% T7 \" P1 z$ x' C2 I
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
& `# y1 w& I* B D( j) \5 U9 N
) I2 L4 l& |( T8 K& m& \, B! z7 Z
: O6 J/ @9 c8 R
( ]) @/ Y; K: c5 e% d( F8 [6 W4 m! E
0 E3 z$ @ Z$ s# j5 C! T8 K4 f
然后点vulnerabilities,如图:
" }7 H) R% |" k8 K5 T( r, t. P, i
" q, ?7 d' O3 `
4 L/ M+ I/ q7 v/ g7 ^
4 }* E3 X2 i) ~5 J . g: c9 Z- ~% I t
4 k4 c- z7 e( X6 N, U& E, V 点SQL injection会看到HTTPS REQUESTS,如图:2 A8 N3 c6 `5 K" m/ b
0 B0 w2 {7 S" D8 h7 C9 A: r1 T
/ d( |3 n3 A" A 3 Y8 Y) A8 n. {2 i+ C' P! v: y i
0 ?4 Z8 x2 i5 Y, h2 C: d
* z) ?! C: O4 b+ f( h# ^, T" R( G 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
) F9 V' |! }. g0 Z
! g% ~; u) K" v: a7 I
. D5 @, d2 S& [$ F& A Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
+ L5 J; s* X" V, Y# K- w
0 c9 U( q0 u& L; f6 y! z5 S' E/ E# Y
2 X% h( E: Y1 v! y" U3 x; m) f * i! |# X4 o. i/ _: g5 e$ d
% ]7 c0 t6 U3 q/ k/ Z' c 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:* z% Y2 h& A2 w' s0 k
) k7 o0 b" ? r7 }# K' J
) [- C9 @+ @# x1 I' v8 C, J* h
* f! k" [' I6 g1 b
8 P- z, [$ a2 Q) D/ c
7 k O4 `" S W& V2 ? 8 O5 M# [5 d5 d" O0 W9 y
: I1 d+ h) {" S# K2 K: W
" e. ]6 H5 Q+ D; d2 M' z9 G. r 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:6 _7 N3 d4 l5 m$ k2 g3 _) R- h
! g& P0 M; r5 @; n! s K& h: s
' {3 R6 ]' C2 r5 \ 3 b# q6 U z7 Y* }8 {3 F' F
( p% y: `; L+ x3 R8 k
: o4 [0 N% H& o/ C! @! H- ?
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:# O( b% p% s, \ j
. {; j+ Y( Q1 ]4 f8 U6 }
+ K4 I6 n2 y: g# U4 Y
9 \" F/ \+ t( w8 |: J8 n8 d " m, w/ u& |0 d& M! [: S
6 u; q2 h* I( k1 S. Y
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:# Y8 G9 D; y- u* K
/ d L& O1 L4 `4 P6 E0 [1 o
, y9 ]' i$ m( z4 K4 R) v
9 @8 g- Z6 A8 r& t7 x % Q! g+ t; h/ I/ U
" d. P& M: t$ [3 G* y) z* `
解密admin管理员密码如图:
9 _, ]+ x1 f: p1 }% i# k" P Q 9 m" a6 s4 [. w* A! H. Y4 o
" c+ w% E, F1 @3 q, ^1 `
/ `( y7 H k. K: u4 p , @7 z/ J8 Y# d, v0 f" {
S3 T6 }3 X. a5 M% ` 然后用自己写了个解密工具,解密结果和在线网站一致& ^; i& _6 j5 |/ ?3 s" O( W
$ d$ R6 i7 u. x# y' \
, D4 [: `5 s7 N% M( p0 t
$ {' S6 b+ T+ B6 j$ o% M1 k
% U+ O4 ?* i3 c3 Q
0 p# t9 {2 k0 D+ [3 s 解密后的密码为:123mhg,./,登陆如图:
/ q+ _; J! Z0 W/ n! F% i
; F( n6 x" G- ^6 d- ~
! y: {& R$ \$ q
. z S; M! `* I / M% f5 I$ E+ F8 j9 P/ ^4 d
) R1 W& y3 Y0 K. K2 \ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:$ {4 L- v8 Z% f, |/ ]
7 a" N9 j! `% ?, y
; H, d& e" I" r( k5 M* t
y; M) V( }/ i, s: a % f) z, _4 a, @1 W" ?
% ?$ W. c+ m; V$ h a& o' h
/ V. @; L6 k( _2 ~2 \/ O+ ?4 w
4 x* z3 f/ w& _8 c0 ~. I6 s2 G' c, B6 M( W# W9 }
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
3 h! G9 U& W1 l; Y+ k5 L 9 `' [8 N& b8 G7 u9 k
1 F. l0 c1 {# m# t $ h5 K6 W% X$ r6 ^, ~+ c$ \
3 j0 R8 d' N( V' Y
* ~+ O3 } C4 d* { 访问webshell如下图:8 s7 K' P+ z! M1 G. F0 f+ c
" F8 \) _; e" `3 p' a! r& r9 L+ }& H9 M% P" p, ^$ X4 m! i& I+ j3 `. ]
8 m# C* p9 i% f ! W# @! d! h$ a z+ e8 z3 F% |
" h. z6 k+ e4 L x4 j0 X1 h, ~; r
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
C: h( W0 \& a t1 q; M
8 m' K/ j/ m" k7 b
& H6 @5 p& i. n7 b" C. V1 Q x0 A 4 [, x! P, F; v' z
, W) T# R' p7 k% [# M9 w9 V! w
+ y; _* u0 V% w" o/ w4 V6 B$ A 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:7 |) S+ w- [5 F; O. H1 O" q
( k2 G5 H8 {. {5 ]- H7 J7 x8 m
( `2 ^ M/ M, o- D
; I- }9 _1 m; d3 {4 g3 B+ q# u/ I
& V! j& J% G4 E0 u2 Y% } ~) L& ^
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:5 `6 B& U6 f8 H9 q2 P, t
2 u) y/ B9 l. ^# O& E! O
. P5 ^* ~" W6 U* d" a, w% R. r
, X8 [! [9 e$ T# r5 \5 P
. q: g* n) k+ |4 g9 ~5 E% B% J
6 H. @; c& {& I( {$ ^: u2 Z& R 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
. j! J" x0 o3 D( X6 ]" [ + o1 t& Y1 ~9 p$ c1 ^' Y5 b
; P$ l6 X4 J I" b& p8 f
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!) B3 {7 C6 j1 \
& r E2 i1 c/ ]5 f6 r9 V3 K9 `
! D3 @+ o( K; X2 F2 [5 ~
/ L2 w5 F' P8 `) D
" D' ~- C3 _% f- d+ ] |