|
% v3 B0 o- \4 R& T 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
+ ~! {' }- z& p$ p: q1 v
1 R2 \0 x1 {5 O2 l7 S6 G& O& O: A0 U5 \ ~/ `! h$ P+ I
 + H3 V4 l" ? n* N2 ^ h
7 F, E9 A# K' K$ Z7 q- T9 D$ g$ ]0 g9 O
然后点vulnerabilities,如图:" |) {. M) M, A2 B7 b, X
0 M7 n) S, g- d' O
% ]! p8 B, ~9 g. |+ C9 m7 m* {' U7 E  ! V! r# g, }# X8 Z* [+ I! c7 k
4 {8 |4 y6 T7 \' {1 u* x6 f& e. U N
& G- G( D6 ~3 v, g9 [$ \ 点SQL injection会看到HTTPS REQUESTS,如图:2 _6 O8 i4 y/ _
4 k# X! b/ D9 K c( w. u2 A
$ v6 k* t9 n' F& A) F/ L
 * O: f7 u; Z d5 d
% d7 r8 p: O% d- d2 w8 `+ v( R7 R: S" k
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8. p9 j8 e, P2 o, ]# T# d; j
9 V" R' o9 Z$ x
; ?5 [) p8 ]$ o Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
4 N# C k3 `% [* ^1 B( ?. v8 F: L
5 L4 b! \$ P6 H. s; V9 f+ M
* a1 s9 t2 d* V7 I3 r 
( T0 l$ b/ r8 S& q9 g( Z* y5 I # ^: V! P5 S) i
4 T+ t9 z) }1 E$ b" M3 [! y
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
6 G7 _4 ^; z: t0 V3 [ 0 H& p6 l, X( ^, t1 ]
6 C8 G5 p" N+ y: c4 {2 V7 [  2 o! \5 K! N5 y
6 C3 U% z1 j: ?1 l) `9 T) C2 i3 e! ?8 |
 & z) Q9 |! U, K; P+ C$ a
7 m# D8 K0 h3 ~- R5 n" y; v" b- }# U. u& ^7 z
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
5 G: j' c' r8 ^" N- Z+ A5 ?7 ?/ H
& H' Z: j/ v9 W" `5 j2 r6 s$ U I& [: v, `
! f! U" T: T" Z! \  ) n. l7 ~* `$ z, R6 r5 o
8 c9 i: @) b/ }. l. u! K. K) T
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
3 E& v+ S5 g% Z- B* r# y& [ 2 ]8 `/ ~7 w" m; \! v
* j! C+ M2 K: W: D" A 
" r$ i9 Y8 [* | `% z
6 D& o' h8 o- O3 O: c# w) W8 A" F2 ~1 ] ]. Y
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:' w4 i' z* n! P M/ z3 @
& | H: W4 M( J# F8 s0 m' }+ X
7 P1 Q0 m9 j$ ~
 3 {- f2 p M+ U. S/ Z! f" b! |6 [
, X `" e8 ~5 X2 b" l
- g& y5 E: Q, l9 t3 _0 h5 O: ~
解密admin管理员密码如图:, E0 M% C* R1 [! V6 P: y
) O4 R, O/ @! n1 A
7 c9 k3 @6 |" T# o 
- r2 M- R. h6 J, @$ O& O
c9 S% t3 R1 ^9 d* h" o
+ w7 N M; v( T2 ^, x* G 然后用自己写了个解密工具,解密结果和在线网站一致
$ E# a, j5 ~1 S8 l. o6 L , O& } r. t, P- G0 o# t
Y6 y8 R9 p& w. d
 2 p" e8 m9 |9 J( g9 B5 _
( I# I4 L9 N; S3 m7 m( C; j
: N6 |* P' [0 [+ U! P) E; a; ^
解密后的密码为:123mhg,./,登陆如图:
( q! W; T9 ^( z2 d( y . V, {* E: P- z3 d2 ~
8 x) N' u' h h" P% z 
+ |0 b( H# H/ H+ N( H $ d( B/ {1 K: o1 \
5 h2 D5 k- ?# V" @# a& A 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
4 x+ D6 A- r. r, ?& d
/ C S" j) _$ X: W. f0 B7 k
3 r1 {( p" _; ]  ) m4 i8 \1 U; ?$ C& M0 |, v1 d/ |
& a5 R! h* P# A2 I+ }; C1 \& }! m0 {; M. O o' h$ A2 m
 " F9 a7 c" V4 Z6 D
; M( n+ E! |9 Q& U* X( B$ Q3 ~- @5 S9 I
& U+ J. W4 u+ N6 `( d1 W5 G 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:4 z& N2 F0 s' f, E
% ]2 v! \9 j/ o! ?: S5 l
1 F* S3 n3 G' g7 ?# Q5 T1 R+ z7 [  % {7 a0 z4 c5 n9 o( m
; f K8 s# g/ Y+ t4 n) w
5 r$ D- b: I2 |6 ] 访问webshell如下图:9 G* s9 W6 U% d$ Q4 d
& E8 v* n" K' k9 P& d2 S5 A2 p/ ~ M2 c& _9 \# M- u
( L& b/ U D1 h6 g2 B7 s5 t, T 3 }5 h1 Y, Q f1 l
4 @9 n- i+ @# ~- M+ X4 R
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:* w2 B& V/ o. j9 b* V
: _% u% V4 o9 {3 B L
1 `; j! v7 y0 w q$ _  4 I; R# q1 J- \ \* R3 K# `
5 \$ B5 x: O1 r, P& F; d r" |3 i
* U' ]- a& v9 a& a! A% v' p3 _ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:0 k- ~3 W- G$ y/ y2 @5 V
/ f9 I# Z' `$ K+ m! I# h
0 X0 e5 w0 j9 m2 ^0 `/ V 
: L N' e; Z! A- \2 |( l8 u
4 P. Y% H7 a! ^0 k
, Z7 i9 o3 O9 Q5 @ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:! v% l/ ?6 o L& o4 Y* _4 b
! p) b4 x3 z- s2 V$ a
- n: y. w* X4 Q2 q  1 Y+ i) r1 T7 v# }$ ^( S% Y6 F! h
* [& Z4 x$ Y# ^+ ~
* s0 D! M( ^; L0 W+ w 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。4 M# H# ~; |8 o! w
. \5 V4 m8 v1 C
/ x2 o' q& s. d/ R# ?# [( } 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
( d0 u0 D9 F) X. K! F
; \8 _ K( k* g3 p7 b9 k+ _: X% c! Y( ^! M
3 E0 Q/ U4 B$ D$ Z
J3 O" ?) e: E6 I' e* ?
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对