|
, y' N: U( q6 P- I0 W, k, p
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
7 @6 U) r; ], b $ }& Q* O t. V) W" ]
! G6 \1 I, X! a: [/ _) G6 }+ L
 , }3 `) @/ X2 t- ?# e6 N. @
1 ?5 k# `$ k( Y* @* \
1 @9 H! G/ y8 d' I0 f, K8 T 然后点vulnerabilities,如图:! U O- r# ?" {( u
+ p. S1 k% E% @2 l/ m
1 N6 d9 g8 w+ N- y7 f# H: s4 O  ( _* d1 P- b1 {
: ^" E" S; s9 B
8 g; i4 X7 w# r" C% [4 g 点SQL injection会看到HTTPS REQUESTS,如图:, q% ^4 X6 N+ n, U+ e. E0 N) x
7 C* q' R9 m H3 X, _; F- G
. _9 W1 c I& g) o
 ' U0 m3 q% @3 v2 ^ ^
: B' I3 k. Q/ i: H" O& P
8 U6 F+ l7 }" A' i8 L. X8 G 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
* @" m0 q; i, e ! T4 Z$ h0 O0 C% m+ r9 f' i) v
% l2 R! J8 p8 p1 Q* c7 {6 T Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:2 I! F( ^. e4 c t' @
( M. Z) h$ ]0 b; Q! f/ r/ k5 j& h5 @9 b m( \3 e* o
. _ s9 @( d$ `3 {5 a . F- z* M( _! Q: ^
5 O% V0 C8 s% }2 P5 g, Q' t
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:( l0 o" l3 d8 N* c
( h: S( j" l7 T
2 d+ ~7 Y6 s, [0 D2 b% k* n1 {& c
* I' F3 D- L* q2 d) m; X 2 T6 r# x5 I' U6 ?
( o2 ^1 T; H3 Z, c, Z
* a; Q( {. t" v: r8 z3 t
& k) U' o+ I% k9 [8 i- g) G; C, E
( z8 [ b7 C+ B$ b 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
0 N5 @8 c6 i% P $ C8 L" m0 o7 T5 j @* Q
! J: b0 q& Y. @0 F4 V# d& y1 g  1 Q) m0 `% e2 H$ ^) b# w; v' k
9 r. v' y) K1 z# _0 U0 h
8 H, ?; G0 Q$ d 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
3 o* Y. J! U% S* |1 m/ k 2 ]4 z* W! r: G
( i8 a$ ]1 w7 d/ M3 P  - G: X. e7 ?! i3 _+ |1 D5 N) k
( l# y& Y& H- c7 ?
- Y+ Y' m' m+ Z5 B- l w* }! v) @ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:+ d' V( K/ E1 v
) Y; v9 Z- h( M3 |
4 n9 R% }3 h8 }4 e 
$ ^+ N* r: \$ D* k
& Z% T/ [2 b. l& W9 i% V, Q& c+ D3 W9 A! _- F
解密admin管理员密码如图:/ J' {* S6 m1 M6 \: _4 x5 b0 f
4 W* Q/ Y0 ~& w, T9 {- U
' B I7 j, U) i" K, p" X0 } 
9 i* D0 p) f; M$ X+ ^ + T, O1 c: G6 ~0 n
2 k% \ v. k4 h, Y! m9 u 然后用自己写了个解密工具,解密结果和在线网站一致
+ p: n: F" n1 B 7 }7 u# w- p+ B* e2 a. _3 Q
" e& F( e& s( m0 T+ {* l" J1 b4 j
 , p" _4 I, R4 V9 d! O
4 Z0 d/ c9 z+ z0 h; ?/ s' q
, U' {9 [& N# t' s4 S S6 H+ h1 H
解密后的密码为:123mhg,./,登陆如图:" d6 m. k& N% f( m5 s/ w5 v
1 p2 b# w9 m3 w8 C
. b% F1 ?: ~* V8 P6 ~" R 
; B2 t! X/ ]+ W$ @ q; _ # v( i/ q! g& a- T; e; M+ l; S& \# u
& u0 o: r5 M3 ?+ K+ {6 ~5 g
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:; l, Y7 S u+ o3 Y! u% v' g
6 ]2 v% v$ L- _+ P( r
$ h7 J# s1 e! X% t4 n" c( Y 
. A7 b! r) V8 h
, U2 z& Y2 x0 \: t- E: X: \* h8 [9 t
 & U! D) u) V7 S9 H: j
8 ~3 h; n- x8 ^8 I" r9 r3 M P/ {; r+ n6 P; [0 j U" F9 R& x
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
/ U* @8 g1 d( q3 ?/ M F; ~1 D) H$ W- Z+ F- G) A: `# G
% I" r% ^0 G3 [7 W4 ^
 : P2 a7 ~( O1 t7 {9 O
7 t6 P4 e; {7 m- {5 H, \
% x$ u' M, R I. N 访问webshell如下图: y4 g# F* c; X. N$ @9 c9 B" J: m
9 _; K& `# u x! i- o2 r7 w
8 a. n0 @1 q" W. w* Z
 f9 ?7 L! g' t' {& a! n) s
% g. L% O) w$ T
9 G, Q- Q* L/ M- J 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:0 [- E; \7 {$ g3 f( O
: c. K6 H9 T( W- ^( s' V" A
5 x* W: s3 d, D h* I, @. F 
T: j$ ]& d9 X
4 |$ D/ x- T3 \
( Z- K9 V9 x- j2 x6 S2 U4 O# ]3 c( ] 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
* ~; D e/ X' P( b, g3 f6 t) r
4 o0 {1 q9 R8 [2 [6 j" D
6 }& O0 g* \7 U- [  7 i# j7 W8 j1 d; s
- `/ o- B/ q- R3 q3 v* v
. w) M3 W9 E4 b& A 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:( x4 ~# ]3 k% n+ m$ E v
. J9 [( [, k7 e7 F1 K0 J
% P2 T8 `+ w9 C- q8 c
& N* W" ]0 q) w4 Y" G4 ^
- W, `( }) m& h$ u7 O* s* f
7 k9 i% r" F2 S& L5 R2 r 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。' K9 V, z) b" i
3 B7 h- ~1 k* {* M! c
$ u. }4 _. Y" g
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
, F7 r+ Z0 j: a
# f; L! H7 z, D, i$ M3 W
! M" F% Q% {5 [3 q" | : L4 g& G b% c- e. h! X8 s, e
# R1 J1 J' H2 _0 p) K3 _- c! |" t+ \ | 
发表于 2023-11-28 20:23:22
收藏
支持
反对