|
8 \, M+ e+ ^$ r" U$ n. Z, h0 C" T/ o 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:$ m5 s' r7 ^4 P6 {
$ x' k6 |0 v' L- @$ F
' A+ t2 M* b- P) x. C! z1 o& I9 ]  7 Q$ ]6 _6 I9 ]
4 `0 u9 G9 z, p7 m; R
, d0 J. A+ e* T: @' u$ B
然后点vulnerabilities,如图:( x! G( T, ~4 Y+ [3 X8 A
5 @& i7 m- Z( y/ z
, X. H5 E- x, P% Z4 O4 ?0 | 
6 P+ M3 c' M! q" X0 @1 p , E1 J6 Q. a+ Q: s1 l
0 N' u4 J* A" i, ]+ n% m
点SQL injection会看到HTTPS REQUESTS,如图:
8 d& F6 x, _5 W7 q% x7 v% i8 b
8 Y2 n- _, L0 D2 l+ W% _4 z4 t$ b( M& _( q
 " @+ V, g$ v) Y1 g. j
0 y* |+ G- b2 c7 h6 k& H" |* D+ V+ ]4 M. j( S) B6 d7 J4 n
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
2 n8 X% H; J6 L y ! ?% {9 c* x" W3 T
: T v' m; r3 O$ h; I
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
0 q& [+ g( \" {# `
* s6 [7 f3 U: d2 u$ d; L5 Y, X4 ~/ r8 D) d0 T$ a5 C) o
: ~9 W7 ]" C f, T6 @* W$ d% T# T% C
& a1 C$ j; k7 G# q
% Y" }% ?) v. P$ t4 e% O" b 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
) O4 ~; v3 Z& w/ o3 j. g z4 {. z. x. k5 ~1 k% u
2 `& b7 Q1 K6 o( q 
$ P6 J* z! ]' Z% u
! s% w* w( z4 R2 k, [. ?- Y/ k+ r, d- B4 Y
 * s$ @+ y7 I3 u- ]
6 j" q+ L" z9 u* F' p
( z& |/ H' \. c4 m 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
3 B" }( |4 ^' ? V/ F) C9 T+ \
; [2 S/ U3 |; M7 g: E1 h0 d7 ~0 H Q4 @4 z# R. x( _3 L* r# T
 0 F; H9 e* j. ^; a% _" _5 v) T
$ q& s; t8 d' o& u0 g# B9 f4 r# i* Q0 r; j0 y
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:0 n$ T+ Z: ]' b0 \7 X9 |! d
" D- U# B7 X' g' A: Q8 v3 W4 r
9 ^$ ?! a+ q3 Q* i2 g5 |* k8 L$ m6 K  ; ~( p3 J7 V) @! u
% q4 b1 S% r( F
! F4 O3 K# {+ {! r; ]. R4 E3 v
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:, f! x# h2 N* k8 U
, k( M0 u7 G* n8 f% |
# A8 E/ Q0 _, R; e/ x  : F5 V v/ M1 Q3 q/ a8 a% ?! k# d
/ d9 ` r! h. i& i" g! s4 G
( d: ]: M. h8 b) X6 k; ] 解密admin管理员密码如图:* g( P+ e- \8 B! o& f( x
* o3 @) |7 `) v8 y
$ i4 j: n$ X% _5 U5 @* q/ M: X
2 H9 Z& x4 ?; }- f3 J/ E& P % H* X. S/ j% Y6 T
) L( k1 Q5 O5 K9 Y; o 然后用自己写了个解密工具,解密结果和在线网站一致
& e6 B! Y8 q! n: Y
& n: X1 V! R0 [6 [* Z% b1 T! C5 P# j# g$ N5 @2 c0 h" @
 " m4 x5 p* B: p) w0 _
7 P e' {( \2 F2 }4 H( v, N- @+ _7 d
解密后的密码为:123mhg,./,登陆如图:# P' e6 J7 S9 l: \: S: E+ b
1 z$ a& x4 p, j5 E$ i R1 l, J; i, j9 m, L" b+ _+ c
 ; P6 |# ~+ X0 i$ t! d+ q# f' V
2 b/ g9 b7 a/ U0 |& m3 C+ q& j$ J/ c* S. X, i; u/ @+ A3 H$ J
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
( N0 o$ D7 @; v! T$ j 0 _' E2 S+ d9 I/ @4 ~6 D& u
& c5 |: ^, q4 z- \: S7 _1 }% n  - e- R7 x) P' T0 W# v
/ Z8 I5 T6 C4 l3 N3 W
& M$ [: R5 u, {3 o) [ 
+ p0 j6 P: b( r. D$ z) z4 s4 p 6 @' F9 O" A0 D1 E! q o6 r0 |) j
5 b0 S H. ^/ d$ _/ J1 w 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
6 s9 T! v% t/ H1 u/ |9 h: u
' U/ w6 z1 S8 J7 K% a( L6 z4 O* f
 ! H2 w n1 K& M8 |+ m! `
8 Y" }% C, f0 W; N o& \8 _
* K/ {+ I: d$ N* l+ O! b/ I 访问webshell如下图:; `5 ^2 f4 Y/ a
9 G; U& [" d- ?6 h1 H1 F
. W5 n# s& Y8 @. P' d  ! Y, `; k5 E/ w
) M5 l4 E- m O' }) M5 S& @
0 z' b1 D4 v( t; w( j& V4 f 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:, e! Y6 W( S \ y1 M# q
" t ^4 V1 B& k. ^
) e* U& E8 N: V9 R% X, y% ^7 U
9 w8 Z* G9 M; S0 w( l6 P5 m: d1 q2 ^
! @% t' q* g: K' `: m8 k, y* C S5 z
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:6 A$ ~* }$ C# _* G/ t& d
- m5 D6 q/ U" U/ z0 K8 n- ^( {! d5 J
 # s' ^6 H- {; f& I
; n6 o* }, Y% D
' ?( M! n% M% R7 F, f2 o! Y 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:" e: Z- T3 n+ d e4 H. P
0 ?' }- r( y/ M) L. a
: J9 @6 I! @0 Q* K7 b  % f) A# T4 x! M) Y5 r' W, F
: Z! D6 ?' y% {; z, t& J/ _
- v* |/ ~! o7 F; o( H4 ] 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。9 t* S1 @+ `/ ?
9 c- u5 U9 V2 m( {( j% V
. K+ U7 F4 \- r) e. \3 H& k+ H5 \
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
+ l( \+ u& k. J# J; Q% Q 1 r1 `( s8 L! \6 D) u8 W
" h1 C: d3 Y7 n$ r# i6 O# w 9 D8 F/ x- h$ m0 {6 T
7 V# a& c- q( Q3 E0 S* n' m1 u
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对