% e) ^, q4 S! \3 i 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:, p9 \* _- l' }% I1 Q( g: o+ h m
7 x4 v) v+ v# `& Q9 F9 R. Q
* _' \$ F, k( e% x, v3 `! u) H
' g* k9 C# F; h7 e4 k }
& b K) H. X) Z+ G' o! G- F% {2 I* A' H9 R: n/ e
然后点vulnerabilities,如图:* Q# B& ~9 K! A$ F9 t# L/ q {. K7 J
" P9 T. e3 |6 w
* N* ]9 V# s+ r 0 `' m3 \! z6 A% V+ o* F8 n
* ]- r6 J0 D8 ~+ C" R, `8 q$ z5 X: J
c8 }7 t7 `1 ?1 x
点SQL injection会看到HTTPS REQUESTS,如图:" O, l# `% A$ p# L9 h
+ {) s: p5 {9 z
, N; @( J, Z; D) K7 l1 y : X7 }8 V, F% i* J, ~# i
" S' D1 d; q4 z
" `! \4 ~ n( B F Z 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
' P% X! Y/ N& N2 {0 Q 0 W6 c- F! k t0 B
3 f, D: h3 \5 d( V) g1 N& w0 b Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
; Z% v2 E$ Q8 X; S
( f- W9 ^( s" o6 |) j' R, w9 w+ F3 l3 w' ]6 \
5 N! ]8 q, K( l+ H# Q3 H1 v
, c X7 l" z% S: W; b5 j4 F/ O+ M# w
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
0 t' C% ?+ g+ r5 O1 e6 O0 W 7 Z( a. G% N% m: E8 h$ W
9 Q& `. j+ y% V6 s
; g c3 U3 o1 T1 q& J% u( } ; r& q( }7 E t8 {4 v! N
* ^. J, T$ H3 |" k
7 Y4 }0 E1 E! t7 d : O. ?* L) t% G8 \$ O3 n2 }- }
% X0 z' J- r3 c( R# n 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
, L4 x4 {# d+ P2 |) g0 P+ l% F
' h2 G! m$ K& i% v/ s% H7 U0 M6 g' R1 i$ @% U' K! v% ~
1 T1 J% q1 @: m4 s; m# f; ^, d
" D( ~ {( w D$ D7 d4 [
* L. s. B* Y; N, U2 D, d 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
# y- r a: f8 ~; {) s ) v3 Q$ s& Z6 v
N; Z9 z: a; g: K- z
/ Y3 Z% p# |" b ]7 M 6 S6 q: w' h! z& r [
. Y; j! V* [8 {7 m 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
# d& U3 e, C. J6 C5 [+ Y . f8 _4 |/ F ]* C; i
# o8 I- H5 Q; c0 h
6 i8 ^1 ]! F5 V) m* B
3 l- u; }4 Y1 R! z, N
- g& `. K# q6 {# y& h! h 解密admin管理员密码如图:
! G4 y' J" l% R3 ]
: Q, O5 a1 C A, B, Y8 U8 P1 z, F4 ]$ Y( Z/ w6 x/ v$ W
! @ v( x* p$ z. C
: K) Y0 P$ g! A; W/ _( E* H' m
/ ]4 n5 R$ m! I
然后用自己写了个解密工具,解密结果和在线网站一致$ U7 C+ O! D' l* k1 j8 L
3 C5 d F- \; [& D: ?( @5 x0 R
- J& L* V7 s: r) I8 p) C7 z( y2 ?9 G3 k # e2 ~8 ^$ f$ w
p8 n! K& N* j) T$ Q
* {& H; R6 r( k _2 a6 C 解密后的密码为:123mhg,./,登陆如图:
: F8 b. K i7 a3 K
" y& `- E& B3 B4 \ h
; l4 z5 D/ G* \7 d& l
4 [, J0 u0 }5 v. `8 B
w, m1 K% d+ R& r a2 V
7 N: L. V8 S. e/ g5 _) d 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:9 H2 l; v3 {' J- }8 {/ `
% V% H& i% Y6 @2 T( H6 [! D) C2 g1 L$ i9 k; F4 J& z% s: s7 ]
2 M- N4 _# |, H' D% ~
7 O; O. M. r% A( b1 }; `9 u9 n! W0 i. ~4 c
- G/ ]8 Y# M- S: z- m# B7 |/ \ ! {2 C! D6 `4 d1 }
5 M. ~" F, r+ J8 l) I
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
& `; w0 h3 C; z0 W; ^& x* B, H; A
+ M9 }" m, C# ~! Z" L# f `- c2 G& P7 p% v+ w3 {: F
" u& }6 S* F1 x# ^1 Y 1 v- |- J8 `1 a. r5 j- B
0 D: K. M3 G( x- f' V' q. [' v( s
访问webshell如下图:/ p0 A- C! \5 L3 x
! H& o d9 S- Y& ?% `- g3 z, j
8 d: I4 l3 F) }4 D% p
/ w3 L v* H2 |8 N" }& r7 ?7 b3 t : E t: g7 w& E& F9 ~: g: y% S; }
+ F& u( x4 @! {( d
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
) z) [5 D0 W/ g" j+ d 8 T7 ^* H2 t) S- x% a, h. T
7 m0 _+ d' f% Q! y; i
- d. C7 G9 x3 A& A* Y" L+ J + L, p6 j/ {5 C+ m0 ]7 s: j
0 S' K1 _; V5 W 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
% x: i4 i! J. I/ E 5 g$ t' K& j+ e) `: R
" I& g+ A5 A A v4 Q6 ]
1 ?, a0 u G# x, {/ ^. x% \9 t
4 {. q m' L/ c4 }8 u$ ? h4 ^
1 ~. Q) v* G1 e+ c) m+ |/ i 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
+ E% D2 B+ S. b0 Z- b0 K! t
% a3 d2 c/ F; C8 t. T/ F; m0 G1 F$ o( J2 J" \9 l S/ q, c
c/ M2 d0 @7 F: R& v) ^
' v: E' _& L8 d k& \; ]0 y/ p8 e
3 o' |# Y) @- u( E. W2 q
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
! ~2 O8 {- N* }3 `' |1 t9 b e6 s5 s. ~' b( F, m( r
' c( I4 }- {$ e* B7 S( d
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
, c. q! W6 l& x* c6 n/ x ; @7 I" \4 Y6 [' `9 w
7 d L+ t$ w& N5 Q0 k 7 K! P( J' l0 k7 K( M& _' [* O
3 U! J3 b5 |. {, N+ l# D+ k0 m |