) C' a, p4 P/ S4 H8 c& u7 O a: L 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
! P- X1 B L% ], l6 [2 A# [6 P* F
. S% T7 A/ T2 R- m3 I# A0 A
: D. F& N: p: a4 Y1 ?
2 `+ u B4 ~. I% q) q5 L! p; ]
# {! @' a; v; p+ d0 P& K* p( x4 j" {7 \* m
然后点vulnerabilities,如图:" P( v" Q( A1 `% ?; [
9 Q8 H3 P/ ]* W
5 V* A; M8 V* O" |2 m
2 j1 G/ j' w3 f " o6 D0 C2 n2 p& i+ e
/ ?8 G4 k5 k' j 点SQL injection会看到HTTPS REQUESTS,如图:
+ y8 j5 W2 f9 g: r! H
! R) [& c" ~+ a* o
8 Z( m, `2 t D- [
! W6 z# k4 V; `5 ?; K/ M! C 9 ~1 k/ @5 C. f% P" p: s/ h
2 x. P9 b# g4 i3 `
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
4 n y1 p( L6 b. s; o 7 q% ?( I& u, r! q, M. P
8 \9 i( ~ o, o* S# B
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
8 U8 {4 R0 E9 ?, J
" g) g2 s% [0 w; H/ `& v `8 F' k( `1 q: b7 B# B( K
/ m* d* a. y2 e" v* z6 z
. y! ]3 f J0 c, _) \8 n& Y+ h! W8 j g5 E! x( H
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
* m9 @0 T4 _1 m* Q5 b9 E6 ? + n4 v+ W5 S, T; ^% D# p
' c; _0 m4 ?) H; A" H 3 B1 N5 p0 i$ S y6 {
6 C6 p* b1 H7 f7 V! ^
6 r& _" {. z+ j, G' ]- p
; f- B) {2 v4 @2 A G) }
9 d; S& W1 X3 n: }* |4 R7 N. W: b {4 T
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:" g- h' n" v7 U! k' d6 c
/ [2 W& Z' s( e4 G$ R; h" a/ o
8 i$ i/ P3 |7 e5 ^( @ 8 ^+ u1 [# c: a6 `
" `2 X! O: {! h3 j: _
9 ]3 P& Q- j+ r2 T
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
4 q9 j$ Y/ B$ o% X9 v 8 L4 I7 `+ @: a; T" ~' ^" P8 B* ~
! l" J K! x$ {
: N0 ?3 F0 O) G* C2 V& A
5 `2 f: k( O E; [* j v q9 p
q$ l* |/ B, Q8 T) s+ s 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
2 L7 D$ l0 |/ F' \( H & j- p% H& Q1 J
. O, d0 k' w8 l& l$ f) A$ ]
7 a* ~- Z& H$ x2 f8 d& F( o
5 y- H7 u9 l5 x0 L: ]: [; b
+ W' N* Z$ V, c! A
解密admin管理员密码如图:' D9 p3 t4 X6 F6 D* P6 W5 w
: f: O o% r# @" b+ X9 U5 l* H
) m5 Y0 P( K' H: d; P$ W% Y
2 f0 O) X7 ~& W' U7 m: H9 q% \# j9 t6 P5 w
然后用自己写了个解密工具,解密结果和在线网站一致
7 B, g, ? x( I, k% g, W: }* B
) o! a" v! {8 b3 x; b, ]- _2 T' \! Z1 N- V
& e/ w1 A0 {1 {* _) B
8 o, q- z/ l7 @ A; s) r5 S& m3 ^
; }3 B- G" o2 C$ ^6 c/ G/ y' \ 解密后的密码为:123mhg,./,登陆如图:1 J% I& U: x! A! R M1 G O0 B
; B. l. C) k$ h: f0 O
5 J! o" _ u+ n* [
4 O7 ^ V ?9 N
% X4 V$ w7 O* k) D4 L$ q" o/ B- E8 |- L- |: [ N" ]6 r% t
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:- ^" O. p- U7 G( X- b' X
- J, p8 P: ^* d N0 k* ~6 ^! |) {+ k" @9 a) z
: \: \; N7 G, E9 {1 K - y7 ?" K' t% B) a. \$ C
7 u; o$ t; U1 P G
: ?1 k" l: e5 S
0 ]. h/ ?/ M* Y& r9 [; |* ~2 t% G
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图: F, `6 z+ {7 G0 ?4 [
3 a& \9 F7 p* J, g' v
7 n- U" R# g* b- p! A* ?5 n
! }0 s d7 e8 q o; g' G9 N
( b' R% ^9 y# _
# c( ^" A* n5 g, ] s. ? 访问webshell如下图:
) T/ c( V$ |+ ~$ p2 {1 ^8 b7 ~ s , R& O: C% b2 H) A l
5 `+ {: v8 D% n# P 8 \6 U: `( h4 ^$ x" g
; ?8 n# N! |. x9 ~; a1 [% Q- H, }1 a6 {0 d, c2 n" r A
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
# V9 ]# K5 D0 Y- T ' A0 I) a: j" ~6 B
1 P5 _) ?1 F! w Z9 D
! s3 _2 M) C5 U: ^ m6 B' X
- i" C" ~$ e3 a9 I
5 E2 u/ q/ f% Q, |0 [3 \ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ L+ ~1 s) z) A) f& U1 M, @+ ^
( l" h2 w: X: R `
1 f m4 }2 B* x4 |) c# }" q. p1 M2 g; @
/ v, e. v6 Y+ w8 R
0 w$ w1 F4 C4 _6 {6 Q$ A: E3 ^+ t. _& O6 D
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
; q+ z1 Z2 a! a4 ?9 j; Q / y6 m2 b2 A; u4 q/ t
; X9 l& q5 @* E$ k
6 {& e* z" y' F1 e
. b; r8 {9 m4 J1 K H& M4 W* B3 o+ O7 T( x5 s( z
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
4 N4 E `; S" U* E% L2 ~/ L G3 q8 U. t* F ]: _+ H: K
Z0 }9 P W& I5 K 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!0 I- B5 z3 C/ s4 R" }- B6 f
1 ^% G9 Y% H+ r: P6 l6 I7 @ p
+ ~$ S/ r" q4 Z
2 c% d; S0 z, M) ?7 S# p& m# X3 f+ F & M0 Z* w, T# a) v0 i4 O" t
|