|
4 O4 b, t* x2 X: @& d5 P4 f
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:) [9 l# J& u1 }' M% F: u' n8 w% O4 G
) f' u+ f; T$ Z" M2 |" Z. S2 s$ a1 L2 Z6 E9 q9 }$ w
# X2 E9 F" j1 d: x& l; C
- O6 C0 G* @) I) s4 Z% b" w" B
4 n. u9 `9 [( a4 `% W 然后点vulnerabilities,如图:
[9 I6 T- P( \2 Y! D- L4 z
# v: {) S$ B& l" w5 ` S7 a9 {( s% q' b. t
 / }0 N0 Y2 n/ I" B% I
4 @4 O& V4 E9 G' R- i: j/ r0 S1 F6 _+ M$ T( h [' j
点SQL injection会看到HTTPS REQUESTS,如图:
3 C! c2 N V' b. v) |1 L
1 f; _- }* W2 U) K9 l) v$ L
0 _6 q/ D+ O; C: O; f/ N4 }* p6 a  8 J. a' V& a' }; {8 Q- ?" k
5 ^$ G9 A5 {4 j) Z% |- _
. S# L+ s& K6 M5 F0 E 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 T, H Y( z7 o
8 W: a& O% S2 I
$ k# Q6 i) {4 i r) H" i1 u Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
& Z+ ~+ B) u/ ?, r 2 c4 \, ^& D* T3 K
& n0 W- S* J6 x1 M) J3 e6 R) Y  2 N% y8 V* r4 D- l# R1 Y
7 U: ~3 D. t; y) A
8 Z1 l& k' G% x0 X 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:$ r, n1 o. j' Y) G E8 [% [
; ?% O5 R2 J: T( ]
& Y. g6 r5 q$ ^  D& B6 T, R+ j* q8 x
( w: Y- J E8 L- F8 H; N6 h1 w" H% c0 x2 r& j* G- v. j
+ }* g/ G# q6 a( n
. X: h, [& E N6 d) B* [6 ?1 t) C0 _
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:0 |0 F* u) K& ~2 \, q i
' ]0 V, y/ M+ Z0 x6 I' p, D+ ^& A
+ {- D" r' ~ d/ {# y& W, c 
' C- z! \0 L! q2 P M; _. H
1 o z8 |' U9 A4 |+ V9 d" ?" t8 ^) ?7 \5 I* P
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
. i( _! F, C" j7 L( F0 v% ], k, K 7 M6 E, d j/ K/ u8 B- W" G+ ^
8 ]9 R" w( ^ F- H
# p8 i+ h0 }# W! }( q% e. ^: @8 d / @7 \" W; U4 U' z% U% ?
0 _8 _! L5 n |$ R
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:8 @- p( i/ e$ N: G6 `+ r5 O
( B; X, {' N$ m q4 W
. f3 J: F* N, k 
6 X0 c- O3 O" {: \1 Y7 L
3 z* D7 h- c# E) C9 \. x
0 O) }5 i! C/ G 解密admin管理员密码如图: { H3 g+ @+ |6 @! j% e q9 K
- C+ s; Z: X8 H& E9 `4 n* W) ]; u" b+ q- s
 & J" u! I# Z' j0 K, r- Y4 Y* G4 X
( p- L: h/ U0 u( E
k* h! R/ N5 g
然后用自己写了个解密工具,解密结果和在线网站一致5 J# r4 e. X! v) P9 l. F, F
, d1 P( Z; J& _! s* |6 p ~# B
- l1 k( z1 t/ ` 
' T/ ~; M2 f4 i l' F4 ?
' R; L* T: A3 r& H1 X# H7 |& K- Y3 d. j2 d8 g% K' [3 Y
解密后的密码为:123mhg,./,登陆如图:$ j( I# W: Z& g: E% v
. k3 L& L$ K: M% L9 s' a
& K6 D2 D/ x6 }
5 O! f7 `' R( o3 U. p
" L: }) V7 N' B7 u
/ i: N$ t5 C8 U+ X$ ]$ s$ H 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:0 @; B9 x, g; g: t
. H2 M- Y! G. s3 q5 j4 o ?, m/ [
$ T& @" e' N* B( |7 Z  % J" p: Y! ^' g; ]. ^
6 u- h! p( _$ f" x2 I
& }" s& L$ K5 x0 R
 % R5 Q& r$ T3 q5 h& N
! O& ]) n: q$ b6 I( B2 ^; Q# r- D4 @! k* V- Y M% |
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:: k+ i8 D3 Z6 D: T2 `' d5 \
# A u$ Q4 \0 }
+ G! K' [- @: h D9 ^
 0 ?$ l. F2 i. U; l- U9 N0 i
* b b6 U5 O6 }9 Y. [: m8 M! b
1 ^" a2 z) j6 |; ^) [% f 访问webshell如下图:* I% X& ^ l# U4 F& A2 {# h. q
2 Z# s0 c$ i' j+ f3 y) M4 u
- k" l- c6 a, w0 |. A  5 v7 c/ k5 l# K0 c- O
( u6 j% @( a! r" N" k% Y
' A3 e/ T# k9 h* ~7 r/ U5 b1 h 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:( G9 o. q; P3 F1 g c0 i ^" w
; M; Y. X- a2 ~5 [) h9 _& {0 V/ v; Q7 c/ [5 {" [& \& f0 ]' L
7 W" r) d& e s; m* F6 U4 v
& V' T& g0 U/ Y. g# n6 M8 D1 f3 J/ d9 f8 s* {5 ^2 f. R8 } _
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:) C" y0 M, \( ~- [# @4 e
7 Z1 w$ f$ n i, w- E8 J( G
: w: s% j$ ^ L+ i* r' M; J9 v 
) n1 v1 ~& `3 R" S, n# }
5 s! [8 g& D. ?+ w3 h& {" k0 v7 z1 h" N1 i/ I! z
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
m7 b" p {- S- ]9 D! R3 d 5 R" }. O6 P e& r/ [0 x
( g# y, \' w1 g+ k3 b" v  # x+ `/ x7 b7 I; A( p% H0 C, ?
) b6 B( @7 p; w6 b4 M
+ s2 t( q ^, u Z( a. O" C- C
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。9 s! `; _8 ?6 M3 P/ N% [/ ^
) z# ]. K4 L( B. C% ^5 x) k( t$ m+ n6 F q- |# P
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
, f# v) f2 S( s4 g6 z 8 ]2 a; \. [- S
: ]/ Z: [) d" J* g& l r ( i' S. R# i/ ]) ]* N
1 |5 K( `' ]* Z+ K0 Y | 
发表于 2023-11-28 20:23:22
收藏
支持
反对