|
' e: w. |: }; m: |
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
1 w# r% ? Q( M4 ~ % A% C6 z) ^5 ` C6 A- k* a
; Q* }- w+ G, O" R) [' |4 A2 L  / K3 ^' J6 l# U' m/ d& ?% o' {
7 S7 { o1 K5 s2 S7 B# r7 a& ]5 ?8 ~5 y5 P" X$ J
然后点vulnerabilities,如图:( m4 h& t5 C) K
1 [% O8 e& ?3 V$ G% }6 _2 z u2 d+ u$ c
 - U8 d# l. i0 v3 i4 }" Z- |/ R d1 ]
7 I7 K( N" ~: Q0 ]7 ~
( }0 Q" ~6 s+ D( c0 e
点SQL injection会看到HTTPS REQUESTS,如图:+ J! J' J5 J U4 ]! u; `: g
0 X8 ]9 `1 |9 [! U+ a n6 E
% @+ _: B! g A* l# t  + F7 N* N% ]9 S7 B" a3 ?
* l x' ^; s7 J! A2 T& \7 ^- a- t, [" _3 j2 v
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
, j7 R- f: }; a, m: O
. Q* [0 a0 A* e& ]" Y, J$ z( O+ q# r
. F9 B! y2 C0 q( R9 Z+ J Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
5 K# ?3 _" T7 c/ _' `. O# g ) m. O5 l8 c' F( ~3 r3 I
9 B! G; U9 [$ O9 D4 t
8 X' c2 W) A7 Q- M0 @2 { # ^9 G8 d% n! L# g$ {+ d
1 a( e9 O. ^5 p$ O$ D2 C. h [& _; ] 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
5 x& t. ?* _5 @
' c5 _% k" C; m1 d0 H4 \' `: h) j4 S# p7 v3 `6 J: d4 z
0 u, T% f8 s% P8 m
5 @" C4 k8 a% {8 m/ f9 v; e* b" [& r5 V9 f
4 n* _: D& D4 {* x- t4 c( { 4 y" @3 y/ `4 ]9 d: D9 i8 a
& h- j. S6 A$ X) D' U+ _ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
1 E! q2 ?) b/ u" }4 O1 M
5 I) a, `. a. T. q$ }7 Q5 V9 Q! T5 j+ @$ V+ l; j) c( t
 # K% l: _! ^. a5 ~! d) G
+ ^; k z) _+ J7 x6 M. N2 F
- \" P5 v5 Q; N2 L% A* }" N 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
6 Q- x3 M# S' n+ { ( K) {1 V6 B5 v2 {; v* A/ r
: ~8 m% t: r9 F8 C7 F, U9 `: s
$ f& A3 i9 n# |5 z3 B, g
' v2 j, O# ^) e- M) K2 Q$ u% b W2 _& @6 ]+ K# T5 k( ?) R/ L
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:/ {4 U. L1 k1 o* A
8 U0 p: X4 f2 B2 N3 y
$ q* Z: }. u) R: x# ^ 
, Y! v" B( t; ]% j* z I ~; L8 P$ B9 l8 C' E) Y! G
# t% `: U4 Y0 p- j/ }+ R
解密admin管理员密码如图:
( J1 i1 i7 o! D9 b- d: O + j( @6 V, c* a/ H4 z! E: j
4 Y* c7 Q+ t1 L. B% f- h1 t 
1 `% C; R; q$ g' `8 Z+ h5 n
& s: Q! U, w% [$ C. b8 L" W
; C7 n: C7 x1 @ 然后用自己写了个解密工具,解密结果和在线网站一致% F8 D3 q3 P) m
4 X' X5 O; B5 m4 A8 f
! D6 F- w: u" ]4 {( H r 
! {7 d1 F* j' ~ D$ F5 u: ]; r, F Q
" K# {( e0 F+ R, t; B0 v$ M9 \, j A
解密后的密码为:123mhg,./,登陆如图:
3 L S; h! T: X9 m0 X
! \! f; u: x; k$ B
" k: L# t( p. u* d" L 
l1 M6 N5 T& n/ |% r) Q! @( y
3 q3 s- f' D. m( M6 A
! J6 n+ B7 X/ ~* \$ m 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:9 }: t, A" B! h+ d
" Y/ K( l6 ^4 \' g' @' ~5 e o
, i# `& B2 T( w0 v$ ^+ c  1 P- E* I' L1 n: T
9 }0 y7 g' M/ _% l5 A) L; j, y( X& p8 |7 Q% w7 w* B
" ^; M) `0 k. `& w; k6 E) H ] - }% }5 Z7 O' Y6 d
/ b# B7 B' ^7 V, r 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 }3 d$ L, g2 M/ Q% `3 c
" k# L; h4 r1 a; o
) x1 e. W2 q' P% | 
- Q) Q9 E" L$ G2 j! w
! z8 c! t& M* g8 d6 e9 P* E
6 i1 s8 D" T; W& P: [' l; \ D, D 访问webshell如下图:* n+ s; r( j5 @5 N+ i9 n
, Z* w/ h3 Y |/ ^9 |+ b+ @5 B
5 D6 e) m/ F; I# j* \8 o  2 x# U$ F4 ~* d: _ L; F( I7 y
5 a) n. ~1 _% h9 W
- T4 p9 I" y, M2 ~
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
3 x- }* r2 a2 p( [- ]
' y# V: S1 S% o- R1 Y1 q/ w: E- u7 n
0 t1 ~" I* K* j) i5 J7 P6 O2 d 
8 B- Y' `# G$ y) j& t+ U ) d. m* G3 G1 l1 l0 R( \$ \
6 E y* u% ~. Z. N7 c+ m0 `2 S
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ b5 p" Y+ C, C- @
9 \' [9 x7 H7 V6 @- u" N1 {
* i# O6 s4 P; Y4 ?  $ x) D- |# Z- V, q# z& _; L9 H, |
7 {4 q8 \! Y1 N
8 O& R6 l ?/ B" C h 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
( _8 S. B; g" T3 L# \4 D' e
3 k B' C7 o$ I
! G2 ^* X# g3 X8 T9 ^9 P0 ? 
+ e& d5 c0 Z% M' h7 O8 p - O) |' C; m0 S1 I s+ h. M! _
, R& u5 ]; D4 {- y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。: v/ ]! B9 i- E& r \3 P; u
9 h+ |, R" q3 B4 i
6 S s W% ^3 }5 V 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
3 [( @- R! u7 W6 f8 g
% @$ }' U1 U! K! [5 v- x1 g# @& A" V$ o" Y$ X# j& D
# ~# ^3 k* {+ \, A% L
- W% l$ \/ o: @- Z | 
发表于 2023-11-28 20:23:22
收藏
支持
反对