2 S' s; w1 ?$ G+ ?
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:- A' o7 n3 H+ C$ Z& y
5 V! R& x# E+ F9 [
3 r! j# [' y8 r3 i; v3 n; S" m , W2 P, ^$ \/ ?8 [' L
8 q/ b6 e9 E: c% C' |; r: Z% v% r
3 X4 w n% X% b" ~2 {* o9 o 然后点vulnerabilities,如图:7 F; C/ @7 I$ k8 p" V9 ]7 V, ?' d
! F4 R( U# p0 e( Z0 x& h A! p
9 |: O& q# L4 k7 x% B
% H( h; |& R. }6 p0 y' J/ {
9 o* u$ L# A- r3 \7 v4 x2 e. L
8 n2 w7 N8 P" E7 R 点SQL injection会看到HTTPS REQUESTS,如图:9 M, Z! X8 n* h) y
5 X4 H, |3 m: z: C
7 b; w* N5 U, g8 T+ o; j
6 z- U6 P' g; h) ^% S 5 c+ u8 l# z. _! u/ _
0 K- g) Y7 g1 Z6 {/ R1 ~ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8! {% u( f" X2 w" C8 l
, u: q2 a8 I+ X9 _( S8 D
) k' _+ [5 ~3 I
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:( a( j, z! B& M/ M- }
, E: ?+ k \6 _
% k- S1 ?/ [# Z% d, g5 k! }7 N, w1 Q
- {( \& Q! |& p6 m
+ [, e, J: H1 ^% _5 W/ g7 p6 i2 N& g: z$ y( p# {" l: Q# q
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:- b( Y* q. G! M
9 \* H+ ^* \$ h7 H" c1 w: w
8 f' c1 L4 O2 v! W, |5 U+ p : w# ^1 Q6 K h1 S4 h0 S; Y. G
K; g1 M3 n7 b: [' h2 I& c: m# V2 x$ X3 j
" s: y# \; p$ |; y4 p
4 Q1 e. q! O9 |& P/ F1 w1 d
8 A6 O# q2 K/ A# y" v% v 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:% K% B. M; y" G& n5 b" w
) r8 E4 j& t6 }* g% F+ s- o# P+ p8 t% D W) ^
u, t" i$ _) J( z7 l+ s. u
" {) K6 U$ a' a5 w- Z( l# u; w& P7 h; J. s
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
4 J6 B8 N1 j7 }$ y d( f, E8 B( A2 S) A
) C1 G* g1 i# W1 D& r/ I, u3 @
$ Z( y% @, H9 U* b: \ # }" j# E" b: B8 L
; m9 B/ {2 z9 k- L' N, k x. v* Z
' p* m0 e ]1 v9 ?$ c7 V s1 Q z8 o 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
* `$ c& y1 B! |- U b; } . g# L, V D3 g1 x+ ~+ I4 s8 l& W6 N
: E5 ~& f# ?0 N! h; s1 B
* i& x7 c5 H: c" v- a$ @9 k+ p* O
+ Z; i5 s2 b1 ?# S8 `! w8 v5 d' P6 ~4 a9 P$ v0 R3 T$ D
解密admin管理员密码如图:8 h; w: C2 G) K- i+ d5 ]7 P
& N' U3 j5 ?! z6 ~$ W/ W. Z* M1 a2 a, H3 V! |. ` @( D
% W2 ]( \% }$ z0 ^4 _+ |* A
7 C3 ^ Q1 h @; @- Z6 Q2 G
d/ h# o9 [0 V9 I) G7 N, u 然后用自己写了个解密工具,解密结果和在线网站一致
' z' |, v+ u# ^
/ n0 r( |6 }8 g" J5 D: r: M% F6 x8 f3 i; g: s" A) ~& f
# w o" c! j& o% e8 Y9 q% S& `
- u( f( e/ l5 i# q2 H
5 F* c2 T6 Z# k( R- z; C- @
解密后的密码为:123mhg,./,登陆如图:
! d: u0 z; H4 n5 Q' e x) r ( k. a3 D- v) C/ G
3 t: v9 ^/ n: O W
: I6 R8 `4 \: t& |# s7 L 0 w6 m1 n) p/ v- G% r0 b; F3 D
6 T, X; b( A# I& t6 s
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:+ N1 G9 b/ K3 h3 H' }5 `+ {% ^7 ~
T4 |, \1 b8 t( [2 C4 W2 ] n0 I8 {: M
, p4 H5 t% P4 A- l5 x7 H/ [/ U
* ]4 i% v! s5 N
6 S! s3 h9 o5 J8 {7 `, Y1 y. B, J8 \
1 ?$ t/ @4 U* E* a8 |8 | & I& M& M8 O* q$ X* g M% ] c
' a$ o4 x* _6 ^. H
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
+ L! R W4 `# k' s2 ~9 B6 X
?% K5 ^, ~ V3 s; Q; b$ D# d( ?! m
& E5 i0 `3 W1 g& G* j" Z* h- b! F/ {& n
3 @7 j1 c4 q' z2 W9 x
! H! G, @ W8 P) d' B! Q) S
访问webshell如下图: N' }: B) H1 b" m# s
, ?: u: z2 I5 u
0 w: o; _! q" G6 C: F " R! ^, j. a( N7 X( N
" C. ]( @) T; o
{# S8 m5 D5 U' l- P: ]$ V 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
5 @6 L# F" x3 e$ _3 e9 O + O4 N2 f, R# r4 K: h9 l
) O" T) B! n A5 P7 Q) G o 9 A- `* l( }. Y( z* u
4 c2 V8 L# d8 o7 y
% I) i5 N6 V n 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
' x$ E R1 i3 W( p- Y
8 m( k7 A- t! n+ m K) b1 `
$ S% C. R6 ?/ u3 ]* l( Y/ K
: o# n4 S$ {! a' P4 x8 c: A8 C! x
( Z( w; k. R' N! G" s; ^7 p, ]: ~2 l
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:. L5 ?- h( D+ d! a8 d) C8 y1 R. h0 O; t
, j( Y9 \8 K9 q
( j5 z5 W; B, c: U2 J J; H
D1 q: M3 X4 ]5 \$ p 3 l2 {0 Q3 {8 l5 d6 }
+ f7 m, J. I, U% ]; L 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
. A" }! X1 w( G o/ S2 t+ F , L( F$ J+ p* ~7 v! w: [9 |. B1 ]
8 `5 ` z: C; M
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
+ m. A, K; S. O, d$ Q8 k 0 |. w% X) |- U' U+ N2 O
1 P( d# C) V2 |8 d J3 O" t% j3 i* g+ K! q
! T7 z6 u' {0 K2 ]! p+ ` ]
|