/ m0 M) r" r% v- l$ a# m8 U8 o 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
& [( h H. @) P" D: k! ]
+ b4 r5 u9 q# B$ |( N
4 ~( y4 R3 b6 b7 T
j0 _/ z$ i) c+ Z1 t. ~3 s$ A + ^' u$ X, W4 D% y
5 q7 k$ R, o! { b q: O 然后点vulnerabilities,如图:
6 x" q) s% z% u. Q7 W; W
: d4 K `( ]$ a) g3 L" n8 g
. ~' Q9 i' U9 i* [. w5 h$ n
% k) u" q$ q: A* f) k# y* ^' J! G
0 E& @) P5 V8 s1 Q( q8 f
& h% c; }( e% H0 d j K( o$ c" x 点SQL injection会看到HTTPS REQUESTS,如图:
$ y6 c: ?# ~) S. h* O
5 z# L- Y4 E& a; l2 J' u; G1 z: q3 h$ H
1 o9 v; H* j9 n- @) {( |4 b
+ s& U$ T. l% a5 m
# }# n1 j! {& {) ?- @( _ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8* K `& V: ~: b8 R' f3 y
' N* g Z6 \" B2 u0 q
6 v: x5 W/ j3 m8 x4 d Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
& l. o; z+ Z$ W
5 h* ?& h# {: H" \" m8 _2 L# }. y
/ F* u& B7 ~* i: b& `0 n! [
6 O3 ], {" W$ |1 B* A. d; r
. i2 k8 h$ B% X0 S6 F; n! @1 M5 `: X6 f) S' \" E& d2 \
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
. p* ?7 [: v- N# {/ Q, W v) _ 3 C, H6 h) v6 K. B- Q+ u) \# _6 g
6 O( X5 w' d8 ?0 u* Y 6 F4 n C! W. m6 U; q
: H5 H& |' ~ E/ V0 w& j0 q, D0 F( z7 Z
1 y6 H7 ~6 W: O) `
6 g# F# Q5 R3 G% |/ S6 Z ? 8 _) K( [) e8 V/ m6 M
% X) i+ A, l D/ z 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
) k5 C$ i% u' M; M" U V. e9 z, F" D- Z3 T0 q0 X" [
0 [) [( _/ Y9 q$ ? E _7 u* j
% c; z" S' e* r" x/ z( L * C0 Q9 c+ x: Q. e
$ |1 M8 O' H* ^2 e 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
; j9 E, P0 W% U- W ^7 d; F$ ~7 g
/ E# s! T& S) }8 d) v7 S Z. B
: G5 L; m4 Z p" s$ q
) K+ y$ ~& f4 h$ S `
0 i/ S9 d& l" d/ n9 k6 M# a/ J1 H$ V: [4 {; p" W: Z/ N$ a
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
" K1 f7 |( X- @
# R; W. d+ {3 ]" c
- K% I7 @6 W4 K s4 n0 f- o4 K & u7 P" Z* [+ Z5 J
$ `" V! y7 f, d4 s+ _6 R$ x7 Q* U1 o' H8 N# _8 w
解密admin管理员密码如图:8 B! U! H8 w- p% H5 w" N' b
* P) y# G {( a; L
$ Y0 x5 O" Y% w% ^ 6 l# e8 a# I! X) ~4 W
; v" T. c6 f% |0 V: }& ^7 Q
7 P" h9 y! [4 g# ]. f1 e8 p 然后用自己写了个解密工具,解密结果和在线网站一致5 v' }1 p$ K2 ?
+ X4 l4 |# K. N# E8 d' c% g! w) ]$ L+ V. P7 n% ~3 k; y
6 S) Y: \' f' c7 B2 w % |# Q" }( g) G% r
, C9 [6 O6 R9 T9 Q7 h: ^3 q. ?) ~
解密后的密码为:123mhg,./,登陆如图:
- H5 [" t; L' M k5 r; y # l9 p0 M, J" V8 ~9 Q+ H( O7 B
. L7 N6 d1 C2 a4 @+ y+ r& s3 ]
% }+ S# B' {, ^& G3 M5 C
% x( ?4 a' @& E. j- G" I
$ |0 d+ D) t7 r 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: `: \ a0 K1 J) t7 ^5 M! R
* ~$ h8 h9 {8 q- h
/ w3 I4 J2 v7 o [ A" E
! K% I0 L% R; H- W5 J
1 q Y" d6 C% o. l
. w. u) x3 D, a8 q) O! ^* j3 X / r0 l( E, T, \, t8 ?3 Z2 v
& T( ^ S" c* W1 n
" Q7 \7 j0 f0 F" e( F 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
$ O, P( ]/ E) |6 e2 q% m M- V 7 }, U: g( l$ r, V# c- e
5 k: d5 |. R: K$ T9 ]! `
$ y+ U, b5 \1 k) C* S! Y. o0 W
0 N" \- m5 X7 M5 Q2 C( [) E& O
- h' L: q5 T0 O" s& G 访问webshell如下图:% O/ P+ s5 b3 w$ y) s% O
: `! B4 D2 l @8 C% g3 W# o8 ^
* B: n5 ~, _! w! U- e+ d
9 u/ W# ]! Z+ H$ x! n
7 N4 h7 C; ]8 A) Z' k' b. w
9 ^9 | Z, ^8 Q8 L7 e 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:: N A' r: Y4 X
& @7 L8 z9 T! [8 D4 n3 K
7 t2 F+ i- [$ U/ ^ ; D& v6 Z. @% w/ j6 f% j* W
8 U: [0 F( C, d
& s. z# X& t2 a
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
! V( b9 Q% _+ i+ l% n
" A. m% N$ K% `, m1 Q, G' }7 T2 Q8 p
+ Y$ y' f3 {* M
$ }" K% G: b9 s& Q7 S
* C+ J0 _/ G6 E' Q+ k 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:7 `7 W% \" f: }: i* E* R( Z0 J4 c
8 R2 S6 f8 F, U! Y6 Q% R! L& ~
% b7 k1 G$ L T! Y
! h0 l/ E4 p/ E6 m2 b; T& _
+ h' E$ f: E* p+ G' A2 u! H6 J7 G- {8 \/ {5 i& u4 k6 o
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
( t# h/ [5 k! o6 b6 G( }# U4 U
0 _% C1 _, O7 \: L3 N! K3 Y; d) r7 ]( N. }
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
8 \8 H+ l# r: k' }& _# X( D
_5 T& t8 h- j ]" I9 }) b
7 _# J1 C {3 [- T7 N: V 9 ~# r8 A" j' o$ R' [8 d
: v J" Y- a H7 r' D+ q$ b |