9 S, @! z g6 ?+ ^
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:/ q" O2 m6 g9 c/ z6 v
# I$ X# d9 J# K) K6 g* m5 Q$ R3 C/ D8 F$ q( y5 b
0 E2 q3 e) d5 T- r2 I
7 e3 t% U9 r9 R( e! P k' t( b
4 c7 N4 v% E. W' i- o 然后点vulnerabilities,如图:/ }+ T) O/ l4 k$ R* B8 s
1 i# a1 j9 D7 U0 S, u& v- g; s
@% W2 t7 o. ^. K
/ E8 A# p6 n( ~; P3 |5 x3 b : e/ U1 e* _! g# i; ~% Y
2 F& D' B; }+ Y- L4 d) J
点SQL injection会看到HTTPS REQUESTS,如图:
1 {8 R. i4 I( c. W* l
0 a0 L: R U8 W" v* m, J
; Q" ~% R. E4 \* S- N, i- k6 ? ] b$ `7 p. A9 l; W0 R4 I) U3 {
6 R% b( V7 b, @0 v4 U* q" g! F& _
! F' g8 c6 M7 P+ f+ l
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
; L, x0 V: k. D
8 f m# a5 w5 R4 }6 G8 L- G& n& _) y$ h- G6 [" H3 \
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
/ k0 i/ S9 M9 k3 ^' i
6 g" J8 Z' C) G" j, C6 c
7 v" B4 r! o4 z! w% S& ~
) z) i2 ^- _ ?5 _- p1 T1 K5 K% p n 7 |$ w. l4 W8 s( C1 v8 Y
! M+ |1 F' a# f, _, K
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:( @( T9 ~: ]8 \+ @) p# i
" f) i8 g9 Y$ P3 ?2 U( C
! S4 j+ R) k0 Z. y
& R" c; E# Q% `" [, X9 F% h8 ?# g 7 O" I/ }0 I, K. V5 ]4 j W
/ ~+ ^& O5 f, N8 j% H2 z- \/ P' T 8 X8 l! i4 g* H. h9 Y. B
" k: P- N2 D% }. E
# y$ ]- w: t1 U% t4 s 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
& X% E7 A# \. \ e9 C
$ j \8 r' y4 A8 N. ^
8 H# U1 d' `+ K2 ]
, H4 _ y3 n9 p5 @; n( p 7 l$ ?1 p0 C# g. \; s: C7 z) ?) L
4 |* [" G9 `; Y9 e$ x, Q) y
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
. v, Z- u% @5 r5 F+ l! I0 _ 1 ~% Z+ v8 V A y
/ \% D" e y5 u. r5 n
* D' E9 V; W6 S) y
c/ t: s6 V8 I: G+ Y2 p
+ f! T* t: |' [4 V 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:) ^* D$ Q2 m6 _8 m5 j: L z6 V4 D
' m8 R. J" w: U* c. F3 |
; P" A5 Q6 q6 g/ u6 | ; y5 |7 C. Q1 Q# l$ u
8 T% i% Z& B- N- K& e: u4 F
7 Z: F e% `' F4 o! k 解密admin管理员密码如图:& ?3 m5 \( k) t5 V
7 V5 L& @; V. S" a* Y
8 n3 m, k- j. h- p+ d) J: S& x- E3 q2 N 3 J0 y) m2 b! K C1 @! O* e
q1 ?- @. ~: ?0 M' V& J
! v$ D* o9 s F- f- i" m7 g* L1 _
然后用自己写了个解密工具,解密结果和在线网站一致$ e4 \- `: m o# W# b- ~
) N" Q D, x8 b( H4 k
7 c0 \* K/ M- @) C6 [* o0 F
' p- o3 B) L$ ~+ ^
9 e X: R$ |- T3 i' ^& n- @: A" v2 @$ Q! d
解密后的密码为:123mhg,./,登陆如图:
9 i* u, S. ~- t; V
; e$ j+ t/ e! p" S% f: V) e) v+ ^% P% [! y6 x7 C
/ ]) @5 _* p2 ?' P/ @* n
# S/ \ j2 J( c: U( a- k9 i4 f% K* b" h% b# l( j% m
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
+ {6 D& T; o( j 1 S* L3 V) b' f. W A/ I" |+ \
7 L8 L, p* A) v* m - O; C* g0 Y* g$ `( `4 G: K" Q. L
% X+ `3 }8 O0 b
* N, |% v# C3 ~% k
' u) D# m3 C8 K. [ ! u5 m$ J- Q8 r0 L" l R
# Y6 q! ]+ a. T' |8 [' E R
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:( c' F+ o, l% ]. g* `
6 c$ d, F) z$ E" f
+ F5 H3 E/ P" q0 q- {
* Q6 J6 [ c) Z' E0 o7 T' q6 r( @ & I* ]0 d# a& x5 q! a" Z) N4 ~* `
6 A6 A. W: e1 z% S8 g
访问webshell如下图:& d! u9 t2 K* p
1 m9 e4 E* o x9 q7 }9 A
, d* Z8 e4 l d7 {+ J
2 Z7 j( N+ ]! b0 k6 F7 K) k$ ]0 [
$ p. m' V* w6 o1 h+ S4 P6 C! _0 v3 m- `& |; Q0 M! \( @8 L1 S
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:: @$ ]3 A6 }0 i9 b: h
0 N5 i" x1 D" A/ F# h
8 e) E8 @ a; Z( i, r8 E
" U1 n; N. B, k t2 b0 E+ o5 d% w' f
/ j" I6 K+ j1 p8 O( r. v! u, d0 | Z9 b" j- _) D
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:% o. P. b4 {+ {
8 C6 j9 U, x b3 o2 H7 d! G3 }( Z
* w* Z/ y3 u: d. t+ @' W9 M
3 s Q9 p. [5 |7 o0 I! N! j, U
" T) C7 o4 V9 v8 x- i, t- h' Y- s
" _) k3 j: A2 j s# ^2 u 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:2 v% o# Q$ k: V3 I& N
5 i' I8 [* F: R2 N+ U
6 ~1 I9 b+ E" F# ^# g ' S+ e0 V6 m* |# S# F( N; m" C
* T/ X5 j% d: l) \8 T8 h) h% {/ Q: @% _) v9 I
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 U3 f# R7 A$ o2 w! T$ _2 @: F
0 K% k1 I* l. W7 W% `6 R9 Q* j8 T% N: J4 w
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
* X: p; Y% {, D- m$ Q1 G* f1 y
# l) S# M4 \! a" o
6 i# A% X1 [' b) u- Z $ Q2 C: T6 N/ z7 u: l8 k' Q
/ _- B6 Y4 l9 c% ^
|