找回密码
 立即注册
查看: 2549|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

8 R6 l; N; H* C' n5 r& x4 r4 o :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 5 p- O& ~ ]) g4 h

1 M2 X3 r1 U* `1 z3 f. E

, l4 n! |9 i3 N( K& A" _6 C image-1688134638275.png 6 R3 e+ \ U' M# H* j

; N8 e9 N, m& _

, z$ S1 I k% m 然后点vulnerabilities,如图: 1 y. [- Q. @% `3 k, l6 B, C

4 T) l1 G3 \4 C3 q9 M" O

$ s. M. Y) u' X1 z# O image-1688134671778.png - N9 E/ u! i7 b# C' K

5 r/ ~/ N. K- S" g% C

0 H3 p& V3 G$ X: k9 e X SQL injection会看到HTTPS REQUESTS,如图:: _, O( D: Y- T5 T2 K/ m# c% o

# d2 e4 C( E6 T6 R) C

+ ?: E. _$ j1 j image-1688134707928.png 2 O8 \$ ~& `! q9 T4 I) N

! z3 l% V' C: r+ P2 R4 Y5 l$ p# U

' O2 S& s3 d5 f( s2 c 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8- X P, i# ^. u" r

8 m2 B5 r1 P6 z; C4 g

: r( N) t9 }2 y: D" e! D1 p; M5 I: X Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: ) q4 t; t. D# W5 p7 u

' Y7 C2 x) Y8 h# k

5 Q ` w7 S9 N5 }6 h/ X image-1688134982235.png0 E$ \# o* @( G& o

/ G( T7 L! ]7 H9 g% Y* J& v8 t- M

! `3 x; b2 L& O Q) W! E 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:0 d' H" ^, p9 X8 n

7 T+ X3 m* t$ U2 Y. D% [9 f

1 ~$ n0 o7 v7 H9 t- u image-1688135020220.png9 b' V# |& O+ o# E9 T

`+ } [5 L* }

0 Q1 w" d, X# i$ U image-1688135035822.png 4 `2 |/ ], @1 \; J$ }

' x! ~1 D: g; @6 I3 r6 P

* E9 c5 \. e- r3 y# P 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 ?' y+ o5 G# x. C6 c1 ^/ ~

4 c& J; \) t" [/ H! G7 H

9 G6 ]9 v$ S5 V ?3 X. M image-1688135070691.png5 K" p+ e8 A4 u8 b! B' e+ ~; ~

+ E: E$ ^8 j& J, o1 ]3 L

: I9 \# X5 P2 @ 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:( l; Y4 K \( k! }3 g w

; x; g& Z4 r4 r0 ^

* ]8 m9 s" J9 x image-1688135098815.png5 g; a3 e. v6 B' p6 @ f0 ~

' e8 K# E4 |! p y- a

, U! D& w5 j' c9 g! c4 Y ^ 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 1 e9 r d4 B8 N' T& h H h1 R- }

9 G- Y: N. A* B" d

/ q% [2 |3 g' S4 o* { image-1688135130343.png) z9 U" z, ^, c0 g6 H

! U! T; H5 F/ Z1 S( G

& V/ T& x/ O! y( M8 l/ B: y 解密admin管理员密码如图:4 o- D8 C- a/ Q2 k

& x) q7 s; R" I N h

8 ^5 {& n" b# [; L) D9 Y% i6 w image-1688135169380.png - B( b7 w! {* X P

6 x' Y8 L6 V5 |9 C- {# o

- v' R6 s6 q1 Y, e7 D( O( X 然后用自己写了个解密工具,解密结果和在线网站一致2 K b6 z- o3 S6 F5 C

s- V n. L! V1 R! u

) P$ t* E; t# ^& Z$ c8 j1 v* | image-1688135205242.png, F& P2 L3 j; g

$ N, a- E2 F8 V* ]2 p. ?. v

( E0 y: G7 t! h 解密后的密码为:123mhg,./,登陆如图:) m$ y6 e8 K5 G1 b- ]9 F8 i( j

) s# Z! d( N2 O& m

% B. W$ T5 H8 A+ ]) _3 e% f* j image-1688135235466.png 4 Z- U4 Q4 t8 ^# {4 m

1 Q! X/ A% B$ ?* Z7 {

! }! e; R$ a M0 G 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: ) J" E1 c; N6 l

+ P# S/ y( o. b3 t' _8 T

+ k7 T, k" f1 X) B+ ^4 u+ B image-1688135263613.png 0 t7 t( j' G% i, q) |( i1 g! L" ^: L

0 }6 X( ]4 c% u0 l$ T

5 D4 C- n. I6 i image-1688135280746.png ; _! I7 _( j/ V: q! e

' M: r* }& @8 V4 ?* }0 Y3 h

/ f7 l" E. ~+ R& N$ c 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: ( T/ `# s/ L' Q' |4 |

4 R, f7 ^3 ~, }; C/ r" o

2 e7 j5 a: V+ ^- v1 A0 f/ E image-1688135310923.png 0 Q$ Q4 H' D# W* U' A9 I5 K5 E, }

! M- X" a j. K5 V8 o0 e7 \

6 @" Q9 I' C B! ~. a 访问webshell如下图: q. _" ]- i# p# `8 x6 X' w/ F% j2 @

% x- g; B w. R) k% }

) m, J/ D( f0 V+ O, ` image-1688135337823.png6 j$ h( u F' z- D/ K/ v3 r2 K

$ m4 Z, z' ~& o7 ?6 \

6 S8 N a9 T& N& _" D9 \1 {7 M 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: + o( v9 [/ y6 I6 Q: b

' X- ?) a* J; Q2 O4 ^

- F& z% v4 h/ k' Y" U image-1688135378253.png- t0 {& c% b9 \, x

0 b+ U, F4 ]6 E6 u

) b2 [3 U8 s& M- b 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:8 L- M2 g8 ^4 {( M7 c

! |( z5 u( S( P) L' S8 g

: Q/ j3 o6 q. v" Z1 f/ a$ o- a image-1688135422642.png- [/ c6 m- h% a( o2 h3 n

Q6 L$ l+ P5 r

6 `- T; a; d! e5 h- h 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:! L+ p8 d9 S7 l k

. _4 O9 Z- I/ D- _

: U( H/ n! `' l/ | image-1688135462339.png 5 e* @% [% u& ^' Y. l, m% x

& P' R9 C' z2 j6 J0 G* j

: Z) h0 B1 n1 D1 _" a% [9 s 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 ) J; v3 Y' [8 G

: `+ I# P! o8 k* ]* b

# P9 P* O, S ] 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! , I1 I9 s, ~( A, i

" o5 r; I6 Q/ Y( x7 A

; N9 ~" T6 d# H$ r9 Z' H   - m1 v+ M3 a( c- u& v5 @

( C2 R5 a, u2 w; J: b" H+ b
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表