找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1980|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! `, v9 i( j( }* g) h! b :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 5 x4 e4 K, O/ m# n9 E

/ |9 D2 X7 G# v& |/ ^2 I

2 g# ~: W3 i3 h# J1 s2 X6 ~: e image-1688134638275.png " F3 G- r( J9 x r" r) v

2 e, O" F/ A. G( D; a! {# m

5 `8 N9 `. [8 ~7 I& k0 _ 然后点vulnerabilities,如图: / @5 T) R3 ]* \9 v4 o W

: a. }4 v {6 `: D6 a9 |1 t2 |

( a }. k) w0 G, ]5 n4 A+ I! |- w image-1688134671778.png$ U4 c. h8 @6 I. x+ O8 V

) W$ i0 \ ^8 p& q( r. w: l9 D1 l4 g" K

# J2 `; p, @. |! D( z s6 V% j1 x SQL injection会看到HTTPS REQUESTS,如图: + K. G+ O0 w2 O

2 w' T2 u+ r* n Y

6 ~8 N7 Q/ \5 h image-1688134707928.png 4 J4 E$ m; J; Z5 S) W- R

, M/ K; F% s+ t! K

- W" J- \$ m9 p# {! U" M, e' x 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-89 D$ B2 I. Z) p0 }

+ `& {( i* i- o4 P0 r( r

( h, o: O( X' ]% j4 k Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: O7 W+ A0 l9 Z" P

S' [& N3 T( I0 r

7 \ W! ` h7 v" T+ P* d% o f image-1688134982235.png2 W. _0 T# F6 g! i! i3 R! d1 o

1 Q$ m! P: a. r. k( W/ v* J) g

$ q8 L6 o" R& V+ ?: k: P! R 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: 9 E+ ^+ [" f, A( a9 r/ z% M

3 e$ x/ O% a% \ n2 ~* e- B6 n

. N$ O- u x+ |$ V$ t+ y& V image-1688135020220.png " U4 H$ d1 U3 R7 [9 p$ Z* ]7 y

% ~; V) s( W4 l; P

; A7 h' n- Z4 I. K5 p1 Q6 s image-1688135035822.png- p, h- U4 }' E( p& g* s

/ ~1 F" |1 _: q7 R& A

4 F) m. B9 C/ {. U6 e9 W 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 6 \5 O. t9 Q; F8 K

# x, V0 H5 D: \) _8 ~3 y

8 T9 k! u; c( [0 p D image-1688135070691.png 2 @& |/ g. B6 H1 M. }5 O, w0 G' t

7 o# |8 A/ b, a4 A6 x

- [+ S W4 g* A 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:& r7 B6 i$ l* `% [4 y8 v. K6 k

/ j R; ]: Q+ ~1 ^: v& v

+ ]' c5 V9 d% V3 ` image-1688135098815.png + W- v( y/ z; H/ E1 v7 \

0 U; e7 f* N" c4 h1 p

8 o2 V8 N( m/ `- J& f, d 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:; @% f) P2 K* d8 p% U9 `

2 |& w) F$ G" J: M1 i. u

, ^4 V8 ?4 I% l8 t. ~( C5 J _ image-1688135130343.png ) e& I+ ^, u1 a& e5 Z- A

5 ]1 }3 k( d9 K' r5 s

) J1 B4 u* L8 m5 V6 q" B, [ 解密admin管理员密码如图: ; c" i7 ^6 s. n0 L3 o% |$ S

2 J8 y$ [. m9 |8 Z6 {" N9 D

2 J: d/ D7 D: A0 i, N. c image-1688135169380.png1 G" U# T- i; V4 Q$ K2 [) R0 L; L

- Y8 g# A3 ^: H, H8 p4 R9 I0 P

- `) A d& r: H+ V6 a! l& W 然后用自己写了个解密工具,解密结果和在线网站一致 $ _, X$ X8 Y" Z

" s; Y0 \* B5 d( z9 b% [9 y4 p

6 E1 P8 L8 _1 p/ N7 o image-1688135205242.png. Y; B# |( U- O. x- q9 I5 [

: j. A- ]& P4 k8 o: E% a" A

3 u6 J0 {8 U$ q9 S4 O 解密后的密码为:123mhg,./,登陆如图: 4 V: z- B; s7 {& b

, T. {5 S; H! x

0 V3 q/ p, G. c$ ]. A; |& X image-1688135235466.png& n9 j! |+ i& U- f _: a6 h, i

A5 R) D+ `+ B% w1 M9 u0 @

; S0 r: U6 v( Q- v8 P3 o: A 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:% r4 G0 Q( {& C5 Q. B

) l# X% x4 L0 W% a) V! O: s! k. f6 {; [

: Z) M0 b% m) M- L9 U& ] image-1688135263613.png 0 J% H" N6 i( |4 T0 M5 _

" |8 A6 }- a# Z. [% K. H, T

0 g0 J$ n8 K% g3 |3 p* H {" { image-1688135280746.png1 q: x7 A9 R$ i; e: y

V$ S4 }* p, e& z- E9 u J

c+ r( E7 n) j6 Y" g 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: \3 V+ R$ t8 G1 G0 o# U, N

* f5 x4 n" ~, _: G |5 T

; w; @1 t* ?0 M4 a$ T' s image-1688135310923.png 2 E1 c: b$ Z7 W: H7 j

4 O8 Y: x5 }8 a: V6 A$ |& W

! E& n4 L. s' E$ X; m8 N) w 访问webshell如下图:- j) ]- k" u U' `) @" Z. v

; w+ y, G$ {9 D

% A$ J! [, Q' e image-1688135337823.png 9 \& Y! R7 w. B5 V

% E$ E4 R5 O% D& s

) T( H6 o6 `& j0 P6 X0 L/ T 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 2 n) z7 M& n6 d# D# m

; S8 ]1 R$ r0 u& {5 [5 r

8 r; z( \; O1 E, i5 ? image-1688135378253.png# M- J) w( R* R

( q+ @, N! }! f

$ e: T8 a- X* ?! u8 s0 g; r1 j. i 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:# _9 j, N' v% n2 m( a% a

1 s' S1 K- I$ T3 _2 t4 `+ y

5 {2 z* \! e" q7 `: |7 ?$ H2 ~ image-1688135422642.png3 B) r* u% O" ~ ]( T. c* Y

: q* E. E6 A/ t3 k0 A3 r) L. ?

2 N: [" ^4 `6 g9 B 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: 6 l) N2 N b# e- K5 \

7 q( u$ j$ K% l l( R

J2 e) l; Z. g4 D' @. i! a image-1688135462339.png4 C! x h: L( b7 P! Q# B" }

9 _5 P3 v- [' y9 E+ l! J

4 p/ d3 U, |% w5 l 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 T+ b7 A4 K# \' n( q" R; f

# ^* b8 O" u7 w6 e6 S1 l

' I6 {$ j; f( J7 E f2 K 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!$ o! l0 z1 `/ b, F$ _9 m% K( }

9 n& L+ R8 d* B+ k3 b; x: Q, J

# u0 y! w0 m9 x3 Q: e3 y! l$ C   / i1 X- \! K y5 x5 L$ w9 E1 y

3 F$ ?. K( x7 S
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表