|
+ Z7 E9 S& o d& i7 {
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:4 t" k5 \+ `$ }( ]0 C6 M8 b: M( q
, _8 M: G2 Q% g, m4 ?7 t2 L$ M7 s$ ~% Z' q2 @; m
 ! Q; ]4 o, D4 C, `
3 }2 P$ k+ Y" m8 O
" W5 J* ^; X. q. s, W4 ~ 然后点vulnerabilities,如图:* [ f {. Q; G
" @" C, j: m- I4 H5 i9 x: O" g# t8 L4 [& Y
 , I5 g( w9 I' i4 m1 ]9 i
0 _2 ~- M0 P" @5 m& s) o5 ?
# G3 @% i- H3 R- M& M3 \9 @ g
点SQL injection会看到HTTPS REQUESTS,如图: r! x" l2 W1 O1 L/ @$ p- s4 K
+ l2 r8 c7 o. P! u) v& ^; i
! r4 h' q0 F4 R1 x; a: G 
$ \) f1 W. o0 m
& Q9 o' r R7 o) V2 _. j8 P& y3 x
9 Y# T/ V/ c: @# @# p: R7 P1 f8 [ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8* `7 L+ j; ~ F" f: `$ C$ q
4 q( g+ Q1 [5 I4 Z' X6 }8 Y- G
" y) z) w1 D& |& e- e+ Y
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:3 n$ g) m6 e2 p0 M" u
0 B" V, u0 k5 u. i/ ?# H
! O' l& I- U$ @. b
 # q' T& o' }& q" }; ?3 `
9 G8 l+ b+ H( Q
- z0 [/ @* l0 a9 f% C2 N 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:/ M& o; w& |! {) B
9 v+ ~" c6 I& {: u. L
& m; c* `' A. l$ e  6 o2 B' i: O( I2 I4 b# V8 l
5 b& O* W _1 Q9 |9 W- t2 k5 Z' n0 `
 1 T% d+ i) [9 Z
2 t% e: C& t3 n, p2 `5 r+ [6 g
* H. b) n( A4 d* T8 X 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
' @$ T* u$ r) [1 Z
! q* h3 s2 T A5 D3 |' U
; C }$ @9 l8 x$ r4 V: S. i R7 u 
# D4 G; V$ w7 X @9 M6 ] & V9 R# y, N" U7 [( Q7 G
- K, L7 X9 x1 |' N
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:' Z/ \6 G; Q; s8 \; b& s
1 A* m/ q0 u; O$ c8 W$ Z& Y" M+ S! g7 B
2 N& }/ H. E1 v3 b3 D
% o# [1 u- X% r6 v
1 p* L2 ], Z) q) q 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:' h- i( q% G+ g, ~7 N! q1 F" m
6 P6 T( _, [. Z: ]8 I( s- m( x! l) j3 b8 j6 }# f" y+ v3 F
 3 E: d5 m% B( d/ u3 K9 P
- A2 F& c H1 d, O! Y. F: |0 e% _
+ _% Z* P, F8 ~% U 解密admin管理员密码如图:! X+ O& e! ?! |5 N' {. f
- X" j- `, c: i& y" }% x" _* a3 C
+ j- o4 b$ U3 h$ @
$ f, h/ M3 C! P& }( N 4 e/ R6 p( v: l: F- a/ T+ }
$ j2 {; E1 v5 m3 g0 A 然后用自己写了个解密工具,解密结果和在线网站一致
( x7 B' N/ K) W" o, |' C$ k* C
/ W0 j- I; Q) A1 V
; J- p% H5 r0 u( B$ q' P+ Y* Y 
; |# z( }' _, y
" s3 j% e* }! I* A% s' F$ g; {# h! e2 I# {7 Q& N5 R
解密后的密码为:123mhg,./,登陆如图:
% Z) z/ p5 F7 G2 u/ Z7 |; j' I
7 V6 w1 x8 U9 o
; S* Y6 L* [& R) A- c6 l( m 
G9 z! h8 [8 {& u; `
7 K1 R* F' i p* o( A# |$ I& H' o" U6 [9 H% |5 \, k
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
) h) P/ r6 j6 Q- s& q 3 c* ` y! r1 ^4 p
$ h; E: j3 |$ m! ?# x: g! L
* a" W/ ^$ l, f( Q: w
" p- V2 W( F7 p( S' i$ V7 M3 F5 |+ \2 N0 h# V3 Q$ `
4 z. b; H" M5 d0 f+ s3 x * |$ m5 U0 [3 t4 @3 [, r/ G$ ~
3 a) c$ y" L: V* S& ~3 n
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:/ F; @" D: Y! G. z4 r
; G4 T. O. }) f2 ^/ w, p8 X
1 G( {# A T& p  % n% [; b) C/ i3 l" h( @, z
0 j5 M. ^! U8 d- q
' ^9 | u. j1 i! c$ ^$ B, ~/ n 访问webshell如下图:0 H( R e9 n2 V6 t7 A w1 E# B3 {
1 j% c1 e0 N6 Y, _6 H1 ]. Q0 ?
- k& Q" D8 p* E+ x" R2 u' Y3 g
$ Y7 }& [1 ^; v7 h' l. S$ V( K g4 B% H# O5 X0 Y/ l3 P5 l
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
+ T: X. Q$ B, O: _5 H
0 W3 _0 A$ y3 n6 ?4 g$ q, h) p! d9 Q5 n! W9 m
 # w& G3 u% S9 T' g
, ~$ q& J) R1 U. H# V
/ T9 `. {8 [) E5 {9 |# {6 g7 Y0 I
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
/ o3 q$ @6 P5 M3 ]8 V* t! y- {( k
5 A% r# R8 o! J7 P
3 [# {. _ s/ j0 Q 
5 t* |0 ^! b$ r# \- J: u ( j: E: N. I( N! F5 U% x
4 G- W0 \" h' b. F1 R. U 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:9 Z6 c8 N& x' Q! N0 W" `" N
h- M, O% {4 u, G+ E: r+ @3 M
! W1 ~! T6 a* C5 D7 s6 z- T7 l1 d7 j 
! s! G. v- h" t& K9 f$ Q
( K- v9 s j; O! |1 j
! }0 b0 L6 W) `& F" I: H 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。0 `% W/ v! P6 E; F$ J
) U, ^& Z' N, e9 c) O6 s8 P) Z( ~ ^. h* Q C0 u2 H
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!7 W* e `" n) t
9 L, q n4 ^* X
1 m' T( f [7 S/ Q: M
z/ M) ^: l2 }# q8 m# B% f
% r! r% ~( J6 c" I' x
| 
发表于 2023-11-28 20:23:22
收藏
分享
支持
反对