找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2092|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

; w4 M4 ~1 z, e6 E @. [& P- ` :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: {2 `; Z3 c$ V0 M; d. e, y

* _2 |$ S' }4 p" R5 m0 m

0 Z! |% T+ q7 G: v' _. e image-1688134638275.png ( G! v' j9 @0 b+ }9 ]& r

1 c" l8 T' \/ n9 Q# R1 z, A

# ]" i1 ] ^4 V# T' ~ 然后点vulnerabilities,如图:6 o0 _' D8 W$ J# }- @7 K

- a, S N* x$ C% ]' M! B

; B4 S" b6 B0 N2 I image-1688134671778.png2 ]) D, |/ a6 S- M1 u$ M

4 @; C6 p# F6 X7 e/ Y7 e" u

( b+ Q3 T9 T+ O, M# T3 t SQL injection会看到HTTPS REQUESTS,如图: ; e+ l( Z; W* z: A2 c

3 {) e# J0 z: B4 k/ v& `6 f

0 _9 L$ h; u8 |2 Q4 K image-1688134707928.png F& |0 Y, w# r) O, t1 q

9 J# s v! Z( d! V. o

1 i7 r+ X* P r$ P% q8 B 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 : S4 R' a' |8 _( A

2 U* ~- k% ^( y/ {

2 V* A" J% u7 ]6 [, m; b2 |$ N8 U Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: * \" S E' K4 w; U

0 r/ L2 Q) X/ z/ z

6 S, h; d3 i. _' [# u$ ^ image-1688134982235.png+ g6 c. k% i; u _4 j+ x

9 X& M8 j& ?. f# m# v: ?

6 o( _5 c' |) P9 t2 | 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: 9 K/ R1 M Z" H0 s- P8 d

7 B/ g0 v2 k9 |6 `$ K( W4 }

* E [' j( v( s image-1688135020220.png 3 W5 U0 ~( T, ?

6 f* c, d2 P6 m* y% I( ]# F

: f1 C1 q$ g; `$ i image-1688135035822.png$ V3 M8 j% |2 p/ B( s

4 Z5 ?5 N6 L2 v! J9 x$ \

: f" ~7 x& T" ?$ Y* v( a 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:# G: `' |& O# Z8 }

" y$ Z# R6 i$ n7 U

) L2 o/ U# y1 x image-1688135070691.png* j+ J+ p/ B, n

t* L0 Q& p+ @* u

a4 Y& M: \0 p' ^0 w S" C 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:) [; C5 k! ~, Z) ^# Q/ M# E" u

( {% E4 ~; g5 s! K" Z

/ K( i' N) u8 ]8 S" p3 t image-1688135098815.png7 m2 Z: d4 k/ p5 U0 k/ ^

! M6 K4 y0 k+ m

0 b0 N1 I) X8 M% ~% [7 M9 V 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: ^# l- ~7 q! I% S# q1 W

9 I9 f4 f4 d# I

) ^& p; p% f( Y image-1688135130343.png ; q. h. v0 ]3 }$ U9 F7 k4 a- z9 O

' E' }3 ?" D# E$ |

3 C" g+ \) \2 }. l 解密admin管理员密码如图:; _ d& i! ^3 d H# R6 I

2 |) M t0 o6 B3 @0 q

l8 w L: r6 b' h$ Z7 p image-1688135169380.png# r- t0 r' Q/ P. E9 L" _

; ^6 O5 e. }' z! o4 k

! F$ b# P a. d 然后用自己写了个解密工具,解密结果和在线网站一致' p# P% D) [- o8 t# I* X

" c+ W9 b: @8 [; B+ @

/ J& R# o. `4 S. @ image-1688135205242.png# X& j9 L8 X' f) u

5 F$ D1 G/ F1 ]8 u8 `/ _

% Z; i6 t$ o" e. ?/ y( M$ F% p 解密后的密码为:123mhg,./,登陆如图:+ {9 B7 N2 a3 K. a

+ b5 Z5 y8 E( L" l- y$ S2 k$ f

1 C0 ^) I7 F+ x1 M% E. c, U image-1688135235466.png$ c6 ~, _3 Y! h4 D3 i

# X1 C' O' _6 n% b8 \0 ~; Y9 d

2 y6 N& S x0 l: |0 b! }6 v 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: ! v% N! e6 k) m [

2 X6 c: x2 I3 G$ {% n o

( s# X4 \" }7 n! P image-1688135263613.png 9 h) Q- n- Q6 W/ }' ]; v! w

; {7 b7 h; G" C. s8 ~

6 h6 L3 X+ j& `8 |9 i* d$ F" B image-1688135280746.png 8 E/ @6 M( m, D7 t

( r, V/ x- [ L" D8 B2 N5 v

- \1 ?- H5 ]1 S8 S 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: - e6 p/ G1 [% R

. g4 {2 C0 h; D0 W

0 O0 M( U0 d! A# A6 v8 q, Y4 V image-1688135310923.png 5 k3 N* J; W5 O. I

$ `: V! S* n$ n2 z* z

! C4 x" q7 F5 ]/ T 访问webshell如下图:6 z+ L }% t4 V% W5 Q& B

1 d, o: ^1 a& S" f6 A

( f0 |) y" g: z/ f0 Q9 D image-1688135337823.png 0 ?4 W _: N" _3 x

& C$ [- p# B \' \ `

+ t$ \- Z4 n4 e2 H 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) z1 g! m0 N' E b% ?

: F: r/ }7 U! l3 {- G4 N9 e! ^

9 \) @9 n' W6 V image-1688135378253.png; u/ f' d, A9 I- }6 x- r

M% L& R" q0 c; U

* d6 f6 Q: b `. n0 U I 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ Z( Q; u3 U1 J" t% _* m) l, J* L

1 A7 B u! r; w) d R

. H. _7 x8 X, H5 q2 i9 o image-1688135422642.png, ? f1 w5 y4 _3 _- G) ~% S

* A' J6 O4 l8 n) Q K5 U

# Q* t( p3 n# X# \ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:( Z) R' W/ X" A9 l( u+ A

' ~7 u3 A j( ` [9 k1 ~8 B

5 Z7 x V9 Q3 u$ l# Q, H$ e image-1688135462339.png & L9 T3 k# ]( y( |$ Z) m

6 t7 l* S; F8 u# Q

1 ^; p s+ w# e8 S) G6 Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 3 B# u( B# v& _6 [2 c0 F4 ~

% x& G+ @* E9 G3 J% B. M

4 f( ?" r1 r; M$ E 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!" ~1 Z B8 i/ @

( ]9 f; Z1 Y$ V" m) K8 g

. T! i6 j% v; t4 E. |% W. K2 C* A  5 ^* u- t c6 \. y. |( P) E

! e7 N) Q1 O& p% f/ u0 C
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表