8 R6 l; N; H* C' n5 r& x4 r4 o 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
5 p- O& ~ ]) g4 h 1 M2 X3 r1 U* `1 z3 f. E
, l4 n! |9 i3 N( K& A" _6 C
6 R3 e+ \ U' M# H* j ; N8 e9 N, m& _
, z$ S1 I k% m 然后点vulnerabilities,如图:
1 y. [- Q. @% `3 k, l6 B, C 4 T) l1 G3 \4 C3 q9 M" O
$ s. M. Y) u' X1 z# O
- N9 E/ u! i7 b# C' K
5 r/ ~/ N. K- S" g% C0 H3 p& V3 G$ X: k9 e X
点SQL injection会看到HTTPS REQUESTS,如图:: _, O( D: Y- T5 T2 K/ m# c% o
# d2 e4 C( E6 T6 R) C
+ ?: E. _$ j1 j
2 O8 \$ ~& `! q9 T4 I) N ! z3 l% V' C: r+ P2 R4 Y5 l$ p# U
' O2 S& s3 d5 f( s2 c 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8- X P, i# ^. u" r
8 m2 B5 r1 P6 z; C4 g: r( N) t9 }2 y: D" e! D1 p; M5 I: X
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
) q4 t; t. D# W5 p7 u ' Y7 C2 x) Y8 h# k
5 Q ` w7 S9 N5 }6 h/ X
0 E$ \# o* @( G& o
/ G( T7 L! ]7 H9 g% Y* J& v8 t- M! `3 x; b2 L& O Q) W! E
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:0 d' H" ^, p9 X8 n
7 T+ X3 m* t$ U2 Y. D% [9 f
1 ~$ n0 o7 v7 H9 t- u
9 b' V# |& O+ o# E9 T
`+ } [5 L* }0 Q1 w" d, X# i$ U
4 `2 |/ ], @1 \; J$ } ' x! ~1 D: g; @6 I3 r6 P
* E9 c5 \. e- r3 y# P 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 ?' y+ o5 G# x. C6 c1 ^/ ~
4 c& J; \) t" [/ H! G7 H
9 G6 ]9 v$ S5 V ?3 X. M 5 K" p+ e8 A4 u8 b! B' e+ ~; ~
+ E: E$ ^8 j& J, o1 ]3 L
: I9 \# X5 P2 @
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:( l; Y4 K \( k! }3 g w
; x; g& Z4 r4 r0 ^* ]8 m9 s" J9 x
5 g; a3 e. v6 B' p6 @ f0 ~
' e8 K# E4 |! p y- a
, U! D& w5 j' c9 g! c4 Y ^
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
1 e9 r d4 B8 N' T& h H h1 R- } 9 G- Y: N. A* B" d
/ q% [2 |3 g' S4 o* {
) z9 U" z, ^, c0 g6 H
! U! T; H5 F/ Z1 S( G& V/ T& x/ O! y( M8 l/ B: y
解密admin管理员密码如图:4 o- D8 C- a/ Q2 k
& x) q7 s; R" I N h
8 ^5 {& n" b# [; L) D9 Y% i6 w
- B( b7 w! {* X P
6 x' Y8 L6 V5 |9 C- {# o- v' R6 s6 q1 Y, e7 D( O( X
然后用自己写了个解密工具,解密结果和在线网站一致2 K b6 z- o3 S6 F5 C
s- V n. L! V1 R! u
) P$ t* E; t# ^& Z$ c8 j1 v* |
, F& P2 L3 j; g
$ N, a- E2 F8 V* ]2 p. ?. v
( E0 y: G7 t! h
解密后的密码为:123mhg,./,登陆如图:) m$ y6 e8 K5 G1 b- ]9 F8 i( j
) s# Z! d( N2 O& m
% B. W$ T5 H8 A+ ]) _3 e% f* j
4 Z- U4 Q4 t8 ^# {4 m 1 Q! X/ A% B$ ?* Z7 {
! }! e; R$ a M0 G 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
) J" E1 c; N6 l + P# S/ y( o. b3 t' _8 T
+ k7 T, k" f1 X) B+ ^4 u+ B
0 t7 t( j' G% i, q) |( i1 g! L" ^: L 0 }6 X( ]4 c% u0 l$ T
5 D4 C- n. I6 i
; _! I7 _( j/ V: q! e ' M: r* }& @8 V4 ?* }0 Y3 h
/ f7 l" E. ~+ R& N$ c
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
( T/ `# s/ L' Q' |4 | 4 R, f7 ^3 ~, }; C/ r" o
2 e7 j5 a: V+ ^- v1 A0 f/ E
0 Q$ Q4 H' D# W* U' A9 I5 K5 E, }
! M- X" a j. K5 V8 o0 e7 \
6 @" Q9 I' C B! ~. a 访问webshell如下图:
q. _" ]- i# p# `8 x6 X' w/ F% j2 @
% x- g; B w. R) k% }
) m, J/ D( f0 V+ O, ` 6 j$ h( u F' z- D/ K/ v3 r2 K
$ m4 Z, z' ~& o7 ?6 \
6 S8 N a9 T& N& _" D9 \1 {7 M
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
+ o( v9 [/ y6 I6 Q: b ' X- ?) a* J; Q2 O4 ^
- F& z% v4 h/ k' Y" U - t0 {& c% b9 \, x
0 b+ U, F4 ]6 E6 u
) b2 [3 U8 s& M- b 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:8 L- M2 g8 ^4 {( M7 c
! |( z5 u( S( P) L' S8 g
: Q/ j3 o6 q. v" Z1 f/ a$ o- a
- [/ c6 m- h% a( o2 h3 n
Q6 L$ l+ P5 r6 `- T; a; d! e5 h- h
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:! L+ p8 d9 S7 l k
. _4 O9 Z- I/ D- _
: U( H/ n! `' l/ |
5 e* @% [% u& ^' Y. l, m% x
& P' R9 C' z2 j6 J0 G* j
: Z) h0 B1 n1 D1 _" a% [9 s 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
) J; v3 Y' [8 G
: `+ I# P! o8 k* ]* b# P9 P* O, S ]
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
, I1 I9 s, ~( A, i " o5 r; I6 Q/ Y( x7 A
; N9 ~" T6 d# H$ r9 Z' H
- m1 v+ M3 a( c- u& v5 @
( C2 R5 a, u2 w; J: b" H+ b |