~- k3 |) X. Y# U; r
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:2 d- B7 J9 ^+ R! m) Q# w/ m! i f
: t2 g+ M% w- C' o0 d) s
& w+ u# o& A/ i) w
0 M# I7 y8 S- J$ d1 W& H - ^% U8 G+ X2 x; a3 }* J
2 d' R4 U4 M& |! ` 然后点vulnerabilities,如图:4 R1 B z# [. g) p7 Z( U9 ?7 t J
3 q$ j/ X7 S" v. {+ y; Z
) ~$ _" h) D" W" e% f' \* h) `
$ `$ s q" s9 n+ ^. N% I8 t! n* K
1 q" j4 X; y8 g' V
" Z+ ?& {( U3 h* h" z 点SQL injection会看到HTTPS REQUESTS,如图:
# U8 c, R) x/ g 5 A0 W+ d5 I `" h. O
2 ?' K, f) i, s/ ?0 O( j- o
! H0 Y4 i' N2 B u
, m& N/ \4 I+ r. x) y
) c1 a0 a/ i9 W: x 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; ?( O# f1 P3 K
: w2 Y9 P9 q+ \ }0 M
& E8 M6 m/ b. [; e5 K8 j% D# r5 f Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:% a8 o, Q3 ^' W# C+ {
7 m1 N/ k( ?2 i* }6 l
! M7 N8 a/ a) C6 y/ H* f5 i
0 i8 G* S4 V6 q7 @+ ^6 R( b: ?6 l5 J5 y 6 l; k% X. \# b: Q, l* f
8 D: r' u3 D; {% k 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:, v1 D5 F0 k& w" X* B0 ?1 ~
1 p) m3 O& @& U% d
5 P7 ^2 |# E9 E! G/ }
6 W" W0 R) D& A4 Y5 n) M$ p1 P " Y# ~* z3 k1 s5 ^0 [
5 a8 L z- n0 F; V
. n2 r+ ^' o8 e9 ]+ S
. I8 A4 P9 Q+ X, A( ~4 _# ?9 V& }: J1 u5 q7 G! X
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:! J, Z* X* N) D
) q; \8 n" f( t9 k2 | ]: {) D
7 z% {: y+ `) e W+ b
: ?- _- u8 A& d, o . q0 Z: A. [7 G, d
. k; q; B# w3 p; ?0 l 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
6 I! e1 j9 L2 y . |- T+ O3 C! u4 _8 W
E; k* f' I' Y! {; I- L* C
/ j S/ [# c/ V* S# h1 y" X6 P
8 |( `1 R8 A1 p+ n, S5 I) B7 B+ D' @
; v t7 z/ b0 t ], Y 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
, W) v n# z! H) |3 ~: ]8 Y ) t- R& _& ^, S' b( r/ j1 U* f
; }2 l) k) M8 g/ X% i# H
" c% y! q" A% Q& T . |. c4 G# `: s- a4 x
3 E/ C0 O+ _% e; h 解密admin管理员密码如图:
4 X- O5 S/ p% C6 R* s+ t ) t. j( v/ ]$ ^
9 c0 ~% Q3 y* ^' g
( t& [$ u9 S3 D2 ^. \" g
5 i& W: k z0 O9 o1 I$ Z! B9 |% s
7 o; i; T) ?( W0 ?/ H) f* I3 O 然后用自己写了个解密工具,解密结果和在线网站一致$ A/ |1 a- T" o, Q& ~8 {% {
% h5 ~% d5 {6 z$ u: L' d- K8 |2 N1 S* x1 y) |
5 ~3 S! O8 P" F2 G
: y) j& O" [# r2 W9 ^0 ?) k: a8 h# y* y. v3 P$ r9 I+ I" c
解密后的密码为:123mhg,./,登陆如图:
9 @0 Z# U; E' }0 n+ x0 A ! r' Z" y- \+ T" D0 A6 g) K. P! e
* x f C9 ~. H u5 i- t4 P, |, @
) ?; e* r V' d# Z3 v
, h6 `; T3 w" V6 v" H0 H+ A' }' h* @% h, I: E9 \# t& n8 W
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:5 S4 k5 X% n: p3 n$ b% z0 H
F# G9 R) e+ y* u& M q6 M8 J6 r/ |7 _! l. V
) u# H2 E2 h7 g& b' r# j6 P
0 f* k0 j! d! v2 x3 _) J( d( m
8 l3 `8 N4 S- C/ H( l
5 Z7 e" X# S7 A" F! Y
5 C* r+ R8 Z8 Z& k, K# f& W
& b& l) c% X2 E2 A0 c! | 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:5 v% {: m5 ^# J% u3 g' j5 n; s+ }
; o( L6 Z7 J, A' u: c# X/ ^7 k
7 b; W& X$ t9 q3 C
5 D2 r* s; L% a# B& x- \3 T " _/ m @0 N6 v% @5 W. M
- V0 j' r8 Z4 |+ N! ?% W, v1 F
访问webshell如下图:+ b8 }1 D% `: Q0 k- m9 T
: Z) _* o) s. e9 a
0 z! I" T: h. y" d# @
. K( S% J& W8 a8 M/ N# ?
0 S2 _: G$ ~. N" `, M) T1 t& n6 ]* r S; Y& q2 i ?3 L
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:$ ~( G5 P# f. r8 Y+ I7 K* \
4 {& r3 D4 p7 x! O& j: P# {
4 H3 Y8 n' ^- g8 M$ `, I# l3 R/ m
; {- p# m# ]( l& c2 b! b - {. M) B0 y2 U) v
: |2 e5 J4 }8 j! y! ^, l& R* V 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:9 f! v& k% |: h
9 e* F8 R' l0 x m, l) c0 R7 q e
' s8 m/ C" E+ n) x) G2 a
9 _( ~8 H* W+ u4 B
* F2 X) v' a0 ]; l- `" k* z
+ J/ N1 o4 _ F' j0 v- P# C/ ~ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:% v/ S8 x. x" l8 ?) B. ]
T2 Y* N4 d/ I5 u
# p3 S, p) D& z3 g9 ?# X' B7 g
1 }$ t( R& q( w' w 2 x- ]* ?* Y, C+ k
; G* W& G2 S. q3 q6 {2 f 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。! T* Y( Y) \& H7 V
/ q0 R' _. C) i
& ^0 ` ^/ j* o( q3 r
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
; z& b3 q7 L5 M6 L0 m
. b. i8 y0 G0 B [; B% o% h0 y4 b0 K/ F$ g
% s, Q i: \5 s) h, E8 ?1 p
( t% u0 t$ o! |2 `: E* s8 s& V |