|
N7 K8 A! e2 }% G/ U
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
# h; G; t+ [2 d( n/ m4 ~
; M- s# t! R# \* A
, f1 l$ C% i. r( g 
6 b4 N9 c: F7 x" b9 P4 b; W 1 h( U, C& Z* q0 g; H
& l; @# ?" M: ^% P2 o/ ]1 ?
然后点vulnerabilities,如图:4 A3 Q1 E; Q( }1 |
L- b$ f7 X$ f9 ~: q/ r9 w2 P
; \4 _ P- o9 e* T+ W i' E  * O' o3 B' D3 x. p t. K( M3 [
9 R7 h2 u0 C) U* f: W% Q+ A
) c7 }( q3 R( |4 f( F6 }# C 点SQL injection会看到HTTPS REQUESTS,如图:, O8 |5 ^1 u1 Y$ h ]7 ^
: T0 `8 G3 {; l- J6 `# z+ o1 }9 w S! r8 Z! i' V! v" `
 ' ^6 g( j+ N4 U
% i( ^/ T/ U4 I( l
5 _/ ?( h: o6 W* W0 h+ T& W3 S 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
0 G' d8 C/ G+ H( R& d : C, M9 N% C% y o
z$ K! c0 ^( |! h Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:/ {1 k+ X2 H( Y" X/ F
) M8 ^5 L2 I; c( J: p, a
" V' @; d; \0 o* Y  $ E! l& V1 O) R3 m4 }: D
# ^* d2 W- [. g) I. w7 E& ?( m! [, _
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
, C. b9 ` P8 K2 {' G ; l7 }' l( Y* _3 e2 C9 _) ^
|" E% O, P/ }* k2 v
0 V+ A5 K0 |, R' c 6 V% h/ d4 y3 ^$ M
! {; Q) q1 I7 Z! T
 & o. T& u: Z7 Q. o0 k
^# g- \( m6 I) {; a! u
9 |" a. y5 Z) l* j: D8 Q 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:( x B# N0 U* R2 a1 e
* D. v% \4 ~+ k5 F- U; O0 i
3 A+ d/ {/ m: M9 n 
& l) [( C* P0 G) F1 B8 q % B7 y3 g2 V6 p! D& X, ^2 q
: ~) w5 \( y8 S 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图: o* I5 T' y! J
+ ^- W y2 `3 d/ u. A( N
& ~4 p I3 F, y3 j! M 
G/ M+ b3 A8 W/ g# J! T& [
+ g1 @9 ^3 m) K, \
6 s8 V4 Z ^4 N6 d( @- _* [ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:$ K; V2 F( d; B( F# f- Q! Q( W
! M/ z& `* p9 e- U* d$ E
: P& U# E8 @7 B2 N& O 
6 f T& u4 m) B4 S% {9 C" C* y 2 W% v8 R; F, R$ b
. x7 y% e4 Q& w+ b
解密admin管理员密码如图:
4 x- g7 d# L; m. V6 _2 O
) Y4 G' v9 y6 z9 r% V( T5 `3 Z. w
4 j! `" f1 E) I- d  ' e( d b1 t* W+ g4 m- R
# \4 L, L$ b( e, L! v: Q6 e9 R
* o9 v; m. h4 P3 Q 然后用自己写了个解密工具,解密结果和在线网站一致
6 d5 ]& ^5 r+ I9 G8 \ ; ]4 B' c- s% b3 ?+ `) R
3 r0 ]' Q7 s8 i X
. S! u$ p2 O3 M" W& V % W4 P5 c! x% N) u! L& z! s7 r
7 x+ K' h. x4 \) V
解密后的密码为:123mhg,./,登陆如图:3 a& _* x% a. d# {& }. A, Z
; g3 F+ o% z, |, m- y1 |; [; Q' h
8 H" v8 ]5 L: P. ?2 B; I, R% S
* i5 U v6 `, a5 y Y L) o
' f7 L4 G, U+ X0 p 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
' ^: E% t3 b) j5 t
$ q. C4 x0 I6 g* A- o) i8 d- [7 U/ V& O
; G! g1 ?9 q9 ^6 `* B2 u  4 c' o% Q+ X q7 \& Z3 r
: E3 N0 ^. M8 R+ H
3 Z" j# h, z7 z; \
 ' {7 Y+ O# U& Y& C$ c& l E5 s
! J+ ^8 R. w0 j; R o+ |
. }% N6 n, N; t' I- o7 v 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
; ], J/ K6 y4 c
% c& d3 W4 X" t Q, i$ K4 T2 \+ Z
; |3 ?+ X- u. i 
+ D' e" g; V3 L. d! m, d+ T) G" f: a $ ^9 p! u" L/ |6 B1 N+ Q) E
+ X" {% A8 ?, D* Q( ~. P+ C 访问webshell如下图:
9 x" f2 w$ c. p3 F2 Q2 ^
/ u0 c. x: F ~" {5 ~' n0 u' w) r+ a/ l8 V
 . P a3 R% c3 N/ a$ d# H
4 |( I- v: N- M) P* L( q
+ I( Q( e2 \& p9 |7 G1 j- d
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:, E! d: h- b' y9 |9 y' K
4 L# V- F1 q+ p" K8 i7 v5 J9 w. W
4 O! J2 }# ]" a3 d. ]" f 
2 g: j1 \9 n2 X$ K" K; V 6 H, X L1 U. C5 c5 P+ x
Y3 O' |* v ?! f1 S
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
( v6 P' E' u! A/ `1 n
9 i" ]/ `5 C- |: A1 u; t; _
9 Z2 A! B, }, w( |2 A4 B+ t6 V 
; k" B4 m4 J; A; a! U 6 V8 T' ^, E* Y! |1 {, j
9 o ?9 V/ p; v b; M( x2 ~/ ` 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:/ N M4 t8 I# F8 I6 {
+ Z1 P' G/ k. C- n3 b" I c2 V2 W( D$ Z2 o2 U/ K
7 T! o% e3 Z& X- i# _1 o
. n( j! N/ D. y' p+ r5 S! s8 m1 p* J6 l
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
" y( ~# J# J! L& i6 G% J0 X
/ L. k" H5 i) _) k" T7 L
! R, M9 P- B% c: q% v! H 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!- Y, c% ?/ p+ a
. E# x. K" r; i2 J! }) t1 J) v1 y
h8 p% |! d! H0 P' ?& `2 R# Q4 o
" y$ D2 x: F! Q7 P* L3 [0 E- ]* w " G$ C" h0 C4 q* @% ^1 O i7 H6 t. Y
| 
发表于 2023-11-28 20:23:22