找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1834|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

/ ^; p$ d+ n: h6 ` :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:0 j+ u; [; B! ^

' P; k4 K/ K6 h7 k* x6 s7 \- R i! f

$ K& ?8 @ @$ M3 g9 `1 O0 @ image-1688134638275.png 8 ? G! I! W- s6 `8 x, m: M- k

Z) u' w. l. S

1 U$ x0 j3 T' {! q6 d. } 然后点vulnerabilities,如图:4 |& ~0 i, T. s! B3 I# i

8 }) Q) U' f& K# ?9 Y! V

! V6 y }' X% K: {( P2 c3 D3 ~ image-1688134671778.png 2 d; B K; l) T! z

3 Y; z" z5 }1 u" i4 d) o

8 H6 G% ?3 N9 |7 F- t: s4 E- K, A SQL injection会看到HTTPS REQUESTS,如图:7 f& U4 s, S3 p* I0 X" l" b

: C6 L+ Y5 e9 l4 a0 [

+ S; g4 x" V+ r% l image-1688134707928.png 2 L. h) |4 J+ }5 y5 T

7 B7 `- s! P0 f+ B

, l7 q) ?9 F$ y 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 * d8 O5 m$ A# [: P

: i* {$ u. ?% }3 q

& N) ]/ r; S8 j& L$ O: w. ? Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:+ K" r6 b4 ?) q4 i# o" z

- T; y, i5 z: b& S% g. r0 i4 r

4 b4 |& K) o% A2 O image-1688134982235.png $ K! W! u2 z7 p5 _" \; ^$ A+ F z

; P4 ]" L3 b' c+ _8 r

+ T" c% o$ I+ h- @- v 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:2 X# t0 D( G# c. i: x

+ ~" Y' _7 p9 I8 h) n% z1 n

E& j) C2 z+ K, L image-1688135020220.png + F/ b3 K3 }6 l

3 A9 b: Y1 d- R5 t; h$ h: u: L

7 |, s* S& f0 \& ? image-1688135035822.png( q" x f/ b; ^7 ?- u

& C# i5 v" B% k4 f2 C

' A4 Z Q" V3 M( e 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: ! P$ s* E/ t# U7 S# v9 j

& E8 H2 y! B8 f3 P- ]

" ?" P6 O0 Y$ Y/ |8 o3 T& } F image-1688135070691.png / p8 o1 v, |- M, s- x2 x

: D6 c `; }( F

( w2 x" v! X5 Z4 N! u8 v 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:) [1 L$ w% K9 W' V

5 C) z' N! m) \* p% H3 }! f

+ `+ I: v# u- V6 [2 C6 [; [+ ^ image-1688135098815.png 6 X. R' v- J. S9 I8 D

& c% T) z% c5 Z8 a

: X4 g5 _. \* ~( ~8 I; J. R 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:! P) Q; h: v9 J

$ z+ K9 K9 ?$ ~* ]& a. C! t

$ b6 t% K5 B. e image-1688135130343.png9 [0 L/ y% G1 J1 z

1 @0 m: \7 v- H( }: T

7 l% x' [+ ~; @9 m3 B E8 U2 m 解密admin管理员密码如图:5 F1 x4 S3 v( m9 I% Y W

& @$ `- i) E5 @7 r) c+ _0 ~7 m

2 b5 G7 F' s0 x# h. x5 e image-1688135169380.png ) M3 S- [4 U4 C" \- t( f+ I9 G

\2 K# _ ^: p! U6 E( b0 u, R

5 ~: i" _7 ^9 K1 X1 ? 然后用自己写了个解密工具,解密结果和在线网站一致 ; \( r% F2 n: V1 @7 H

' u; z- M! I) D) @& p V

* _- Y2 p% G" R, v" f; w image-1688135205242.png # C+ N- w- P& f( [+ ^ ]

6 L3 h C6 y9 q+ I. o, d- E6 d

1 {. T$ b5 i% N( r* } 解密后的密码为:123mhg,./,登陆如图:$ G/ a! Z' T" V) y3 G! ~6 L

- w& e; m+ z, L P T, e" x4 n3 s* |6 _

3 n4 `$ ~7 H1 {$ _, U image-1688135235466.png 1 K8 C: Z4 B, f

" d7 e. W U7 d7 j' z6 p& Q) p

2 R! \0 l& a* u 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:- H" v9 X- K( P/ N. v

0 `6 Y& p9 o- E7 ~7 E

9 Q8 [- u& T% u+ A6 @* c image-1688135263613.png9 }1 V5 n- \4 a! b0 R+ d

: A3 }' x) ^+ o$ ~/ T

" l O2 f, O6 [. p% e image-1688135280746.png3 y' e8 r& K. C; ^/ r$ [

9 V+ h5 K8 E1 v8 c8 |- U

: F8 b8 m/ d( M) R- M r, W 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:" F2 a7 T. y+ W. E

6 K9 H8 }8 z( }8 X3 P% a( C7 G0 b7 B

7 P) p0 ~ c8 [0 o4 y4 Y image-1688135310923.png5 M' G, y2 E) S" w: e1 O

# P0 W# [ [9 L5 B4 C& l

1 e/ ?$ C5 ]! P+ H" u 访问webshell如下图: ( m( g3 _9 r; l3 |( g9 S6 `

: T$ S4 y4 h/ x4 W" G

' _2 f B2 Y# {9 e, p* }0 D image-1688135337823.png9 }( f' c v2 Q

; {. g. ]. o9 }% ]3 q

, a+ y' K; o: T$ W7 l2 ]$ k 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:; R+ \. d7 Q$ I e! @) {

) K* m6 M! N' R

: A) c7 \% T( C$ [# J image-1688135378253.png2 m' p. S2 I7 e4 S* N

2 ^4 ~4 z' E" u& M

3 I X1 z$ W0 S2 d( r 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: & H0 O9 b0 o; L. `3 c* s3 l

( f1 W% v K6 \) T* o: h+ u$ G

, g% z' K1 U& K/ y" W1 D image-1688135422642.png ; i% K- I1 s- f0 y# I' J+ P/ [" y

- K# k- i2 w3 h1 P- d

4 a9 \" P2 q! K) \5 O 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: & C/ _0 A8 R9 h% u% ]

' X3 F% `0 q/ h: N' M) r

. j% `$ v( `& n image-1688135462339.png i5 q# L3 K) q1 \

! }% ], ?6 c' D$ z4 g9 E

' r6 |6 I0 _/ Z' Q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 ' \8 U# |( a2 ~" _' a: ?5 h

2 D, d o' Z8 ?

- }" s1 U* x6 U4 h `; x' ] 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 3 C: w% K/ z4 p

& s2 x- J2 l! I# O* C, j# ?

6 f4 F0 B& b9 o& V& S. i" |$ M% y  ! S6 q! q" o f8 h2 k

% H4 n2 @% {1 e! o7 M7 }
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表