|
2 Q2 N2 C' d% ^4 Y( v& x' S6 u
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
2 V1 E, |7 ]2 Z! |! ?$ ]1 I 7 P" W' S C0 J- Q6 p- v
* w5 y5 i: U, Q4 P$ _3 | 
2 r2 u8 N9 z( W1 E" X! V; X$ x 6 S& k1 c, }$ P ^: _
5 C0 Z, V5 R, z( q B {5 S, D 然后点vulnerabilities,如图:6 L- I6 {& H/ {* P
9 K' `% E- x3 X( `, ?& |
; |6 I6 }1 |, }; M) g2 |7 {# J' _ 
3 \' Q4 B, Q" }, Y 5 x- A0 R" M8 \0 ?3 Y5 Q
% t4 D3 M0 P6 m% w+ C9 g
点SQL injection会看到HTTPS REQUESTS,如图:! D" i4 n) N- @6 U: N. }, ?
5 ^9 l, a+ H4 W
! O! T0 G2 u! K  : c* q1 ~0 `9 h+ @) H
& a! n4 s9 g' U3 u2 }; M$ `3 P% S0 p6 Z* h% K
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8& j+ H% S& r& R. w3 x
& I. d, M4 f# i8 X- w$ w) P4 G, G
8 a# S9 E1 y1 A u1 R; ~ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:- D% D- m& T7 I9 P) J$ ?% ~8 F
3 z% I! z- ^* H0 ^; a5 e' i+ d3 r" Z3 |7 K: X8 v( ]
+ a( U% w( `1 Z }* D* ? 2 s q/ ]( W" f7 R. S
0 A0 H1 p- K" M1 C" V. i
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
, x/ k% y; `$ d$ y 9 `1 L6 Z' C9 ?8 ^: d: @* ~
$ r* \0 a$ j S* p0 m [  0 E8 G6 Y, x) F* q# ?4 [ Y
/ j5 v" K3 X- Q% R; B6 w; f
. I6 N% `: m# R- \ 
( P( s8 |9 A6 V" c6 y6 Y ) W% h l4 [. r0 ]) Z* Q& c! w
: F9 O2 _" j5 Y$ M r8 h! x% b
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:' z1 x/ m6 D2 X- N5 q7 ?
7 \3 O3 |/ {3 f+ ` B# i5 Z
8 G) g* B2 V7 Z- W+ U  ) n7 y F1 F: l" T0 I O
9 x9 P+ e; {8 E
/ \5 h5 Y4 C8 B8 E) ]0 J0 D 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
" m- \" _) d" _- C: V' b - l% m* V" K+ t" X1 m3 j
+ c8 h8 g0 O5 @/ |4 _: n; Z
 % F1 p# x! r% P9 e W. l8 `
. J: |8 l; V9 T. F( r
! N, ?3 l( p' B% X) B. ` 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图: M# Z5 K( X2 C# g- _5 v
& M- @9 d3 F$ v; E
* T. @+ y! u) c3 o6 p  ! t6 w! D7 r$ x- d) x2 ~
- z' q! d0 d5 d9 D2 e8 k% R
! a) f. ^# M4 t( N1 [" q: Q, i 解密admin管理员密码如图:
) m( V; E$ Q! S2 E" S7 {1 H. H$ P3 R
" y7 N* ?5 T* m' p* ~% j" ?- \/ {' W6 R+ m6 S5 V
 " M7 p0 B( a, I# Q2 H
6 `( ]4 A7 @/ r, x5 m/ G8 P% j/ G8 p) o
然后用自己写了个解密工具,解密结果和在线网站一致
8 @, r3 \& A# U6 [, w/ \ & M$ }, q+ \6 v+ }2 {
& {8 f% v5 l9 R5 P$ T% |) k9 b; R  ) [: T z6 Y: A% p. c1 u1 A
9 P" C6 P" x! M) {
! a' ?/ n0 H) ~& I& f* v+ D! ]6 \$ E
解密后的密码为:123mhg,./,登陆如图:
/ z' M% _1 |6 c" B , Z1 g( S) c4 k6 K4 ]) L3 T
9 p2 S3 {1 \+ y4 D0 R2 N
 : S/ f9 O q% d5 x! X% @7 i
( @( v- n* I8 A
/ X6 g9 I4 [* J- v% { 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:( _/ j5 R4 S% S$ |9 A M% S
* l8 @5 s! _/ r
$ ?- d4 Y5 Y& n( m& K6 o: O3 x
! D* {2 w1 M) B; n) V: K: P) G ' V* `% ?& c; g' Z8 Y. h. ]' {
p. {) ^) ?6 ^( U- @ 
2 y! }1 c q. U/ r& d+ d1 Y
) l; ^0 [. t# W* c0 v" h6 R; x( O# f m6 f3 u1 j; T9 p" M
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:- G; V: b& ?/ b6 S: q
0 w+ }7 w8 ]+ k9 M) |
- W2 q; U+ V7 V  % A" R( H& J& E# d
. C2 B" p* Q# p+ b; Q n, ~1 Z
+ J% r4 l; V7 W. Q8 L; P
访问webshell如下图:' t. [5 l; d( I6 g
" i) d- ` f; |! d* p3 y2 V u% W m9 q5 ?; S2 K) n. y
{ {6 P/ n4 l6 b0 w: N2 Y
, @9 i4 H2 R7 B8 R# u/ n7 s* [# E! y, N+ H, p! r' ]
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
. D3 J8 ?7 k. y& Y6 b; N" V) i4 A ) H* D6 D1 w8 z5 } S
* R9 H$ }* X8 P, I3 o  ) P; M, @1 W: z
; `' L0 s) m N& N) k8 Y) ~
. Q2 m4 T8 }" R( p/ y2 M 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:, U- R& Y8 N) x6 c# ^) E
: ?* u0 z1 V$ y5 o; V- }
3 Y; \0 Y2 k8 m6 M$ a
 ( g. |1 E; j* G' c
( i# p& Q! p3 U1 E) A4 V/ X: o$ X3 W. Q' E
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
# E! }9 ~/ O, l* i : u- \; W) S+ n7 k
3 I$ C% E0 T2 ]4 G6 Z- d8 e0 Z  3 m# k$ v: f$ t$ I n: @$ X' z. ]
( v: O' N0 w3 f( o
$ J9 X- J( v# ]+ q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。' R2 [- f7 x2 X4 N! \
, ]/ W3 q5 G% Z: y9 `! F
( [0 }' K( D8 P" |. i8 U
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
2 ?& E& w. `0 J v % ~2 i1 a8 ^: j/ L2 w
& b+ f1 n& s) `0 S7 c5 |. c! T
6 P! u; S& k& { 8 O( T! w: u$ L( N2 u
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对