 s
" M9 _: t/ \+ S2 @+ w
$ x3 E+ m) ^! [' N' \ 
/ j: m* O7 ]4 d; [, V) s3 v, O 4 w6 L6 n5 t, I) J% F7 V+ ^7 M& ^
3 c/ k7 ?' Y9 d$ w5 g1 g' r
然后用自己写了个解密工具,解密结果和在线网站一致+ M! t' c* {7 S. s
7 L7 B. ^1 ]& o
" v6 \9 v9 a/ e( ?  6 L8 @, ^7 N: Q2 B6 }& S
! G/ d' Y! H2 }
5 T5 y6 h/ w: E+ Y$ H) f4 D- I 解密后的密码为:123mhg,./,登陆如图:% {5 K+ `3 e5 r5 a/ S7 {6 f# y
: M# b3 k+ i: }9 O
1 b5 D2 X' A/ i2 X3 b* t
 $ _5 j! @8 M! @4 @
# {. n o& d1 R* n1 p1 A2 k+ s3 Q6 U9 b
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:# h7 C: J7 Y& n& C; _2 `1 x7 ]( p
5 {7 @1 h, e: g7 s6 s& |9 B
' B' N, K: a) v8 W
 1 l1 K: M1 |" B. f. A+ K
$ j/ C5 ^4 H' g
0 S: u: X3 I! ?: `5 k 
5 @0 o3 m: i3 ~& Q ! b9 S, u4 z2 y; h9 {2 l) V
% E4 I" B" {1 P% y. U 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
$ A4 x* O& U7 e- k 0 \4 K* s+ Y" s
. D6 Q1 a% Y6 t. ^9 r% `; R
 ! n4 J2 V/ U4 U" B+ k/ G! d) l: m
1 z5 J6 e* u5 V. l: O1 c
" L7 f+ r, V/ F. R# s 访问webshell如下图:
5 F: h" ?+ |$ Y0 b4 I% @8 t) z
3 F& {; b8 ?. z# t1 E3 U0 f, }' y) Q) A
' t: ?; S5 ~! Q 
, h. V+ b5 T# c& k1 k # `8 p" m! P/ D Z( N; A) u
. g+ l% r8 ]' I1 m7 ^ 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
2 H. A0 N9 p+ K5 y/ U 1 s/ f9 [" L. L. t
3 w- u* d: U6 e4 ~" Y4 X5 _
 1 y! Y& q! d) X( j u
2 G$ L9 N; o" R: y5 O9 f1 V
8 k6 F) S% m6 Y6 s: ] D! U 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
9 w/ e* L: g: F" h2 r0 C6 V
( m- @- J3 u9 v; \5 d1 ^) ~" X% p7 C# F8 P6 F. \, A2 I
9 q4 i. U6 E* M, t p G; A * }, p0 o+ O: H* }) M0 g
4 @/ U2 ? j$ }7 o6 m7 P9 N9 W 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:* r2 v% w+ ?! T* P+ v0 }/ O2 }
2 @& |9 S) m: W. R C: o9 @$ l
* |; \" S' e, l+ C% _3 h
8 T. Q$ I/ X1 F & b- [: _# f8 @( f( B
% ]. ]2 s, t7 q# c( A0 s& R
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。' \4 ]' M/ |* a& m v2 X A
" N" h1 ?, `0 Z8 U6 ]0 ?2 l
8 X1 C6 u. e% U4 x% l 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
% e( P9 o( `' y0 } $ p) B* o5 h8 L+ F$ }
# I: x7 `" M7 ~$ ^
7 q0 N% _/ z! y F5 `2 t ' e3 c( a0 G, t n# l& G
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对