|
/ ^; p$ d+ n: h6 `
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:0 j+ u; [; B! ^
' P; k4 K/ K6 h7 k* x6 s7 \- R i! f$ K& ?8 @ @$ M3 g9 `1 O0 @
8 ? G! I! W- s6 `8 x, m: M- k
Z) u' w. l. S1 U$ x0 j3 T' {! q6 d. }
然后点vulnerabilities,如图:4 |& ~0 i, T. s! B3 I# i
8 }) Q) U' f& K# ?9 Y! V! V6 y }' X% K: {( P2 c3 D3 ~
2 d; B K; l) T! z
3 Y; z" z5 }1 u" i4 d) o
8 H6 G% ?3 N9 |7 F- t: s4 E- K, A 点SQL injection会看到HTTPS REQUESTS,如图:7 f& U4 s, S3 p* I0 X" l" b
: C6 L+ Y5 e9 l4 a0 [
+ S; g4 x" V+ r% l 
2 L. h) |4 J+ }5 y5 T 7 B7 `- s! P0 f+ B
, l7 q) ?9 F$ y
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
* d8 O5 m$ A# [: P
: i* {$ u. ?% }3 q
& N) ]/ r; S8 j& L$ O: w. ? Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:+ K" r6 b4 ?) q4 i# o" z
- T; y, i5 z: b& S% g. r0 i4 r
4 b4 |& K) o% A2 O 
$ K! W! u2 z7 p5 _" \; ^$ A+ F z ; P4 ]" L3 b' c+ _8 r
+ T" c% o$ I+ h- @- v 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:2 X# t0 D( G# c. i: x
+ ~" Y' _7 p9 I8 h) n% z1 n
E& j) C2 z+ K, L 
+ F/ b3 K3 }6 l
3 A9 b: Y1 d- R5 t; h$ h: u: L7 |, s* S& f0 \& ?
 ( q" x f/ b; ^7 ?- u
& C# i5 v" B% k4 f2 C
' A4 Z Q" V3 M( e
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
! P$ s* E/ t# U7 S# v9 j
& E8 H2 y! B8 f3 P- ]" ?" P6 O0 Y$ Y/ |8 o3 T& } F
/ p8 o1 v, |- M, s- x2 x
: D6 c `; }( F
( w2 x" v! X5 Z4 N! u8 v 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:) [1 L$ w% K9 W' V
5 C) z' N! m) \* p% H3 }! f
+ `+ I: v# u- V6 [2 C6 [; [+ ^ 
6 X. R' v- J. S9 I8 D & c% T) z% c5 Z8 a
: X4 g5 _. \* ~( ~8 I; J. R
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:! P) Q; h: v9 J
$ z+ K9 K9 ?$ ~* ]& a. C! t
$ b6 t% K5 B. e
 9 [0 L/ y% G1 J1 z
1 @0 m: \7 v- H( }: T7 l% x' [+ ~; @9 m3 B E8 U2 m
解密admin管理员密码如图:5 F1 x4 S3 v( m9 I% Y W
& @$ `- i) E5 @7 r) c+ _0 ~7 m2 b5 G7 F' s0 x# h. x5 e
) M3 S- [4 U4 C" \- t( f+ I9 G \2 K# _ ^: p! U6 E( b0 u, R
5 ~: i" _7 ^9 K1 X1 ?
然后用自己写了个解密工具,解密结果和在线网站一致
; \( r% F2 n: V1 @7 H ' u; z- M! I) D) @& p V
* _- Y2 p% G" R, v" f; w
# C+ N- w- P& f( [+ ^ ]
6 L3 h C6 y9 q+ I. o, d- E6 d
1 {. T$ b5 i% N( r* } 解密后的密码为:123mhg,./,登陆如图:$ G/ a! Z' T" V) y3 G! ~6 L
- w& e; m+ z, L P T, e" x4 n3 s* |6 _
3 n4 `$ ~7 H1 {$ _, U 
1 K8 C: Z4 B, f
" d7 e. W U7 d7 j' z6 p& Q) p2 R! \0 l& a* u
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:- H" v9 X- K( P/ N. v
0 `6 Y& p9 o- E7 ~7 E9 Q8 [- u& T% u+ A6 @* c
 9 }1 V5 n- \4 a! b0 R+ d
: A3 }' x) ^+ o$ ~/ T
" l O2 f, O6 [. p% e  3 y' e8 r& K. C; ^/ r$ [
9 V+ h5 K8 E1 v8 c8 |- U: F8 b8 m/ d( M) R- M r, W
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:" F2 a7 T. y+ W. E
6 K9 H8 }8 z( }8 X3 P% a( C7 G0 b7 B
7 P) p0 ~ c8 [0 o4 y4 Y  5 M' G, y2 E) S" w: e1 O
# P0 W# [ [9 L5 B4 C& l1 e/ ?$ C5 ]! P+ H" u
访问webshell如下图:
( m( g3 _9 r; l3 |( g9 S6 ` : T$ S4 y4 h/ x4 W" G
' _2 f B2 Y# {9 e, p* }0 D  9 }( f' c v2 Q
; {. g. ]. o9 }% ]3 q
, a+ y' K; o: T$ W7 l2 ]$ k 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:; R+ \. d7 Q$ I e! @) {
) K* m6 M! N' R
: A) c7 \% T( C$ [# J
 2 m' p. S2 I7 e4 S* N
2 ^4 ~4 z' E" u& M
3 I X1 z$ W0 S2 d( r 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
& H0 O9 b0 o; L. `3 c* s3 l
( f1 W% v K6 \) T* o: h+ u$ G
, g% z' K1 U& K/ y" W1 D 
; i% K- I1 s- f0 y# I' J+ P/ [" y
- K# k- i2 w3 h1 P- d4 a9 \" P2 q! K) \5 O
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
& C/ _0 A8 R9 h% u% ]
' X3 F% `0 q/ h: N' M) r
. j% `$ v( `& n 
i5 q# L3 K) q1 \
! }% ], ?6 c' D$ z4 g9 E
' r6 |6 I0 _/ Z' Q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
' \8 U# |( a2 ~" _' a: ?5 h 2 D, d o' Z8 ?
- }" s1 U* x6 U4 h `; x' ]
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
3 C: w% K/ z4 p & s2 x- J2 l! I# O* C, j# ?
6 f4 F0 B& b9 o& V& S. i" |$ M% y
! S6 q! q" o f8 h2 k
% H4 n2 @% {1 e! o7 M7 }
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对