找回密码
 立即注册
欢迎中测联盟老会员回家,专门使用25年老域名强势回归
查看: 560|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

; M+ G( ~- m6 @5 | :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 5 H# n( \$ Z- K! i. M# p) @

' t4 y% P! G7 T9 u7 m$ H6 f& [

' @, g6 z8 S7 U& l* j2 ^ image-1688134638275.png + a7 h4 `/ ]" {) c

4 w, k; n' o5 d* q2 p

' ]) t; l( n) r7 i0 p! g 然后点vulnerabilities,如图:& k. d5 a7 D% d8 d: G

) @3 |% j! k7 I. [1 X

+ J4 ]( o+ J, p7 g image-1688134671778.png / p8 h4 q: k8 o- ]

* O& H! l% b: r! \

6 p! g/ ^; ]9 x7 R SQL injection会看到HTTPS REQUESTS,如图: n; f; h$ F. ^: \

. p, M8 b3 l8 q0 g% |

! w$ u6 t1 y0 g image-1688134707928.png . m( j2 x/ @. Q, i1 Q

4 m B% V! v" K2 h

- _ B4 n, m! l4 Q8 Q% K 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8( d8 _ ^8 [( C

% I% h, u# z% e+ Z; [# v

% K% _8 P1 r) p* D Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:" d' d2 x; i8 J j

) }1 o5 x$ x! j, B6 z: |# C

8 T. E1 X4 Y/ o/ I$ v image-1688134982235.png 1 l6 N) E: X$ N3 Y/ J

# H, L5 S) l, P4 `: r4 b/ H7 ^; W& z

9 R: R4 `0 }% \% }8 u 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: $ d5 p' p, f$ k% J6 G0 W

' G5 y; \% f3 E2 ^5 f) b

+ M3 f" a1 l/ Y8 k/ R; X! V% G image-1688135020220.png 0 k* X% m/ ^' @' G

5 X& h: Y0 }. n0 n" q; W1 d& T) |

! Q' |! v$ Z. `9 M$ p J image-1688135035822.png ; f8 W7 N/ I5 o9 \. t

! z# L- m5 X8 X

: |" ]6 p* w8 q- r% \7 u5 R' B 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 2 w t, ^+ L# W0 s! f- E( I: m

* g% {" I! U2 \% t

* u. N, b7 a+ K0 H3 h3 w image-1688135070691.png$ B2 z( f7 s6 j9 q2 s* b, t% w4 D

0 `! v- J% t; D/ C

! i7 |6 x+ J7 ] ~: e3 _4 w 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:- r$ Z, X2 S2 E/ g* p5 `9 w

; [% W Y1 s$ i: q+ ]6 C7 s

7 @% F9 a0 r3 u2 U2 B4 \# N image-1688135098815.png$ S5 v& J2 f! B g9 w( T7 }

% A. I4 r+ i# `/ R5 p v$ i9 L, {

8 D V/ U5 _$ t. e. y; @ 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: ( W7 E7 v) G8 g; H4 _$ o8 ?

5 F: T, F# W: N

) S& e0 H2 F8 P* R5 I image-1688135130343.png8 J3 g$ V I& x. A$ j/ K5 P3 |

+ S1 b* r9 `" ]. J/ [: l5 H' r

9 b( ]6 E- N: O 解密admin管理员密码如图:( P1 L8 {' q6 m& R

" ^& b7 O6 N$ r) `. @

h& {* n% C& k- Z3 L" x Z image-1688135169380.png1 g0 V0 R2 j4 R Z e8 O: A

* E0 g. g) q( v+ N+ w, E6 j

- G# E1 b. A* r- o9 ~ 然后用自己写了个解密工具,解密结果和在线网站一致2 u+ Y; w7 ~4 y

7 g* Q* e7 N6 D$ H# z. Z

: \& X, D1 u% y6 Y$ _+ n image-1688135205242.png2 ~% f7 C6 i1 P4 t+ d

* `: W& q" V i2 S7 y# f

i( [& w8 V5 v) X+ B 解密后的密码为:123mhg,./,登陆如图: 1 b1 y! L$ n' G6 |( f% c4 Q

1 h- y7 z/ ]9 k( l) ^

$ L5 F( a: c" c5 @; U) r image-1688135235466.png* Q4 g$ c; O5 D1 q6 g5 y

7 W: b/ r: R( I/ T* ?) o" k1 Z

( r2 Y9 ?$ g. Q* p 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: + W o5 c6 D( j) R0 R5 R: u

5 ^ n# p' S. l9 W. L3 H

, I- w/ Y+ ]6 w image-1688135263613.png 1 s2 s' W9 _; L

& `+ E' r& d+ i* }0 I, _

' v& n8 @+ e9 n- a9 x image-1688135280746.png $ v' W! `6 u+ `) G

# [5 V: S# y; _/ k; r; D1 D& O' W

8 \5 v9 A$ k" ]' f A2 ^0 _ 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 5 Y$ A+ u7 H# L. r3 r7 o

. R: p; z( ]8 g2 m

" c( K3 F A1 H7 _ image-1688135310923.png $ s1 Q9 E3 }$ c7 M9 q6 N

) A4 D: ?4 O5 G; y& C5 @ P9 D) J

( f! J" L" g, G' `* e. H( M 访问webshell如下图: 6 @. i$ S5 [% M& K1 X+ C

1 C) B U* {4 J' E

7 j& H% M. B, G2 v image-1688135337823.png 3 h- m$ R h0 u) f$ Q

, o3 o- j6 v* _% e

U) z8 B. C( ` 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:2 P& Q% o8 z4 m6 j5 F$ Q# C1 ]

* T' e+ P. Y; ~, T4 l2 @

. u. c N3 {$ F" @9 S) i" D$ Z image-1688135378253.png 7 Q8 T0 q4 b, _% P6 b

: y2 c+ {# M% b$ g4 |) @

) v% b4 r* I# p$ D 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ Q6 E" S7 T( T: E" q6 V1 K j

9 _; }' C$ u# z1 {' U" o

' ^7 Z! Y* y2 L! c) J$ W6 ~ image-1688135422642.png ) G) x' ^6 f9 ]1 j* X( ?- |

. E: H; m/ X/ L4 K8 x* \% E

' ~& s! |) n# a4 {- @! @ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: - z. y& j( ?" t$ Y$ b9 I* z5 g4 \

! `( F+ \6 r1 T3 o" V7 M

; T% E9 V0 F: R. D" [" F( | image-1688135462339.png $ m y0 K8 X6 i' J; i

& a6 C6 F2 W0 M

8 F( b0 v5 G* w' o* c5 W 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389' c2 H' y5 {7 `0 b& T& H" J3 f9 z* ~

2 Q% P+ a( Q6 d/ e2 j

2 x$ h1 }+ J% t 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! - j* f i7 y6 P6 `

P2 u7 |6 m7 Z, I8 W- A

" F8 V' n2 K& E+ r  2 ^6 j- d2 D" k! j# _" U5 d- m

2 Q/ V$ ]* q# ~# P3 u- |
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表