中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

" s7 h) N, } Z0 f0 Q :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 8 y% M% @; N+ U$ v! m

, w6 G# c: }+ k2 Y5 b- N4 Z* i

( z9 }' o! G4 | x7 G. z7 Z i image-1688134638275.png( ^$ g- t* B0 r$ Q

, m8 f% ?1 n9 i' m$ z1 {3 u

% k7 g; E# `0 R1 [( z3 c$ k 然后点vulnerabilities,如图:$ u1 y- | a7 j# c+ d" @/ B5 x! t

6 Z( P3 d, ?0 }: j7 Q# r

w0 M) t/ f' q/ J; W image-1688134671778.png0 R: [6 D# y) m: k

7 \+ N& w$ i ?, K; o* T

0 ~# F5 d/ B/ k7 { g8 z6 W SQL injection会看到HTTPS REQUESTS,如图:& u3 u2 K2 P, E0 i

- A% B) x& M& k

4 w0 W3 s/ G+ a! }# {- d! ~5 K5 s image-1688134707928.png 1 q8 _: V; F8 m5 l/ W

n6 T& E% B- ~* w) ]0 q- W" j6 `

4 E4 `. R: H3 g2 i0 f 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8/ r/ [& E+ d2 G, y* a* Q3 r; S

7 G( i! x8 Y3 p! e9 [& P3 p

) v. E- g7 |+ ~) N/ M ~ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: % E! v8 x& J; ~: b, y: Q

% B/ k$ b+ ?* F" n& c; ^" q3 g5 j

3 e+ ?% \1 U: s, J/ A& n0 q image-1688134982235.png6 {( W, z: q3 L. q: K

- z' j0 w6 l7 v4 @! Z$ v0 P8 H& `, b

- o4 L5 ?$ m# D. b+ X% B9 F 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: % {$ O( p/ ~8 A1 _& L! |. S O

; M, b3 W/ m9 r a0 ^5 R- V+ Q

, [+ S1 b6 `, R$ K7 u8 G' R, f image-1688135020220.png 5 g1 @% a" ?( I

. p& m! p5 X; @: c. k% O2 F

+ c! E% p' b; O image-1688135035822.png 2 a# W, t/ F I" m& P+ a, l4 {8 p

2 S! R" W- z& F5 f) i9 h% z# h

6 w" _: x( ?4 J N 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 R# T, X2 ]4 s1 V0 p

" x3 y7 h3 E1 F. T5 d" ^/ X, B1 \

# @2 x& J% \+ ^1 K2 Y image-1688135070691.png c2 I0 [$ J+ |( B; P! p

5 |* t v& B8 Y. _

) d5 v" V' j- e& G7 U+ B1 D 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:' j/ o9 T, c% e( O/ S

) F$ x1 ^3 b$ D. o1 {' g. s4 p4 a

+ }* n" M1 w% A: `5 \, F$ y5 F image-1688135098815.png 6 A! u1 `; p, f. \6 O

! X! q, Y- j! e0 t. j* o5 a

- j5 [. O0 l, j, S5 s) B% f1 L 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:7 u& x, Q1 Y6 g1 @

7 r: C0 w" p- k5 d% I# \: g

8 b, y0 z8 L0 U7 \, D& D5 G image-1688135130343.png 0 k& n2 Q, z1 h5 L# f

' u5 Y j+ b. G: U# m

6 G4 Y8 m- o2 w6 M+ d 解密admin管理员密码如图: ! H& L, s. F9 G9 Z0 D+ s9 H

6 k" G" q9 P: ]7 c1 x, i

. S5 L8 N/ X: r; E) E& u) J' n image-1688135169380.png 5 R) D, U7 I2 z- c

# S. I3 B( Y* ]" [9 ] V0 `

, F6 N" }4 X) _0 f 然后用自己写了个解密工具,解密结果和在线网站一致 ( J8 ~2 f2 [2 y

) O$ C0 {: A" v" \8 T

* N+ J! b' Z: C7 n5 U' |/ r image-1688135205242.png f9 ?. v# @0 T, t+ a. X

; u+ K6 p$ `8 a" c7 _2 V0 S& L

`1 W, b6 B) o& O. r4 S3 M T9 z# e* k/ K 解密后的密码为:123mhg,./,登陆如图: 1 Z: f0 L- V6 n; z- E

1 G* h4 G& c5 c4 x! {) g2 U

6 S3 @) W0 ?2 g3 k' I image-1688135235466.png! h2 g, ]- m* G/ u6 m7 c

: s1 P" @" K% R3 q- V& e$ L; I) M0 j

: n5 w: {& Z" V$ j K! O2 { 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: $ N& s7 [& x' O2 H2 E0 p- M1 I

$ y, G d* X6 Q

' m0 f( A/ x+ d image-1688135263613.png5 [0 F* G& t6 ~5 T; x

% e# O$ u+ a9 @( O, m) U/ J

/ n" |( m6 l# ?& i6 n% \6 @ image-1688135280746.png 2 `2 T/ V l% L5 B. p0 Z1 K% P& \

7 Y) Z, ^" r$ {6 L

3 g' K1 ^9 m; L O5 ] 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:; N7 m( O* m X6 y" A

0 b4 ?) t3 s O" Z4 A w/ y) N, Q6 k

; G O3 r( ^: t; m. P7 v+ _2 I6 Z" K image-1688135310923.png O! a# `& q) y+ Q0 s

. w' g! t& c& e

3 u/ ]7 [5 R9 z9 h 访问webshell如下图:# z/ |" T8 A3 m& C0 j: u" l, A: S

- t, r0 }; V# M( v, ^( n

. G8 Y6 s8 ?/ _3 L2 r4 A" v image-1688135337823.png . E, w3 W0 O9 }& ^# j/ r j$ f

- A- \+ ]- N( q5 o8 {

+ m! @% _2 W3 Z5 K+ q& [ 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:5 l* z, m) R% ^" I

# J1 d5 J) o1 d0 |, w

8 R, O1 q, F m! y U/ |+ I image-1688135378253.png' M1 D5 p D! s* H+ s: m

3 I& _8 `1 [ b: o5 L) z

c# G2 X9 x( c/ b9 i 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: ; y$ M! b) [ C% l' g+ P

( n' b9 g6 Z3 g* G. [; K+ h

) B9 X) \8 |! ^ t image-1688135422642.png 9 E/ z% s9 A Q- o3 B5 T v) ^( K

' y: _; k0 K o& i# x1 \" E

) i* _" N2 Y$ ]8 H" E- E 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: ! m9 ?* u) |1 J0 E$ t

( v: O5 k- q8 |/ ~# X/ N

; H" i& s9 T1 d% d0 u0 Z2 ?7 N image-1688135462339.png' a) \* N2 t( D% V0 a

# {0 {! w" m# h; P! [- D+ B0 M9 a

! A+ c7 F7 `2 q* f9 U! v1 [ Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389# j4 K1 q/ ^$ ?9 A

. H: R U% t- e3 P

7 E5 @# k5 h; u* u 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 5 B" |3 U, s5 S, V7 ~

e) Y) n- L8 J! A* b( C, Z7 V

w, x: t2 U' }  9 a( i3 G% Z# [. G$ @, |4 j

$ k$ d8 O) c Z3 I w: q+ a% d



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2