|
6 N6 j5 `8 J5 ]9 Z5 t4 v& z
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
! G5 A& E" z7 L. E2 v8 K+ G 4 k( x- V) [3 m. h9 [' q! x R7 N
0 k! K: {; d1 [2 b- ` 
& h$ y2 ^- Q$ U! f 2 |, N' m9 r: V
" T- F$ H9 p. [
然后点vulnerabilities,如图:0 F# |1 w0 G6 s: J
0 V' u$ x+ s' U, K* r
( X# R9 |! l. H i# `& x$ w 
9 d. ~; d1 [- ` b( L 7 }" O' |/ O- \6 \* A$ M
0 l$ N" l$ i3 `! e. F% b% B5 n
点SQL injection会看到HTTPS REQUESTS,如图:) S5 @+ W4 M0 m) q) d0 d
; {4 q$ M8 S6 `! [: O0 p" U9 i1 _3 |+ E/ }1 e5 z
 ' K6 m, g- [- q D/ q0 e, h! O
& n0 _5 i( m& O b
; | I# Y, L; i- U4 n 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; S$ F x9 _7 n4 p0 w- p9 N! C/ ]
, i( I- V7 c' K! x. @* ]/ {2 }
9 v6 X( P |+ P# M% J8 G
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:5 c+ f! f; H5 L* n# A/ Y3 a
( `& G! C% }6 C: \6 S0 p
a0 [6 i! W8 u: w
 3 R f3 D- v; i
0 g/ f( D2 B& p' n9 V C. H/ L: o9 _" t3 Z" L
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
" R& L3 J$ p. H# t" o * v# C. l5 q( M
% ~& o& X) |( O4 g. h( O7 C: T
: h8 G7 ]4 @ K0 \2 ~7 {2 z- V
6 j2 @0 g" m' g' n) l$ z/ w8 N* N8 K: \3 o$ i' Q, p$ }. f
( A; A5 T" M) H3 b6 l3 B2 Q' e, K, B ; S( Q$ t- _+ U* q* g, K3 g! J9 o% N
3 R$ K4 `- Z2 J, R& M! o' f 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
& P/ _4 x- e7 a1 `+ ?/ P. \; p * ~9 V( I# n% z" h8 A/ }" G
2 s) m+ {, c/ g0 ]
+ y2 J- W' B% G$ B8 f2 J0 x
+ \) Y# E8 W) v$ X2 A
+ J) b. b$ e/ z7 p 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
2 ?" E3 H$ h9 J7 u! {7 X
# p- D( T: C" X. y" N7 m. b4 s/ s$ R$ u" h- f* `9 O
4 j7 g e3 d" r7 \7 ^5 J . Y/ z0 L4 Q9 g& a( `8 o. Z* v3 y, f
+ y" L: Y" h) t6 k+ N$ T
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:; B6 k7 a/ o9 g3 x. \1 C2 E5 E" {
! U. c3 _- B$ m9 A' [
% V9 N( e$ s4 r2 t 
m! x9 B$ {/ s, g" O2 V
) @2 g/ G& ?% V7 p1 J
) @: `0 \ m- |: I; b7 E2 b: Q0 E) I 解密admin管理员密码如图:
+ ]% D4 r7 _* Y* f4 D# J/ M o; G; f4 a# Y A5 d) K, J
O+ e) r! I8 J: e B
. S8 G9 x# d3 ?( @8 n+ x
/ L+ P: s+ I4 D# v7 [% L& `: f
1 a9 B5 n. ~& b3 d5 J 然后用自己写了个解密工具,解密结果和在线网站一致& r/ q# u' w8 x2 G M
* W% c1 |: t+ n/ p. N9 \( ~
" v( H; P/ V; z, s" Q  $ d; r) q5 d3 O5 _) N
4 p4 I F7 M. j& X4 i
8 Q8 E. g4 w4 t# p 解密后的密码为:123mhg,./,登陆如图:* j* N4 q% }2 G! F) @8 j7 A
- x* _- x' x" b( L* e e& M/ n( U8 A9 p7 u/ s* {
 3 ^% T _ D7 F k
/ {' y; l( d0 h; t$ H
, @" S. g# O! o8 M% Y3 l 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" ]9 B) k0 r& D8 v
- N1 n: P* [. e4 B
N+ ~- Z& \1 {$ h: n. }. @  ; A# L. t1 w1 A# w
1 d0 O% O8 e% A" ]4 N
- T( W/ X4 ]! c
 1 }# F' O( j& {! W7 z" w ]- Q
8 A* Y) s/ O- Q$ U
) _4 ?) N1 h- w& f. E 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:. h- W; l m2 U
$ ~. D+ g& ]$ m* n2 i% R, }3 s/ @/ A9 ?6 ^8 P- V
! Q f, c4 L2 ~. j, ^5 l; o# X ; P) x6 t2 \* A
) e: ?5 ^6 l1 i0 y, I+ S
访问webshell如下图:
- Q4 Y* T0 J6 B" V: N6 I
1 n# U# s9 w( l* p8 l* A
) r# l f' w* [- q8 T6 T 
, V+ t$ d( Y1 w8 F& s/ a& X0 ?
: \- q* T& Q! w& X: U
& [ c* U0 z3 P2 n- Z 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:* X J# t/ x, m- {5 f
7 l8 |$ k2 Q2 G% B B
& l. p- G7 F$ u! }6 W, A 
6 |2 [) y* e2 ?0 e8 f0 l ^* \
% o! d& O5 O6 V; n8 D( l: u
0 s, v% j! U& m$ d ]5 o 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
% T% ~. {9 S/ y2 d; N ' d- G& k. W' v) }1 C
& y. k. {1 h; r' k 
" H6 M8 ~, M- X# [0 Q+ A. Y 6 c, k/ I$ i: a$ k7 t
% b! C3 }" K, m 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
; J* l# k- P8 K1 C8 r
% u3 z$ o$ ?8 `6 L5 H) k) u! b
1 D% l( G M; G  ; y; U: s0 Q$ k+ M
! ^! J% p; G! d: [ |+ y2 P
3 R c8 c1 ]0 S v) H% |* Z6 m& M 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。/ h& v | H ?5 I! ?1 f& l
+ k# G1 d, r, y6 e6 r1 L
2 q! R( ] R( X1 s6 g( M0 v. l 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!+ |2 I1 C/ J4 z# C
$ d4 I; D3 u- V6 x$ S
( C* s8 W% z+ `- K9 W
) i) H9 l6 r7 V$ P ; l& w1 Y/ J/ s7 K, C: b
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对