|
8 S* R. f$ U/ Y/ M) b 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
) f! @7 X9 P; D& c$ {. X ' G5 l# g! |2 J- F" v
7 `' \, S( h8 F7 N e4 P$ ~% F- B: V
 * c, l' t; n+ U0 R# P5 I/ G
* U/ Z7 W) [; f5 a+ r9 V
! C8 ]! e P9 a+ r 然后点vulnerabilities,如图:
+ g: X; S4 Y' N, \! }' v6 r- Q + o* Z( |! W+ G6 n' ^6 f
" @9 S7 e( U( ]& h  7 ^9 a9 K7 [* o+ E( d. Z
8 u5 w+ l; T+ M7 ^, |
" ?1 u* q7 }9 U 点SQL injection会看到HTTPS REQUESTS,如图:- q3 ?" T, {! ?# ~2 ~
* N+ V$ S; w. B3 I' _/ h) q( P$ K$ L2 ^7 J* a. d
 : D+ c' s- k* P1 b$ L5 j2 u
& P" D2 s. M" ^# C% J) x: X* m( S% ]* r! n3 j* s9 J9 a7 Z* G: x. [
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
. [: ^, d/ ~5 m7 C* r ( w1 @' g9 m, j$ C' t
- a$ Y5 Z* ]; X+ s1 i5 t Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
! J7 N9 u4 e1 }4 t& [' E $ j. p. [. i+ p1 G, Y. S
^ \" _) e* R5 i 
/ t" Q/ X! I9 i. k4 l/ e # i& ^: L# `7 j+ ~7 w9 o' Y- Q
2 v& w- v6 x! x5 j& r 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: q- O* {8 d% r2 z/ [, n* \
. N) o$ I4 }( Y5 T& e0 g1 b& D
0 }( L, j% I% l/ ]# ^* U3 { 
& F) `$ A+ i% W3 l* G9 m8 I3 V" _
2 H1 n! U/ b$ v7 O$ L2 M, a
9 c4 L! Q4 E7 l. Y1 @2 {  , Q) v3 k% b- q4 Z+ [' n( p& P
$ U1 \, L" t# S7 T* i" N) s, ^1 v
3 x: a6 e& n& {( n 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:$ A4 ?& d: h" I( B$ |2 d
; p e! ` g6 d t3 C8 M8 h* y$ B6 f+ C* o7 X+ s6 u3 B
1 R7 ]* U+ d4 X/ g& E& ^% d, H& t ' H& }2 Z8 y" t
9 j7 B$ o8 N! c' l: n
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
5 X/ N: [0 K& D% Q( Z0 w5 z3 ]5 o
$ P* W; k8 d" B, F; x, ^5 G$ W/ O+ N% U8 Y( s) N
 # x0 D, y! x5 i/ i" p) ^0 w
/ ~ y9 k+ \! k$ \3 H7 `; ?0 u
( g& p% C' `$ ?. f' [2 h+ O
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图: p- W2 H" p: s. ]0 a% U; R1 R. d
! |+ \ ?: G# a! N$ i. ~, R7 E" c
# ]3 r. h5 t2 x. D9 B
 + M4 k9 F: a7 i4 N6 X4 U
M5 h7 O" ~0 n; o# U& U) A5 w9 m0 o! H8 I) H
解密admin管理员密码如图:
: b" ^$ N+ K, o# B % T" G) T# M1 l) R$ }* |+ C/ u
2 a( G% f. c# Q9 H% b7 H3 x  5 }- P" u# G8 E4 F
$ D* H W; v2 U
4 e' `* u5 \7 Y3 H6 x. ?9 E/ y
然后用自己写了个解密工具,解密结果和在线网站一致2 F- C* ^# f+ d' u- v
& e" c' W4 b {/ F8 k D. F s- P8 L( W
 ( | m8 v5 ?- Q' K4 S
" C! C+ \' ]3 H: B' z
1 z7 K7 \5 A& G% o) x; P 解密后的密码为:123mhg,./,登陆如图:
, _4 |9 \5 q+ T
, B w/ P+ j9 L% u! ?' s
* O/ {* m5 T! r: _2 \: T 
3 q, q( J p+ ? t( v4 C6 ^& D0 e
2 X2 x, Z% f' X# a 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
6 x3 T4 H* `5 h+ a; \ 1 `* @7 ]& g9 @1 V
. \* m2 k9 h/ [. W+ H) W7 v  2 D9 Q$ T3 O8 o+ C% ~
" Q5 L( a. n% G* g
" o3 N3 k$ ^+ A8 Y- M& }$ y 
& a1 T& x/ ~/ f
- W3 M7 A( h/ T7 A, x
( s7 P7 O4 ]! ~, P- b5 C1 d; X 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
2 m; J9 U6 j8 O2 y% g& `2 v6 D) _. W3 a
) L }2 A \8 v; E3 I) O4 m% N
/ Z' G8 D. O. A! T. `0 L4 L6 J 
2 u8 f9 @# d& \ V$ R6 i; O8 e) x# R
* x# b! u1 p" w7 `+ z1 A, n
0 }7 [: w( j6 c+ A+ O2 b 访问webshell如下图:
( ^( g! D3 c- I+ m! q" F3 X# c
* E `) ? B3 V- Q9 r) @( g' U
2 D" r, D' ~3 }0 t4 s( q- ]0 Z- }" m  3 r; g C5 }' W
: ]2 C7 [$ C7 F5 R% c
4 N2 z! f* b9 {1 U- z H7 f 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
9 R$ D. R. C) l
# I. m4 X3 u( W2 ?: U/ |& W9 H$ m& \6 G
 2 o/ j, e, F8 |$ h# n
6 n- s3 o- E: V: v1 R1 ^
2 ]8 L( D8 C }. k2 X; }+ p% c5 U
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
& G7 A7 F+ _7 N4 [' m( Y6 s
0 p6 @0 R9 b) f
, l8 b4 u) A% }+ J# e! S  4 S! R& g6 S* l3 U+ k' k
9 g$ F. h- U5 ~" r ~
+ Z0 l4 Q5 \: a
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:# Q, q4 F2 i, L3 y) u
* F! y7 h" n0 ]2 ~3 D& _/ Q$ W. g2 |4 \' w3 b' W. C
 6 I+ Y. q8 W. v( q( y
% i# }, g: B8 p
0 n! f: d v* B. M6 [$ Q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。- h( q0 b+ y6 M
v6 f% d' \% E$ \3 v2 ?" P5 k
* }. C7 L# }4 F b- ^( t) i- T0 z) u
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!' c/ x9 x, q2 y5 F0 Y0 J
! X. n- D5 q2 m+ X+ y; {* t
! w- u- O; h9 J
1 D5 a- R# Q# c ) d% h* z L* }% {) A& `. C9 Q
| 
发表于 2023-11-28 20:23:22
收藏
分享
支持
反对