注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
, w6 G# c: }+ k2 Y5 b- N4 Z* i( z9 }' o! G4 | x7 G. z7 Z i ( ^$ g- t* B0 r$ Q
, m8 f% ?1 n9 i' m$ z1 {3 u然后点vulnerabilities,如图:$ u1 y- | a7 j# c+ d" @/ B5 x! t
6 Z( P3 d, ?0 }: j7 Q# rw0 M) t/ f' q/ J; W 0 R: [6 D# y) m: k
7 \+ N& w$ i ?, K; o* T0 ~# F5 d/ B/ k7 { g8 z6 W 点SQL injection会看到HTTPS REQUESTS,如图:& u3 u2 K2 P, E0 i
- A% B) x& M& k4 w0 W3 s/ G+ a! }# {- d! ~5 K5 s
n6 T& E% B- ~* w) ]0 q- W" j6 `4 E4 `. R: H3 g2 i0 f 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8/ r/ [& E+ d2 G, y* a* Q3 r; S
7 G( i! x8 Y3 p! e9 [& P3 p) v. E- g7 |+ ~) N/ M ~ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
- z' j0 w6 l7 v4 @! Z$ v0 P8 H& `, b 6 {( W, z: q3 L. q: K
- o4 L5 ?$ m# D. b+ X% B9 F 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
; M, b3 W/ m9 r a0 ^5 R- V+ Q, [+ S1 b6 `, R$ K7 u8 G' R, f
2 S! R" W- z& F5 f) i9 h% z# h
6 w" _: x( ?4 J N 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 R# T, X2 ]4 s1 V0 p
" x3 y7 h3 E1 F. T5 d" ^/ X, B1 \5 |* t v& B8 Y. _
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:' j/ o9 T, c% e( O/ S
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:7 u& x, Q1 Y6 g1 @
7 r: C0 w" p- k5 d% I# \: g8 b, y0 z8 L0 U7 \, D& D5 G
' u5 Y j+ b. G: U# m解密admin管理员密码如图:
# S. I3 B( Y* ]" [9 ] V0 `
然后用自己写了个解密工具,解密结果和在线网站一致
f9 ?. v# @0 T, t+ a. X
`1 W, b6 B) o& O. r4 S3 M T9 z# e* k/ K 解密后的密码为:123mhg,./,登陆如图:
1 G* h4 G& c5 c4 x! {) g2 U: s1 P" @" K% R3 q- V& e$ L; I) M0 j ! h2 g, ]- m* G/ u6 m7 c
: n5 w: {& Z" V$ j K! O2 { 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
' m0 f( A/ x+ d 5 [0 F* G& t6 ~5 T; x
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:; N7 m( O* m X6 y" A
O! a# `& q) y+ Q0 s
访问webshell如下图:# z/ |" T8 A3 m& C0 j: u" l, A: S
- t, r0 }; V# M( v, ^( n. G8 Y6 s8 ?/ _3 L2 r4 A" v
- A- \+ ]- N( q5 o8 {4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:5 l* z, m) R% ^" I
# J1 d5 J) o1 d0 |, w8 R, O1 q, F m! y U/ |+ I ' M1 D5 p D! s* H+ s: m
c# G2 X9 x( c/ b9 i 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
' y: _; k0 K o& i# x1 \" E
) i* _" N2 Y$ ]8 H" E- E 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
( v: O5 k- q8 |/ ~# X/ N' a) \* N2 t( D% V0 a
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。# j4 K1 q/ ^$ ?9 A
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
w, x: t2 U' } 9 a( i3 G% Z# [. G$ @, |4 j
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |