|
' n4 _. S3 {3 h1 u8 P# \: c 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
0 ^: Y8 |. N/ m7 [
3 W, m$ y6 d1 i! w# A
. d' L+ I; L% a$ u. ^- [- d7 q 
& y: T. y( }$ H
4 I- A! L& e- }1 L S8 g7 N# O+ h' E- I* C6 [# Q3 I) w
然后点vulnerabilities,如图:
: K" u3 D' Z: p& X
+ g+ o4 T+ e; O4 R9 W# \- t" Y/ a2 T; ^3 E$ u; F8 q
* |) J6 q: W6 h+ o y* d8 N T
$ Q7 \2 t; E. r0 b' w% U0 Q+ H
8 @6 \5 b; t2 V T" i _ 点SQL injection会看到HTTPS REQUESTS,如图:4 V5 Y% `- G. d3 r3 c! I
3 W8 x* j1 `2 l- F$ c. P& B" M! [
! |+ p! z9 ^5 J7 u) U! k' A+ m
 & z& N: T1 `9 c0 `- d
6 h6 u) ~$ ]4 S" G L8 Q
5 c$ K4 U. `' P- g$ d" B
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
3 |/ Y" f% ~7 E* \4 t' _
/ u* ]. j8 n7 W) e% u# Z! e& z3 F/ j! i
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:: o+ y1 R. A' j+ A c
6 b+ @9 B, c( `9 K. b6 g
; b2 `5 B+ t7 d 
5 g/ e) R" D; _- M . c) b5 v) C& u% c* ]+ g* G- S
, j! b! v7 }% w7 F( R, \& N 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:; Q5 G) B9 @: }+ r( u$ \
3 q% A# L% H. `: P3 N& U$ X9 ]
3 {: @0 |" }# t( s
' E( {8 f% P3 d4 }% ^ * G" O F% j% _5 `$ ^: I- x8 P
_# i8 P" Y! Z. E0 c
 , E% T) W9 v: A
7 J" |/ i R7 m
; m3 _9 [9 i8 v+ H. s5 M" [. O 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
y) w9 f) j% e0 H1 i$ p
+ ?; d4 }) C# o6 w& p7 ]4 z$ z% t7 L5 Q8 I/ |
 7 @3 \) V* n' k8 }: i3 S1 H) r/ V
7 y- O; X! D# y; F; ^5 \" y9 e9 o' t' c0 M3 @) |8 W* w
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:+ k5 w1 ]: ]$ ^$ h9 v
" I7 H" T s$ r; G2 w0 ]* Z3 a
3 f( J* U8 v' W2 B5 \
 2 {: B9 [ ?3 F6 Y2 v
7 x2 z1 @& V V2 F" U# Y* t
% h1 h+ O ^! Y% v
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
+ s; e( L8 S! g : G2 Q4 w# F7 C: Q) C
' m& H0 j2 T$ J# k5 a5 P# t 
8 ]+ c" ~9 g1 U " h9 M" x4 }% o0 H
! j3 h4 V, |+ e0 l1 K: `1 z 解密admin管理员密码如图:
( O+ R% i9 j% C : U+ `8 M+ O- p
1 A7 T4 f7 z# B6 G, \  ! Z, t6 {3 W" D4 U) J
& i5 I- Q$ Q6 c8 d" J0 v8 `8 E" [
2 A& ^+ h. ~, A( ^$ e+ |: `: p: Z
然后用自己写了个解密工具,解密结果和在线网站一致- u* |# D5 |2 D- x7 t' Q h$ d
' a5 n% Q0 s; S( E
% Q" j/ T4 f* l# I' u 
/ {/ c: E% ?5 O, G' I
- {. X8 L8 T( S) h% L$ W) ~' M# F$ ]5 T- v
解密后的密码为:123mhg,./,登陆如图:9 B, i7 ~; ] o- d2 c" q
& Y0 j$ p1 {! z4 G$ E3 W0 u3 \8 D% B4 Q+ U( `7 I# ~
7 {9 U9 h' c4 T9 D1 d ! P V) c g$ C& @
- A9 o5 v# c3 j. \! X ]; S
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:& T( [; q. V, L) F
! V. N* h8 k1 _2 L9 T6 S! r0 d% ~
4 g( A8 D; @- G) S0 x# h  " X& [! f& v) [* d0 i3 y9 Y
: ^& N H% ^' z, l; F* q1 V
* Y% m9 W6 ]2 Q4 I/ e  - Q& q8 ?# |; m5 A8 P# n. S1 Y# \
! ?7 q: r) U) s& }/ d" C# s/ }6 W6 z2 K
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
3 F) j) Y$ c ^ " z" u# v) U. h" C
' H; t: p) [# z( v2 g 
7 _* a7 l- Y; O- L5 D* h1 H; g
" p4 R# N: l- W9 P* K/ H4 J3 r
访问webshell如下图:
# X6 q/ {2 V& ] 5 Y. G9 o Y( Z
' O/ U+ E c y$ Q H8 a* ] 
' ]7 {& x) B# d, d1 F6 u5 `2 W
) o* S- ?- b) R$ E- W" ^ q4 @1 H- I5 s9 `6 ?- ?. J
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:1 L$ ~/ u, Q6 }0 c, ~
5 _% k/ V! H, x! [6 R
0 |. _4 P) v' M3 E1 u7 B 
1 K, c! t5 N8 S8 Q ! y2 i. \4 v$ _ x" m! X5 ?5 L) G- T
% C* y- n- T+ D+ d y" O 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:, ?9 A- }+ i) Z1 @; {
5 ?0 W( x0 Y/ a; j6 K
# H- g/ w. w' a: R3 ~ R* X  4 G: u. j! `: i5 |' y
) H' h. T& E9 ]7 H$ r2 q- f+ h
# h' X' P1 S1 l, \4 H; }; X 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:$ @) M2 \0 Y! x0 m' ?
, }- L' s- N/ R5 Q; E& d0 ~( d: S3 k$ A: ]4 S
 : a; T0 {8 |+ W
4 D) i9 r6 o# Y1 i/ q
1 [' o7 J' e! f8 K% |" K 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。' U( j9 T% ~' N4 A% A' u0 l8 Q0 a
" D% {. e9 q2 B6 N3 C& ^' }1 _ s' c, i0 e ?' @$ c
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
- T1 b4 [& ^ T( r8 U
2 b5 M0 j6 z, ~3 ^" q5 \
. C) ]2 U# k) B& k; t' i % g* W( H; L# F0 m6 \
! F- N, T; R1 n: k) b
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对