|
5 R3 t/ s7 ~5 P. r3 h* D
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:2 J- a# f* d# u4 O
9 u3 b9 u% e* r8 q8 z
# A% h9 S7 F& N. U5 {5 s
2 ~% Y S$ n# [5 Q- X' }( v
' n w( ?6 [ f
7 O- M# \9 b1 n1 x 然后点vulnerabilities,如图:
! q/ w% M9 B5 W- }5 N7 A8 R" P # n/ v' E' D; m! X% t: P# i( O( f9 \; j
; E& R. J4 m- b6 ` 0 ~7 X) P) h0 s' c
6 B; Y; e" ^+ d! v1 z& d
$ b9 M. \9 f) }/ Q. i7 T8 [ 点SQL injection会看到HTTPS REQUESTS,如图:/ Q7 {: h: M4 J
4 W" B) ~ z. B; _: X6 U( C( w+ @0 S# x/ j# u, T4 a$ @. Q
' K7 _( e) r& s( S : b* b5 k+ `# y' w' Q8 K) F( v
% W- c) e! B9 `: j" }0 E 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
- S5 V, s T& Q! f1 N: ` + r0 [4 j! h( @0 _6 W/ D
8 Y' `: T4 x* I4 j5 B Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:. l: z N8 h0 W h
1 a) x2 b8 n# o
( f F$ s, Q) {6 \+ [* [
8 ]7 m) H/ a; M# W3 W# ^
; K+ i5 @: `5 M1 Y+ c/ L/ P V1 D/ j. I$ q& {
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 L, k1 k p$ g$ g9 K. a" K
# t- _% T; k4 @0 B, U. F9 n4 d" h# A# s) t
Y: j: U3 R3 ^" g5 V5 l0 { % n$ e3 z+ R7 v `
( q1 ?2 Y1 ^& s5 ^# [
. r" q) |* _! L7 ?; n0 G% N, T* C
, `2 @. n( K) C$ X0 N6 x7 i* k5 o: K( \: O$ R3 G5 [4 ?
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:, n+ |) K+ g% ]
0 Y# H6 F# `+ C0 d' L& [ M" b( E
, D: Z, e. ^# [' _* b- P / F0 A/ A" I! ?
: P, s3 p3 a$ L5 [7 F, O5 H
) I; ?5 O1 _4 m' Z; ` 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
- U4 @8 j& ?& g3 F; J9 b# O$ r
2 |& \8 K R$ N/ o5 t; ~- _1 F4 p( S1 q3 O0 l7 x
I# D/ k$ t; a3 @% N : w/ Q0 E+ V" a6 L$ r4 _/ w
) _. }" T2 c. {4 {2 ], R& s 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
& e: ?7 c2 p+ n4 Y2 }5 V 6 j8 v9 W. z: M; ]( i% v- r: r
7 D! Z: {; `: R& F d
; A. H6 P% N+ ~3 q, {9 V \
_+ w c2 q( S' |$ P; x3 s8 G$ [
+ v( Z( o5 E3 B; H( L 解密admin管理员密码如图:
. ~0 M$ ?# Q4 Q
& \ p; s% Q2 i( W2 B6 ]2 D# m9 _+ s0 Z3 m. {
& h5 P7 c- i$ z! C4 K) B* Q: O
; }7 I) p' x% Q% \: @: r9 T3 b* J( C, s2 J% q
然后用自己写了个解密工具,解密结果和在线网站一致
. M0 l1 }4 |, x& X4 L+ h* y 7 w; g; S* }# G+ R f
' J. [4 S. k* t9 B1 f' r8 Q
. @" Z6 r2 x! Q& d A* v
, c$ E" u4 ?; x5 ~7 P' R$ o
( Z9 r. i( _0 `% L& F6 b. T8 N# b 解密后的密码为:123mhg,./,登陆如图:, t4 `6 {+ @( m% W# ]7 Z
% o# l' |7 R0 ^4 m5 {; E3 M* m/ C$ B% t8 S
. {* F# A& i' a: ?9 K1 O6 ]7 t0 Q" @" }
1 h) G8 X+ x% M8 n9 f/ V4 |( p. O0 B( s* c4 n. {% a; S" F p
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
# L0 l* d+ O* E/ B
8 D/ V3 O+ ^) P) o
D C s6 s/ w- L. @9 C
% H6 a3 N4 j5 e" O ; v9 V& D r$ Y" t
) f" u; s3 H; u3 v& v/ J; p
$ w; L2 @. A% _% S5 j2 n# z5 x8 R 1 V4 ?' D! i0 Y4 @' ?6 s( t
?, R3 }. }8 o
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
) X2 y. j* T5 Z: h- a$ l' S
v- V& {* g1 u: S# C8 D7 A
; X; `( A+ r: w+ v' a% ~, b
- @! i) r$ ^+ `0 E' u S& [8 N; d4 \ i Y. o
( b$ M/ C: O- E7 [5 z7 d
访问webshell如下图:
" w4 S% ~& S" W# D ) ~! L; {# A4 Y& }. S# b! f! m8 h3 _1 @
/ J5 L- I$ l: V
9 l9 ^8 p# `; a8 O+ i! c- Q/ M
+ @0 {) k% j! ]
# y- B- S2 g. w5 h3 {: b0 B" o 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
. d! [, i- G3 R; ]$ {; Z9 V0 u6 V7 L / W9 @, G; d) p/ L, b! Z1 R+ B
$ V" ?% ]* {! a1 P( \
8 \% D# j& o7 T _0 x! C6 y ( a$ K C6 P- {/ M! i! H
1 \" T& L2 }$ q, \1 o 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
- P* ~, d* Q& S! K5 V- n( b( R( R # u" O5 G' y' c% d# g- m( z# Y& y
8 t' X, P% r+ g- _( u5 z
( g" H8 n/ d5 p. a0 G
1 h7 _2 w" Q: H6 @1 `3 v
8 G, y8 U$ q/ ]1 e/ q' r+ t
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
' A7 }' w; l1 A: @6 r- x+ a 4 f% b' S, x; e( ~, P( f P" W
9 c' ?8 F/ O. z1 T 1 [! A4 M. }4 U! M+ m( P, [
5 b3 k b& c( x! }/ K: F3 X4 `. R0 C0 y& c
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 x8 @! G1 ]6 j" b, q, z0 N( O9 x
9 D! Q$ g }- x2 a
0 T/ E+ ]8 [$ s* L+ L% r
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!+ i& j3 D+ z/ \
) D# F4 M3 i$ F
. |% n/ l9 \ ]1 h7 i1 ?
- s' J1 N8 w+ D
5 A5 l3 k ~$ e" G( m, N0 x |