|
; w4 M4 ~1 z, e6 E @. [& P- ` 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
{2 `; Z3 c$ V0 M; d. e, y
* _2 |$ S' }4 p" R5 m0 m
0 Z! |% T+ q7 G: v' _. e
( G! v' j9 @0 b+ }9 ]& r 1 c" l8 T' \/ n9 Q# R1 z, A
# ]" i1 ] ^4 V# T' ~
然后点vulnerabilities,如图:6 o0 _' D8 W$ J# }- @7 K
- a, S N* x$ C% ]' M! B
; B4 S" b6 B0 N2 I 2 ]) D, |/ a6 S- M1 u$ M
4 @; C6 p# F6 X7 e/ Y7 e" u
( b+ Q3 T9 T+ O, M# T3 t 点SQL injection会看到HTTPS REQUESTS,如图:
; e+ l( Z; W* z: A2 c 3 {) e# J0 z: B4 k/ v& `6 f
0 _9 L$ h; u8 |2 Q4 K
F& |0 Y, w# r) O, t1 q
9 J# s v! Z( d! V. o
1 i7 r+ X* P r$ P% q8 B 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
: S4 R' a' |8 _( A 2 U* ~- k% ^( y/ {
2 V* A" J% u7 ]6 [, m; b2 |$ N8 U Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
* \" S E' K4 w; U 0 r/ L2 Q) X/ z/ z
6 S, h; d3 i. _' [# u$ ^
+ g6 c. k% i; u _4 j+ x
9 X& M8 j& ?. f# m# v: ?
6 o( _5 c' |) P9 t2 | 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
9 K/ R1 M Z" H0 s- P8 d 7 B/ g0 v2 k9 |6 `$ K( W4 }
* E [' j( v( s
3 W5 U0 ~( T, ? 6 f* c, d2 P6 m* y% I( ]# F
: f1 C1 q$ g; `$ i
$ V3 M8 j% |2 p/ B( s
4 Z5 ?5 N6 L2 v! J9 x$ \
: f" ~7 x& T" ?$ Y* v( a
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:# G: `' |& O# Z8 }
" y$ Z# R6 i$ n7 U) L2 o/ U# y1 x
* j+ J+ p/ B, n
t* L0 Q& p+ @* u a4 Y& M: \0 p' ^0 w S" C
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:) [; C5 k! ~, Z) ^# Q/ M# E" u
( {% E4 ~; g5 s! K" Z
/ K( i' N) u8 ]8 S" p3 t 7 m2 Z: d4 k/ p5 U0 k/ ^
! M6 K4 y0 k+ m
0 b0 N1 I) X8 M% ~% [7 M9 V 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
^# l- ~7 q! I% S# q1 W
9 I9 f4 f4 d# I) ^& p; p% f( Y
; q. h. v0 ]3 }$ U9 F7 k4 a- z9 O
' E' }3 ?" D# E$ |
3 C" g+ \) \2 }. l 解密admin管理员密码如图:; _ d& i! ^3 d H# R6 I
2 |) M t0 o6 B3 @0 q
l8 w L: r6 b' h$ Z7 p # r- t0 r' Q/ P. E9 L" _
; ^6 O5 e. }' z! o4 k! F$ b# P a. d
然后用自己写了个解密工具,解密结果和在线网站一致' p# P% D) [- o8 t# I* X
" c+ W9 b: @8 [; B+ @
/ J& R# o. `4 S. @ # X& j9 L8 X' f) u
5 F$ D1 G/ F1 ]8 u8 `/ _
% Z; i6 t$ o" e. ?/ y( M$ F% p
解密后的密码为:123mhg,./,登陆如图:+ {9 B7 N2 a3 K. a
+ b5 Z5 y8 E( L" l- y$ S2 k$ f
1 C0 ^) I7 F+ x1 M% E. c, U $ c6 ~, _3 Y! h4 D3 i
# X1 C' O' _6 n% b8 \0 ~; Y9 d
2 y6 N& S x0 l: |0 b! }6 v
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
! v% N! e6 k) m [
2 X6 c: x2 I3 G$ {% n o( s# X4 \" }7 n! P
9 h) Q- n- Q6 W/ }' ]; v! w ; {7 b7 h; G" C. s8 ~
6 h6 L3 X+ j& `8 |9 i* d$ F" B
8 E/ @6 M( m, D7 t
( r, V/ x- [ L" D8 B2 N5 v
- \1 ?- H5 ]1 S8 S 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
- e6 p/ G1 [% R
. g4 {2 C0 h; D0 W0 O0 M( U0 d! A# A6 v8 q, Y4 V
5 k3 N* J; W5 O. I $ `: V! S* n$ n2 z* z
! C4 x" q7 F5 ]/ T 访问webshell如下图:6 z+ L }% t4 V% W5 Q& B
1 d, o: ^1 a& S" f6 A
( f0 |) y" g: z/ f0 Q9 D
0 ?4 W _: N" _3 x
& C$ [- p# B \' \ `+ t$ \- Z4 n4 e2 H
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) z1 g! m0 N' E b% ?
: F: r/ }7 U! l3 {- G4 N9 e! ^
9 \) @9 n' W6 V ; u/ f' d, A9 I- }6 x- r
M% L& R" q0 c; U
* d6 f6 Q: b `. n0 U I 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ Z( Q; u3 U1 J" t% _* m) l, J* L
1 A7 B u! r; w) d R
. H. _7 x8 X, H5 q2 i9 o
, ? f1 w5 y4 _3 _- G) ~% S
* A' J6 O4 l8 n) Q K5 U
# Q* t( p3 n# X# \ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:( Z) R' W/ X" A9 l( u+ A
' ~7 u3 A j( ` [9 k1 ~8 B
5 Z7 x V9 Q3 u$ l# Q, H$ e
& L9 T3 k# ]( y( |$ Z) m 6 t7 l* S; F8 u# Q
1 ^; p s+ w# e8 S) G6 Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
3 B# u( B# v& _6 [2 c0 F4 ~ % x& G+ @* E9 G3 J% B. M
4 f( ?" r1 r; M$ E
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!" ~1 Z B8 i/ @
( ]9 f; Z1 Y$ V" m) K8 g
. T! i6 j% v; t4 E. |% W. K2 C* A
5 ^* u- t c6 \. y. |( P) E
! e7 N) Q1 O& p% f/ u0 C |