- `% w( h7 Q& H 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:/ O4 O( `$ t* Y& L9 [2 O
) R! M V7 b7 Q0 t7 j c% j
- {" M7 ^: G7 ~2 R( E/ |3 {7 R
$ Y3 e$ D) g5 [( N: c* I & `- g8 o! O$ b( t8 N2 P' Q0 e
+ [1 M5 v6 J3 s ]% y# q
然后点vulnerabilities,如图:
! G. {/ D+ U% _$ f9 M
+ R/ O- e* [; a& M5 ^9 Q+ C6 v2 [, F( @% C. w# r1 P; I' d) \
, N" }) U9 \( B7 ]6 w
' A# g- l! w$ M/ n1 i
& O2 z& B/ @# ~/ T1 {# R$ r o 点SQL injection会看到HTTPS REQUESTS,如图:# h, F6 }! v A$ m1 G; A2 p
* [# f) W& \6 F) ?) O4 t% Y% x' t& e' n* n X5 W) v& \( k: J
+ m; ^# i0 g d3 p6 `1 s
: [5 H& q: G- O( m& i0 U ?
% q1 t$ G E7 [7 v0 Y, g% F
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
6 s# V7 h8 a" L
" D0 x# U: d+ X7 a, X
: t% ?) h( O( ]9 ^ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
( O" x3 A4 v( ~5 G( G
5 p" w+ L% ]1 K* K W' n- v2 \0 B$ s
8 B" f4 Y9 a* M7 t2 U- w N- g7 b J7 z* W) F4 V/ r5 C
) ?2 `, G& z& P; y
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:+ A; r. T* E2 E6 i% Y: i: \4 X
% w, V2 A/ L# b) d' S! N. @. B9 f- b, l1 o j" y" I( z
: @6 c" H7 M+ V; _( S' L. h' B+ l
5 o+ C2 r& b5 G
9 e6 t6 M0 C& ` k1 J- `3 c& n7 Y
' e2 ? A2 @( k* D4 E
$ e+ u m# b- `" J9 x9 Z2 h* j$ C" D/ ]
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:1 R! u: Z! S/ p& f
; ^9 S3 C3 d+ l, d6 ]% n
2 A0 j' m( E5 t0 b
( A7 k1 g, p5 }+ d$ M4 i' J' n* V J; _) a+ ^8 D, @
" X: k3 k3 z x2 E" {. L
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:9 ^8 ~; I7 u( ?$ v
! y. ` P8 a% C3 w
6 e$ n& m6 o0 g0 \, U$ @ 6 m: g# H) T1 b( q5 f) ?
( T+ {6 Y( A1 T3 l/ V0 x+ e5 o& G" L% u" k6 H" Y' i, f
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
$ o+ ]5 f7 |- ]- _1 ~ 5 y9 p6 c$ j; y ^! X( H
; ~& f* [. B; _/ d/ \4 _+ \4 ]9 r
" [5 E. d. v$ K/ \: q* z+ l
& I3 x, A! m) S4 D/ Q5 H6 j3 z, I9 o! U7 H6 R( J2 G* Q3 t$ D
解密admin管理员密码如图:
( I9 B+ x% Z, J1 I7 d
5 _, k' N& y- h% g+ `' v' u2 Y2 n; Z$ |% F" t9 N. J' p7 h- R
/ h/ h7 Z9 u- p! a, k7 l2 A& ^ # ]/ Z% J. J) q4 i: i7 K" y
7 h b6 e m6 m' A4 c( `9 T: d+ w
然后用自己写了个解密工具,解密结果和在线网站一致
; f3 y5 S6 `- i, i; c, ` % z3 r- U1 w/ j) a
6 T; I p1 R6 Z" q* x9 M+ z: L
. Z* B$ F. ~% K. p1 E
2 `( B9 ^4 v+ ]" _8 `
: z) k. \6 g$ j \- e- P8 S 解密后的密码为:123mhg,./,登陆如图:' l! r7 q+ E4 U8 V$ [8 |
" H0 \1 L1 h. L5 ^" a+ l) @2 j
+ _$ r3 o/ } j+ n( t. w( @
# ]$ j- [- } j4 _% `8 C2 V
" g# q% O3 K8 I4 `, n% a0 |& @; P" b# _0 n3 _- f7 T5 {
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:* q( X% K! q4 F0 Y/ G
0 f6 L7 d2 {3 E" }& U: L' V$ U+ |
6 }# R- ~# s1 y% f# K6 g$ }
. y$ W# a7 T% O3 S( \9 C$ A
3 P( a3 q8 L0 M, N/ Z9 y
4 r6 ^7 k2 B o
X1 h$ |! f: M( y, P3 Y! _! X- y
4 D/ }9 w8 S( p/ c4 a
0 k& T! o! q( |' D9 a, Y' N5 X1 q1 x 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
( u2 S) D9 p3 ^ : V" P, l. T7 @- t, G* @5 s
0 G2 M Z' Z" } E
2 ^# U/ N8 O& B/ N( N/ Q
4 l& K9 _: U! A9 J+ d% M% x
) _3 G9 H4 E. ]! T 访问webshell如下图:
# N9 q* v N8 I4 g" ]# C Q1 Y0 A- Y; v# J* Y3 i: a, O
4 G1 r, B' \+ c% [7 Q' _6 [
4 r( I, L- {7 S / h7 O. ]! o# J! A! Z
P y' ^4 m( `4 V& ]3 k! g 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:: P) N; c# q1 e
7 D0 U" t, N: ^$ `/ N
5 E' ]0 k- y7 ]+ D
. b6 M, Z: D7 f; ] p; K/ Q0 j " k. X5 |0 S* g5 W' a4 M2 H
8 X5 a% u% q4 u" p: E+ Y5 _ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:" y. \/ l5 C# R- z
2 M; X2 v% u9 m) E( U6 t
9 E7 i9 y5 M x# q: d) y
; \4 D! p7 z- s1 T+ w% t & E& @1 o. }6 [8 a0 @
# r9 P% \# A5 a8 b, L0 ]# e& k
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
) u1 K" X7 a+ N( v! L* J 4 x) P' t* s% w6 V" G# K
* x3 k" z% P$ n! \) |
8 _% U6 Y8 _( r* U+ g2 Z
. I. J K- _6 y. _* y" Q- D
& X0 C, E3 E [3 l; A1 X 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
' | _* h3 D s- I
1 `- C" i6 r. j- n
% Z! ^& O5 o( F: g0 s4 z U 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!! r0 \, K! C% _4 U
% N' R) K& x3 e" b4 t$ Y) X0 s$ w3 h m2 K( t
y- b9 P1 R8 l7 ]% z$ g8 F
; R) S* x6 f% M1 p! p1 q3 O9 A/ S/ i1 x |