找回密码
 立即注册
欢迎中测联盟老会员回家,专门使用25年老域名强势回归
查看: 559|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

+ ?' h2 Y. [% x9 _9 U' i :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: $ C8 d/ I n) L$ \ ]

\. W9 n. o4 n& s

9 d" n# o3 D, a2 h& L image-1688134638275.png3 T9 E- P9 w( r% j V

$ z* e, B1 b9 Y& [; a

; E* J5 D3 P/ M1 R 然后点vulnerabilities,如图: 6 D- o/ G# i" Q; ^

1 c; [6 p5 W9 s8 F2 S

3 E. J# L0 x8 q image-1688134671778.png - |5 B J- p' {) g, s

3 e4 i% v! V5 e

- u. U* ~3 f$ W5 ^- @5 Q SQL injection会看到HTTPS REQUESTS,如图:! R- J0 a' t5 G) o. }& P6 C& H1 I

: H/ K- M% ]+ B

w2 g, u, k& k4 x: k$ G6 J7 a image-1688134707928.png : P" A0 h6 `: b% h

% m/ |7 O6 E M- k% H

8 _5 Z4 ^3 ^- M* o2 v) X 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-88 l7 w9 W2 F' r5 T* y

% y9 y* E) b3 e3 t1 p

; a( ~' D1 S& b3 @+ p; l Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:+ E' x2 S; ?: M6 e* V

4 L7 A* y5 t7 R& W

: {( c) s+ s7 w4 g1 C, n: m& j: j image-1688134982235.png9 K0 M4 {" U/ G7 o/ Q4 v: H

% x+ b$ L" N' j

8 l' R. W: [; I* S/ a5 L 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: x. A1 K2 f C! M7 g

6 B# x' A* a. u

; C- k* U' c- t# v. `- j! i* p image-1688135020220.png7 M- m% g$ c0 K8 N

2 |- k6 Z3 v+ R L; f8 Y# I, m

& [+ Q4 e7 s/ s$ ` image-1688135035822.png0 Z* ]% G, ^( k- m/ W0 M2 a

* h9 Z; t) W2 t, Y% O9 g& a

K& n# L8 ~' \ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:. C" W8 v( P( V) d' d! w) L

5 ? g% n$ f4 Y# c+ v) ?

2 c( { P3 S* n: d image-1688135070691.png - @, d$ |% p. D E" @

! v5 D7 Y' R. A3 C! p2 v

& \* V! \, {$ l$ i( q" {8 `8 c 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: @# G( G2 q9 u

' o0 r' B( F, | q, `, ]

' e& @9 k: {' F7 b3 k6 y5 B image-1688135098815.png 1 ?# I2 f% a' @/ z

: @4 T3 W" l* @8 K( w

/ K6 G* ?9 N& |3 [) `4 G9 ~! I6 b 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:% R( X5 H `# @

9 X4 x G, q4 F' L: C

8 X" r6 w1 O5 m' h image-1688135130343.png, m& D" e V" `2 U8 E+ _: p

1 \1 @/ O: s' c; \* r4 y* l0 n% e1 o+ s

% u2 b4 E7 B1 k 解密admin管理员密码如图:) d, l4 c( x l5 y. g$ s$ B

- o: H5 @5 h0 q% i& F/ H

5 ]5 k. P4 }" @5 B: ]4 S) }9 I image-1688135169380.png 9 v, |9 z6 Y" l3 k

3 b9 l Q. o* E* C; A4 z, \

" Z: `& r M k: m 然后用自己写了个解密工具,解密结果和在线网站一致 z& r: y) ^" p) I2 n

* C% T: e. L- U* L! y. W

- o' L" n% U1 M7 M3 ^& [9 z image-1688135205242.png( T, J. i ^: N; V

& O6 }) @: |6 N' R0 w& w: t6 g

, K' n( q u0 E; T0 H1 ]% p0 a 解密后的密码为:123mhg,./,登陆如图: & g) v m* w9 u# ~" j

" h9 Y' s2 K6 b% @1 {

( N& y5 j5 Q0 a5 L image-1688135235466.png ; b3 }* F9 m3 b1 X3 i

8 J6 f B% ]' C, X! u4 y3 v

8 t# F K1 y+ }7 b% m, b8 g 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: ' z- O, {& o* R6 H, e

) A i- q. {0 q6 v4 F2 u4 J

$ q; s% r/ p2 R( W4 ` image-1688135263613.png 7 H2 f% ]4 }6 k0 J, u

2 ~0 z0 c, m9 F2 ?: i ~/ f/ ]# ]! c6 |

7 c% t2 q# r* o0 I2 I: g image-1688135280746.png + f0 J1 b5 W. M

* C; s4 e \. S7 B% T" B5 f2 S

% S# N' G" c* }% U M' b0 h, }. d- C) } 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: % E& a+ E9 Y* n% G

1 J& [( V2 X1 U& B

" [/ @, C: ~2 }, ^6 c image-1688135310923.png / [" o3 f/ G1 j% ?8 G

2 a- e A! s( D" z

9 L x! r$ m4 u3 W) C0 E+ O 访问webshell如下图:8 R- {0 U2 g/ D' F

) B R7 K1 j0 a1 B

+ n+ W) G) |9 i) Q9 |( E! q image-1688135337823.png! H3 M% s) L6 E$ Y4 ~

" b9 U( |3 ]1 _3 |- [% [+ o: s

9 h- h% s! s) N4 l' g 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:9 K. C" `3 \2 d7 _4 ~7 r. z

f+ u8 W( {% r" Q

, @6 P4 [; K# O: X image-1688135378253.png 8 h G" u; x2 R7 `% V- [

; C* F) @: h& a* }

' ~. i' F8 N' ~5 Q 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:1 {9 C3 X& Q4 \2 g# z

, F; M% j, [/ f" w6 P! U

% g3 B% W* h. D image-1688135422642.png 0 w3 u; ]6 C8 d' U& ^2 ~$ Z

$ i% K# S& ]$ j. ?* b: m& d7 m) `

1 R/ i( l7 x( x9 j% H7 L% w! f 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:+ s% L9 X. H! }* [0 k5 l6 w2 x5 Z6 K$ \* H

4 O3 c& N, v$ N

4 I7 T1 C2 b% s" }. ~; ` image-1688135462339.png $ v, Q+ v( Y* D3 o) Z5 g# _

z: X! y' X9 G( K$ d' U: r

+ k" A; j' Q2 h 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 6 f( x: Z: P' Z' Y4 _

* U0 V. K0 G) Q2 @5 L

, K5 y) C/ b) ~ u! d- h6 i 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 5 p$ ?4 ?, q2 ^7 b; u

' [, B% _) Y$ f6 j) i$ y' `

5 Y) P; M+ i" e& V8 d! t, U   & v5 }0 U( \- d, L

7 A Y* A& n. |' V' P" j$ l
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表