找回密码
 立即注册
欢迎中测联盟老会员回家,专门使用25年老域名强势回归
查看: 558|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

: {4 T `/ m. q1 n0 \ :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: # D6 c o1 j3 E* {

0 X2 K( D! N5 z N. s% n# f

. Q8 f$ _5 i$ ~ A2 I0 U: l' o y image-1688134638275.png' }" L. z' _+ i0 K3 N# h! H

4 _) Z# l: S4 w7 s

L3 F/ g7 Q1 b8 t 然后点vulnerabilities,如图:) a9 H k6 b6 A) d7 M% D

2 F9 ]" {: w @7 G V0 a

' `* k# T8 x a/ j" e# ^ k9 d image-1688134671778.png3 q" N" J. w8 F. v6 ~+ | J

' I R0 U& ?+ `/ C4 e/ C

3 I1 ~+ J; G4 O3 ?! p' e8 w7 ? SQL injection会看到HTTPS REQUESTS,如图: , A7 `7 @" [ I* ?" D6 M

& |1 @; C3 |3 q' Q* L$ A

2 f" V% `& d) c) F5 J image-1688134707928.png + Q# W: D7 p6 S! X, W5 v5 k

k( V& F _, F, v

! n% M% i+ @/ H9 [6 ` 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 8 R8 A2 h6 P* w. n# r( _

! S4 p: V; L) l/ Z4 m5 }4 l* S

7 ]% a1 Q# s A* [ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:1 V( ?* e+ K& o3 x3 w

6 Z% F- J( }6 z; p9 Q

6 i2 M: p! ^% w$ [ image-1688134982235.png" q+ ?" _% u+ Q

E! V% V/ |7 G: y1 h# {

" X a* O. e9 [ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: 1 N. `9 U5 o! R8 n) N, S# F9 R/ w

2 E6 \8 w u) ] g: {" A6 }

1 ]8 n" @1 V% k! \: V image-1688135020220.png 4 O, ~; f$ z0 J, o+ u1 d$ r( A0 G

& W! L: i! b! e! V+ r( M3 q# {

- ~7 f9 c3 {9 k image-1688135035822.png8 j) A" [" H9 W R. N9 K" w& }

4 A1 L" t# ]% l( a1 K _

0 ^9 f, v% t* O9 w4 |, p1 r# | 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 4 y% ^+ \0 c3 c) k! L6 T( v

: l2 p- a! Z7 r, f5 A0 f' V. r

- `3 Y+ K/ w4 G, D) ^0 o# g image-1688135070691.png6 l5 e" z/ t! Z8 Y* S

& F3 Q9 \9 E) `3 R9 e+ e0 r

5 a0 B7 W9 o* I6 O6 g ~9 H' O 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:6 c$ X+ o7 C6 l e. p* \$ s

6 W9 {+ m! L. W$ r% W

) a* h0 |8 N) A% a' F image-1688135098815.png ' K+ h. U+ q; S# F

" a+ m: J( W$ s* ~

4 w0 F; I. b3 p2 Q5 | 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: : X+ N- {* j. t: k D1 \6 F: ^

. k/ c5 [' g) T' ~) l+ c" _) ]

1 l+ v5 n2 _" ~) H3 m image-1688135130343.png$ D* f3 Z$ G T3 @. {$ F* {3 Q P

' e2 `9 L& |$ ~/ Z M6 }( n( P

i8 ?9 G% J( ? 解密admin管理员密码如图:& Q, |# b) g K& s

, E, F% k$ A% M" B

$ a5 g6 T3 N/ K: E+ N7 ?5 N" E image-1688135169380.png * V/ G: P: |: T: f( z; r: Y2 H

8 E9 S$ z- @- |* d7 W, C7 q

( }/ g3 Y9 @8 h$ z, L5 u 然后用自己写了个解密工具,解密结果和在线网站一致 : h6 r7 y6 f& g& E5 S

. [$ B- H$ ?/ N! }1 t5 c+ |1 H

/ w: T! `2 E5 r4 S s. O' \ image-1688135205242.png s( O; A& F% L7 e* B

1 y+ ]4 v F, j1 t7 a) L2 K4 m8 k

7 @6 D Z: |( X7 q, y" p1 o 解密后的密码为:123mhg,./,登陆如图:; h9 i) y1 A/ ?$ v' c1 p/ S2 M" e

; T8 a7 \6 _- [6 a

: {0 J: m. X; ~ image-1688135235466.png % A$ x5 w* Z0 f- J7 d% Q

8 x2 Y+ f* U2 p# p3 m

3 H) z' Y" L. b( [' f r 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:1 e4 B+ U% p( F T/ f7 ?4 p

) J6 |+ c) g9 u K, v; G0 m

; ]: z5 l8 i0 T0 S3 X G image-1688135263613.png 3 R; H5 Z, j. {$ V

0 V e! j: y6 I' T- @

/ K" ~9 |+ R; t+ q# h image-1688135280746.png ?& v3 ?5 a+ C! `2 C

; I0 d9 g E! z$ Q, [

3 c) _; M8 A% [$ F+ z# D 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: , B6 m4 B5 k" B: P3 h7 G

# [' u- r% K8 `

( J% t" L" O B$ p image-1688135310923.png 2 g! b* W0 {( @4 R

: {! `! y# u9 y

3 ?+ f/ _/ Q- A/ n 访问webshell如下图: 7 b) \) q) K1 r

) \6 C5 {/ A) u

0 i9 H- L1 D: V( C5 M7 ] image-1688135337823.png 5 E5 j2 o) s2 }% H

( W5 `9 v- ^* X" P3 b

( K {# p/ i" g2 s 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:; R7 y4 _& b, j& y% ?

% U* e; c) l& s6 N

5 P6 W8 M$ A$ T& u- u. q2 [ m" r image-1688135378253.png 0 a( Y9 U) V* Y! F( s

& \0 P. i4 X! B0 r+ I& j2 {; `

; i! |, X9 U' `( J+ U1 Y7 b 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: 9 Y, W' L) R1 I' p. c

4 k6 {; C( N1 Z" }4 m9 l

9 k6 V' m& k+ P+ r/ b7 S image-1688135422642.png ) b5 v) ~( O, G7 d; K

' H# C: j; g; F* ^/ S

0 @1 q/ q2 } D! s" R. _$ y$ T& I 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:* ^) M5 L. x1 i3 V% R$ ^# M. @5 x" l

) D/ J' S, I/ F; w G

2 f" K" v8 `2 ] q; X1 ~) g' F$ o image-1688135462339.png ; [. h% Z2 M: p6 S/ }: r

9 E) J$ w8 d% H( M' F1 V+ u

1 B2 W: u( x& R$ G, t% w 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 ; j# b, X [: `1 ?/ q9 }

& M' ~% M* O' w8 Y

+ v: u/ \1 f' g- F 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 2 }# l. M/ ]; Z% y, N9 ^% O9 d! D

! }# R$ i$ O, e" i

6 f, l( t8 U) e1 N  # \ }7 K) `# m

) F4 Z2 I4 K' H& I
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表