找回密码
 立即注册
查看: 2311|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

" H9 w+ k" Z/ d+ J! R- Q :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:! I( O+ G6 i$ J6 e

3 h* }" |0 l1 V( x# ]

; Y) f! |( K9 c* [ image-1688134638275.png ; i; d) A ~+ z

; Z0 c1 _3 Q. r* \+ ?; Z

% z0 Z$ r# t% L* ^ 然后点vulnerabilities,如图:; K. S9 b3 [% B2 Q

( x* j; u# A3 r& v

" I7 E% R/ U2 c( i# m2 R$ @ image-1688134671778.png : S: c1 w+ w" h" G0 r9 O& e

+ L7 B( Q6 g3 u W& w. O" G8 s* q

1 X- b U1 G+ L3 y& D SQL injection会看到HTTPS REQUESTS,如图: ; F( ^. E e6 |

! o# q$ c: P# h3 r

0 O& T& s5 u- B# n% E) X image-1688134707928.png / j& L9 r- A% f* N

) I% w% `2 ~% E* h

, {5 H+ F8 F! [9 N7 b 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8" y5 u- J2 d3 w+ a

0 w' x g9 m3 q1 D' N2 G" L% e- |

+ k# B% R4 \( N Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:: n2 l$ b2 b+ v( b

" m' M0 o4 _4 S+ ^$ L: S

7 G5 d/ F5 \$ A image-1688134982235.png ! _" Q: x& @% ?3 Y \: K1 G1 z' p! @

" L2 l ~$ r0 j8 {8 G0 n

; `$ d$ M: ~, }# q 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:. m$ X: \" O: x- W

# P S2 v9 Y, B. o: O) c

. p0 _* j. O! _" [# a9 ]+ @1 m image-1688135020220.png9 n) X! l. W/ I5 _6 }8 d& j5 V

0 {& C) \6 y- f% M' {

2 }: X1 A! [6 S1 a image-1688135035822.png , K. B& A* f! s. P

) A! p) A' G; V9 g" t3 t( \5 _

5 e- \5 m; |9 P" N# l- h 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: M; g( H( p- d$ a0 O

+ @; V# M! g; n3 q. h+ R9 N# j

# V' d6 i m0 F image-1688135070691.png/ _/ f. }: Z# h: ^& w" u

6 G0 Q' ~8 @* { \0 Q

4 y! x3 ^# V! q' W 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: : p& d- F- ~9 O7 S! `0 T

+ K5 i* X3 m% Q8 w. ]

Y( d. q6 K3 P& t/ v+ f& _ image-1688135098815.png . P, Z& c; j; P' o+ R' j2 L$ X" w

1 _0 O- @: G% z7 T: }& @8 @

9 C0 F$ s( v7 a6 {2 Y 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 1 e* w( ^' s+ W6 l

6 n6 S* \3 i; L ?& {$ y$ f

1 ^4 l% z% |+ e _5 T t- [ image-1688135130343.png1 X% v% D J, @8 }0 i* U

& S* K. t0 A+ @

+ {- n( u! d* ^, K' J3 E- g 解密admin管理员密码如图:! b* O3 g" h0 O6 M8 D \

1 P, m2 \5 h$ G3 F( X! o# f j

8 L5 l7 U+ F5 `3 }6 H3 R0 S# V image-1688135169380.png& K5 L; \$ U7 q+ `

( o' B. w5 l1 M! v: R0 e7 l" |) T/ _

* b# |- B, X* Z. p# S7 g 然后用自己写了个解密工具,解密结果和在线网站一致 7 f4 ~( D5 b3 `- {

* ~' h: c, Q' _3 V0 v

/ D: ^* {4 R- \/ d9 j9 k image-1688135205242.png 5 T; \# u" v% Y e# W) ^) s: m

& I; t& M* _, [& y! {

* Z: j! d) l7 l3 t7 w 解密后的密码为:123mhg,./,登陆如图: 9 [5 J6 l2 w6 [' A: y" c

# h, J+ _5 O, }% i+ X, T; j o& h

) {' e. }. {6 I) o% {0 J image-1688135235466.png+ @4 g2 b/ E3 X- {

4 H! f9 y% K5 p3 r# T U

% m9 n6 g( i# W; l; n, X; x 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:1 P5 \; z. e( u, }8 B7 |* I8 f

* L/ L) p% ]4 u

' ~, C# w$ _' \8 S6 f image-1688135263613.png 5 Z6 V" i9 K6 K/ g0 l4 A

0 N4 w% k/ l0 Q

$ R7 Y. d8 y/ Q! t t/ } image-1688135280746.png $ F7 ? ~( x8 G7 C

: _* j9 p9 `0 V% y: b

, |* }7 S8 H' X+ G 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:7 M% C- p7 |# V7 b3 W- h

& ]0 Z6 \7 c( d. w" e5 G

! V/ q$ @1 M i9 D2 e2 e. f- F7 G image-1688135310923.png 1 C; L5 {% r: {3 z

; e! I3 X1 F, w2 w( Y6 n

$ ?0 U7 f* }8 k 访问webshell如下图:7 `0 L* R! P2 b0 F( V1 s

5 D& u5 N7 \1 t

- Z0 b0 z$ U/ I/ t( n6 g8 Q image-1688135337823.png% O- G d/ H% M! n# K9 m" I# L

! j/ ~% U' m2 f, D* @5 \5 X

% ?7 q' W+ u1 g! P 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) B8 ^( H- n7 a' L9 A

4 w/ B3 q- W. [, k J

6 X" \; C" s% V image-1688135378253.png' _3 c$ M# [$ N, o5 G+ W* p+ k3 F

2 L, W" b% a" k9 n

. p3 c, F# I' j: I& |% I5 y+ ~ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:- X+ t- S/ k) N$ g/ f

, G) X) T' E+ C5 P; Q/ h

( |9 `: J# ?$ K image-1688135422642.png % i% r9 T( z7 d% a5 ] ]

' `# [& k( D7 y0 p/ ^

& M# h! \1 ~, o, c; j: f$ P 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:+ M3 F' j! j! [7 c% C

6 o1 C, {( S/ W

' D2 S" k1 O1 _4 b$ \, S% Q/ k, s( @ image-1688135462339.png ) X4 w" w. Z4 W. C. A7 Q

* v$ O# U8 W7 ]% O( s; z3 b

U* [7 D- V* _% J! d 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389, X& C: V8 `* z: v4 m) f

/ H1 [& e: X) S* @; _% {/ u9 E [1 V% E

" k4 B: ~% X) g2 L9 H9 D1 }5 a 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! - w A" b( y4 |- T

9 S; n0 ~' J/ ^: a3 E+ C7 ~* e

* |/ m8 ^: L; U3 m% |5 g! x. h/ G  . f) \% @& C/ Q5 Q, P

: U( S2 A) {- f1 `' C0 l& O N. w
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表