|
. B6 Z% N4 M6 g1 P
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:8 Q2 |4 M! J( c9 K1 P+ x5 U" Z
8 S2 l" ^6 O0 I: J$ Z7 K% G- \* K
" M1 v* F. `/ U/ t" I 
2 w! \) C& J3 P" l, |7 H5 B
/ d; G$ b8 _+ H9 ]
9 r- Z/ g5 F1 ?) m$ x 然后点vulnerabilities,如图:0 b' K* f+ [1 W [
% v9 w' S: C J# Q6 u8 P2 F. x& P4 J+ z1 b1 {# @
/ z5 [ B( u3 [$ u* |/ s4 K
- I& \" b* U. v& m2 }
! S, r, A. q- n% W' c6 t. O 点SQL injection会看到HTTPS REQUESTS,如图:! W8 t! l2 ~0 h: W
. {0 t5 f1 [- B/ p8 l# a' [# L
0 I2 a2 `5 p i# k; o
1 M% e5 H( ?# P+ J/ }9 H
5 W" H7 @/ |* [0 [9 P+ `8 K5 M- j- N9 b# c* c8 ^
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8' G: B% A9 m9 ?7 F
L6 H8 S9 q; N* B0 j$ y3 u
/ O9 q$ v/ p$ R% n6 f8 V Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:8 T' Y* X6 `- z" R2 c+ V
! B6 v5 j' i2 }3 ] ?
; t j4 |4 g+ W 
( B6 F O3 i0 n" G
( d' O$ ?4 U# ~1 |( F5 |. v& q& o
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:; a$ p+ n9 @$ I ?8 z! N
, I: Y# ^& S; X ]$ v
" [9 k5 L9 Q" l# P  0 S5 [- c7 u3 [: h1 l1 p# o
+ J# ?7 N7 m/ l3 U) f/ g+ T
; M$ b; k U+ H: C# u! T! l5 U( C  ) f" g: [* U5 z2 F! `2 X+ c+ F( M
) z% S0 l# R, Y b( v2 `! d. d; |/ i; R
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
5 _7 W4 A8 y$ ?, ^* b; b* |
. c4 j2 B+ g2 H( u- [# {
, `" r: N* s$ w; K2 C% a! ?  ; y3 s4 b" P+ p0 G6 i# P
9 V* S' R+ L. @! F9 r. H
" H) o% Z' B2 S) s; r5 _+ F7 b 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
. c% b, j9 J/ V& K6 P
' U5 J2 Z7 S) D2 D! E2 F
- z7 {$ g! Y0 k& a: w* Q$ V 
$ i: z5 [0 F- i* _ _
4 f- l+ s' R" I1 j) t# }$ K: Q& y1 ]
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:9 _$ a/ Q$ g+ }
2 ~) ?; h# D7 y+ w: V
/ T ^. V8 c6 g- K/ V
/ G1 \% x# A0 ~. J- D
6 L0 u8 y0 q8 y$ @& n+ Z' v# ~2 Z
7 S4 a. K5 G4 a# v" y 解密admin管理员密码如图:
# m2 @/ @# B5 h0 A8 H" _+ g
4 I/ ?) L1 \# e' Z& w; F
5 r! q0 l0 a( ], ` 
6 f% ^8 c6 k7 `
. ^7 Q1 I* o w+ _* g" ^
; Y, H( p& w3 i* d& P9 c$ k 然后用自己写了个解密工具,解密结果和在线网站一致) Z! @* z( X* m5 n$ F% h* k, e l
8 e6 ~ O0 U X/ D
/ ?- d' X0 E4 Z0 o, l3 X  ! q {3 ^% X: P- n# A
6 P2 y R# L% r o# a# X* G& G6 c
8 }" Q0 \. d+ e+ } J$ g5 l: A: L
解密后的密码为:123mhg,./,登陆如图:
) h& M) x! E) m' R5 E
' y2 Q: B" t5 D! c @ q: C# o+ t$ K, ~. h" M7 N
 ; H! x, L( x$ ^7 c6 F, \6 |8 Y1 {4 z
5 _0 @# o# \$ f$ V6 x7 P
, w. j7 q3 u3 ~ `: s5 V' g- w% u& K2 d 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:6 @/ G. ?* |9 f" I0 p" i
. v* R6 I$ L% }! I
/ V; v! n" [ } 
. ^/ L2 b/ G8 V9 r1 Z" ~ * r" q' [- O/ S
' a- ^2 \# ^, Q1 s
' ]% b7 ~ L6 T
% R: J3 \- b7 R) D1 C
; M) w; y# L, t1 a# D6 ~ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:8 ^+ x/ \3 r8 z$ _
) ^6 [% C; G7 [5 `7 B. A, v9 c' y Y7 r0 P) T- T
" F9 n0 o1 u0 j l9 u0 X ) ^0 J- b1 @+ B1 v- [
6 B% Y+ h' P; U5 k- Y 访问webshell如下图:& e% o5 \' c7 @. U7 Z& ]
5 g3 }: V7 J: F+ |+ a" e* s
2 W$ C$ L7 {. l) { h3 M$ Z
 1 p2 b* f1 q x3 G, ]- P
( \2 E3 [/ Z1 r& d+ h$ G N {: \
7 d3 s6 C9 S+ H2 _* E 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:$ y' ^ T. y3 ?
* d6 r& Y; e7 D+ O' T
. s0 k3 C% }. Z5 A 
) f5 S7 \% ~1 b- k9 A% e 6 X8 W1 c. E: ^& ]* y+ C
+ M3 N6 L) c# T; Z' R( } 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:: I2 V' B6 S' \# G: g/ \
8 i0 b# v v- k1 I; K
5 e" e1 S6 P) n: J
# Y+ s) `2 q1 r9 j8 _& V
. s; o& A( e" W' V2 L- a
6 |% y" N g- P+ d9 h; [0 A 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
, j- N1 P6 m6 N : b/ k( M- F' g7 }
4 G% V3 s0 e- O6 M2 c4 H# ^  7 t0 Z% _$ W+ V. t5 _
& {! n5 r @! Q# A0 P) E
7 y7 {; p$ A, Q, H 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
% n( d7 l3 e; h. `. O/ j% {) v . o7 ~' Z! C" \- {: j' ~
5 o3 H+ ]& |3 y* ^+ h3 e
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
( Q9 @" X0 U9 `7 l7 f+ v . W( ^6 d) Q/ s/ Q
; ~( n* W$ s$ G+ m8 ~ + q" L, Z" H3 L( t1 A
% B. }0 F: h, c( E( u* ?" C& u1 Z) ` | 
发表于 2023-11-28 20:23:22
收藏
支持
反对