|
, h* L0 w' N1 i
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
& v- `% t: d. Q) A N # e- x; A& [. h6 F
: f0 ^' M# R# v4 S8 M  # v3 Y' I5 X$ o+ _8 p* P+ }
. x! p0 y' v5 Q8 y& C% c% q% z" y- G& {
然后点vulnerabilities,如图:
* f# B! M0 [+ `+ d" M, @* G' y 7 K& y( s! @9 l& V% k5 u" M" F
4 t2 Q2 G: Q3 m2 E
 $ V' b' M$ O4 R T
1 i6 M6 ]# S1 x1 `# k4 o0 z8 R
2 ]) r8 l3 s6 I+ K" J 点SQL injection会看到HTTPS REQUESTS,如图:& x9 q$ }5 M. c0 p! m* ?
" ^8 n& x* h0 ~& i- G
; Q: Q; ^/ F& B/ J3 u# V/ ]5 q& t  ! V4 p- `, U. u3 f1 _1 F
8 r8 S! R( |5 B( c8 N
+ H" t( ^! l. c& I5 f* Q9 L9 [# P 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
; I8 p6 g! O1 Q ]1 f 8 t1 n# r5 R3 ]) {+ T' E2 A8 B
$ k: v& W. q3 Q( J$ y Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
5 I( `8 [; i+ L( {' t9 H2 A % E% z4 ^# b a' z- X2 ?+ R
' P4 X; R% v2 R8 P3 F  : |( |& a" C' O: @ X `/ a
& g! o; M# A$ p8 `, c
: E( s) a& C# F: D, W% a8 r8 ]. ?
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
3 `' n! s( G5 K7 g7 V: I ( w2 l& e* {/ D0 `1 c
9 X7 X1 v4 ]3 n 
- v! \) x" A$ g- \ 1 L4 B4 e8 {0 ^1 i/ ^( s/ Y
; x8 F5 q% h/ D  $ C4 @6 o! C) R' a6 v
- Q9 u1 w- ~4 B0 b9 M
5 h. ?' }9 D) Y1 J# T% {/ T. _9 G 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
4 {' m1 O. z" s r6 j/ \ $ [6 b: G8 X* \$ F
* e: O* y G" O* M* ^  ! H3 I; L$ q: ?
1 E0 C2 k$ z; \' O+ U' ^3 i' h2 _9 b% \9 C& @( k
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:* \& W* e5 r+ I/ K
2 E7 E `) s9 f* J1 @
y5 V8 G, x& N9 q. j) j
^9 Y/ B {( p) G( O
6 Y6 X) O0 A8 N& C6 _) M9 e* U% d& _3 c
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
, v0 M2 d9 N2 T; l5 ]& S# N3 h
' r) T* ]" E+ t) f
+ T. W6 i' v; q3 I2 ? 
7 Z) p, Z" ?$ ]7 m2 h: f1 Z * |7 k. c% b- x4 G% w
. w6 S& y. j, d& Z 解密admin管理员密码如图:9 i7 x+ g& o: j
) Z4 V8 K5 t) F$ P) J. a5 }! R
8 F. O9 ~- z7 n" K2 K0 o3 i  & _) t7 P3 u3 i4 A6 ~' g
# y( V' `. ~# U( ?1 Q& _! l2 M' b2 k% {* v& |
然后用自己写了个解密工具,解密结果和在线网站一致( M' L! d0 q! G7 x# v" O
M( ~( X8 z Z8 G7 t Z, y, a
) V: \. H% c. i5 a  % `( |6 E9 J* s8 C
- r* e# [, w# M1 ?- ?: g
" `; }+ a% N8 o- j 解密后的密码为:123mhg,./,登陆如图:
7 E7 a0 y- A. J, ~: Z3 O/ p ' z6 Y# v2 x* b
) [9 o, f% j8 {$ P/ \ 
5 B- A0 h: ~9 P* ^) d* q
0 P; a' f3 m8 e0 S) m! K9 j
F0 l5 N4 x5 \' ]2 G# `0 ^: {8 ~ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:) K! ?. q7 z! h5 S6 k+ v
6 T0 g6 }6 d5 r: t4 [" w& q
3 r' @7 ?1 F% d: X6 A2 l  |; i: ]; h7 a$ x
% J4 @* Z6 Y. s+ i
. ~ V) G; q& I& y 
, [# ?) ?8 y: _! ?: T8 ^
! @9 M: e. I, C( W1 y
d9 u( f9 n# ~5 Q9 S7 O 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:. @: D% p6 k) d1 I" P* ~
! Z1 a8 \/ ^; `$ W1 Q, z
' f9 m. f9 r6 F" `7 B' b  O( n& X+ v5 V2 ~7 |" _
- q0 h: P: A, G1 m- U+ k( _( y3 H9 F1 b! `9 d
访问webshell如下图:
$ w6 k, U7 w+ a8 i% `& b ' z% v d: ^! f
, h1 [% C" w. Z1 p
* k5 }. D1 M' N: [4 Q) E& v
6 p$ v1 \5 H2 w: m$ K6 v* S' }" K' l+ c8 w$ f
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
+ V7 N, U+ I$ H( u& h/ t
& H# I1 U. w4 g+ h1 C: k J. M+ h
+ x$ R) O/ e9 o: ` 
/ x) Z# u7 V( S8 t* ?( S6 J 3 |( V9 t" E) m7 [+ w% Y
9 g6 J( `8 t; a5 p; S7 B 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:& |' \$ V7 x' y7 u
' L) |$ o# B" L& e) H# T1 V
0 ]) ?) f+ r! F- J7 d! I9 t  $ X1 U! j& L7 b0 y& W
; ?; @ @+ ^) Z
2 e( G. k8 K; Q& a; y1 z; N 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
$ b2 K5 F) R' `, N1 n8 L, n6 m( m
' u; P* X5 u- E( q' }4 f8 |. m+ ^5 ?$ Q7 ~0 g/ P& y6 j
 3 B @, D& C/ p
( L% K/ w- F5 a. F# L8 |8 @/ q* r
( p5 `& ~, x2 n1 i1 r* T9 a7 W! M$ I6 U$ v 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
5 ^3 \% y& [, S' |) m 5 _& G# x# d, S1 v, N4 \
" V3 s+ c* n* Q- R/ r8 a 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!. ^$ N7 c5 {. _
3 O3 y) \; t! ^, u8 a, W
+ p: [- O. w7 ~
, J. L, `* M) ~$ G4 w7 J: Y# V * |5 ~: b/ S7 Z. Z
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对