|
" H9 w+ k" Z/ d+ J! R- Q
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:! I( O+ G6 i$ J6 e
3 h* }" |0 l1 V( x# ]
; Y) f! |( K9 c* [ 
; i; d) A ~+ z
; Z0 c1 _3 Q. r* \+ ?; Z
% z0 Z$ r# t% L* ^ 然后点vulnerabilities,如图:; K. S9 b3 [% B2 Q
( x* j; u# A3 r& v
" I7 E% R/ U2 c( i# m2 R$ @ 
: S: c1 w+ w" h" G0 r9 O& e + L7 B( Q6 g3 u W& w. O" G8 s* q
1 X- b U1 G+ L3 y& D 点SQL injection会看到HTTPS REQUESTS,如图:
; F( ^. E e6 |
! o# q$ c: P# h3 r
0 O& T& s5 u- B# n% E) X 
/ j& L9 r- A% f* N
) I% w% `2 ~% E* h, {5 H+ F8 F! [9 N7 b
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8" y5 u- J2 d3 w+ a
0 w' x g9 m3 q1 D' N2 G" L% e- |
+ k# B% R4 \( N Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:: n2 l$ b2 b+ v( b
" m' M0 o4 _4 S+ ^$ L: S
7 G5 d/ F5 \$ A
! _" Q: x& @% ?3 Y \: K1 G1 z' p! @
" L2 l ~$ r0 j8 {8 G0 n; `$ d$ M: ~, }# q
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:. m$ X: \" O: x- W
# P S2 v9 Y, B. o: O) c
. p0 _* j. O! _" [# a9 ]+ @1 m
 9 n) X! l. W/ I5 _6 }8 d& j5 V
0 {& C) \6 y- f% M' {2 }: X1 A! [6 S1 a
, K. B& A* f! s. P ) A! p) A' G; V9 g" t3 t( \5 _
5 e- \5 m; |9 P" N# l- h
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: M; g( H( p- d$ a0 O
+ @; V# M! g; n3 q. h+ R9 N# j
# V' d6 i m0 F  / _/ f. }: Z# h: ^& w" u
6 G0 Q' ~8 @* { \0 Q
4 y! x3 ^# V! q' W 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
: p& d- F- ~9 O7 S! `0 T
+ K5 i* X3 m% Q8 w. ] Y( d. q6 K3 P& t/ v+ f& _
. P, Z& c; j; P' o+ R' j2 L$ X" w
1 _0 O- @: G% z7 T: }& @8 @9 C0 F$ s( v7 a6 {2 Y
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
1 e* w( ^' s+ W6 l 6 n6 S* \3 i; L ?& {$ y$ f
1 ^4 l% z% |+ e _5 T t- [
 1 X% v% D J, @8 }0 i* U
& S* K. t0 A+ @
+ {- n( u! d* ^, K' J3 E- g
解密admin管理员密码如图:! b* O3 g" h0 O6 M8 D \
1 P, m2 \5 h$ G3 F( X! o# f j
8 L5 l7 U+ F5 `3 }6 H3 R0 S# V  & K5 L; \$ U7 q+ `
( o' B. w5 l1 M! v: R0 e7 l" |) T/ _
* b# |- B, X* Z. p# S7 g 然后用自己写了个解密工具,解密结果和在线网站一致
7 f4 ~( D5 b3 `- {
* ~' h: c, Q' _3 V0 v
/ D: ^* {4 R- \/ d9 j9 k 
5 T; \# u" v% Y e# W) ^) s: m & I; t& M* _, [& y! {
* Z: j! d) l7 l3 t7 w 解密后的密码为:123mhg,./,登陆如图:
9 [5 J6 l2 w6 [' A: y" c # h, J+ _5 O, }% i+ X, T; j o& h
) {' e. }. {6 I) o% {0 J  + @4 g2 b/ E3 X- {
4 H! f9 y% K5 p3 r# T U
% m9 n6 g( i# W; l; n, X; x
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:1 P5 \; z. e( u, }8 B7 |* I8 f
* L/ L) p% ]4 u' ~, C# w$ _' \8 S6 f
5 Z6 V" i9 K6 K/ g0 l4 A
0 N4 w% k/ l0 Q
$ R7 Y. d8 y/ Q! t t/ } 
$ F7 ? ~( x8 G7 C : _* j9 p9 `0 V% y: b
, |* }7 S8 H' X+ G 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:7 M% C- p7 |# V7 b3 W- h
& ]0 Z6 \7 c( d. w" e5 G
! V/ q$ @1 M i9 D2 e2 e. f- F7 G 
1 C; L5 {% r: {3 z ; e! I3 X1 F, w2 w( Y6 n
$ ?0 U7 f* }8 k
访问webshell如下图:7 `0 L* R! P2 b0 F( V1 s
5 D& u5 N7 \1 t- Z0 b0 z$ U/ I/ t( n6 g8 Q
 % O- G d/ H% M! n# K9 m" I# L
! j/ ~% U' m2 f, D* @5 \5 X
% ?7 q' W+ u1 g! P 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) B8 ^( H- n7 a' L9 A
4 w/ B3 q- W. [, k J
6 X" \; C" s% V  ' _3 c$ M# [$ N, o5 G+ W* p+ k3 F
2 L, W" b% a" k9 n
. p3 c, F# I' j: I& |% I5 y+ ~
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:- X+ t- S/ k) N$ g/ f
, G) X) T' E+ C5 P; Q/ h( |9 `: J# ?$ K
% i% r9 T( z7 d% a5 ] ] ' `# [& k( D7 y0 p/ ^
& M# h! \1 ~, o, c; j: f$ P
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:+ M3 F' j! j! [7 c% C
6 o1 C, {( S/ W
' D2 S" k1 O1 _4 b$ \, S% Q/ k, s( @
) X4 w" w. Z4 W. C. A7 Q
* v$ O# U8 W7 ]% O( s; z3 b
U* [7 D- V* _% J! d 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。, X& C: V8 `* z: v4 m) f
/ H1 [& e: X) S* @; _% {/ u9 E [1 V% E
" k4 B: ~% X) g2 L9 H9 D1 }5 a
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
- w A" b( y4 |- T 9 S; n0 ~' J/ ^: a3 E+ C7 ~* e
* |/ m8 ^: L; U3 m% |5 g! x. h/ G . f) \% @& C/ Q5 Q, P
: U( S2 A) {- f1 `' C0 l& O N. w
| 
发表于 2023-11-28 20:23:22