& u: r2 T, e9 @$ A" F 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:+ C+ `: _: b8 `# t* a( ?8 C
* {) {3 q- z1 ]3 P( \
) h/ P0 b6 Y% q$ \" A
' F( T9 P; w. T5 m: x y # e' E# q# d6 |2 X% Y
* K* q% B1 Y( S- U9 a
然后点vulnerabilities,如图:
. d M1 J8 a) c* F+ |1 r( X. @* r 7 E) c. R$ u' n; l
" C0 Y4 k) k. J4 T% n. t u
( K9 U* \* \% @! a1 C7 E3 a/ H) j 7 d; ]6 Y* y* q/ p
8 R* O( n+ F2 a 点SQL injection会看到HTTPS REQUESTS,如图:/ X' R1 i' W3 {" `) e
+ e! S/ J; ^* u( x' w
* G9 `2 }& W7 o' }4 E0 }0 s2 }6 G
7 m! c& v8 H" q6 J 9 ^& u: Z$ Q6 V* B) o8 E+ e$ L8 j
2 x5 m" J/ I) r) P 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8& s! \. T) @0 r; x& R
2 |$ E% Z% p. W- j; s/ ^& q
, [% ]8 s$ T8 d Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:6 s" O$ c$ z! P2 ~( Z5 q/ f
" J: e+ K6 t) `9 L! `2 x- o, j m: S) w& K, r% V
% U9 x$ B! R2 c$ z" Q' M. b 6 `3 V- Y1 O/ ^' L$ i4 e+ v8 r
& |; y& D) b/ K+ V% B 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
* w' ^/ p, q, T ` ' x8 P& F: b) ?/ s5 F( @" ]. P
6 E! L% G5 f4 V
' u: k" \4 O; T' z+ U6 r
+ e3 z0 `& a' j; _' b
* v$ I% m1 X: b . b5 n( ?% d, X ~
7 p% h; s: K7 q* |: o* G
$ l4 C# [5 n; H 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
* q2 D5 H7 o* p1 n : `/ Y) G) q7 ^ C3 g
) k+ _% b7 _% o* o; c( a
- u# E. s4 @+ A
! D4 S/ y& t( ^, P$ Q4 @: E" }8 Z0 z
" n6 `9 C: M+ T1 Q6 } 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
/ O! G2 E; L' c& R* @ d7 D ( y9 ~2 d0 q C8 O% ] A5 |0 z
/ y* o3 r: e+ x2 V* e0 h+ k& L+ ` ! a0 b9 c k, v
) Z0 U, k& k. T9 g9 r
" H3 K: y! }% Q l _/ k7 b
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:! ^4 C I+ i& n5 {: o9 R: o
* a6 D+ N2 d0 x/ p/ c! C* k- a! L! \# q3 k) P' v& o
, s* q3 c1 Q2 ]; I' B- W0 S& O # T+ T8 e% i" v' ?4 D( f" ^- B
1 V; l8 b0 o% g6 K4 e. h2 ?' S 解密admin管理员密码如图:1 J$ Q7 P! o5 Q
( k7 W5 r3 i# j# \! O! w! q- p$ x0 A F; u+ c
; S( D* K- _& v3 L# L
) N; H7 p g' g2 n" Q
1 D% b, t- p. p. T/ K 然后用自己写了个解密工具,解密结果和在线网站一致+ t2 v; R& g7 V, s O0 @* C4 z
) N1 i3 i$ _: g ^+ S
0 J2 t: X! \% A4 c7 @
( W# t7 K _+ m4 M
4 ]: X! e% t4 d1 X/ u: Y0 c2 u7 D" ~5 Z5 Y
解密后的密码为:123mhg,./,登陆如图:1 P' U7 y: g6 H# t K6 I& m( w4 w* [
2 ]" W9 L4 @* M3 |; h1 c8 R4 e
2 r2 o1 m1 {* K. r! I( O3 w0 Z
- A% y3 w, E; L* H! Z+ n( Z- L: ?! q
% R6 d( f { [
0 Q6 T% c8 ~7 |' f* M; [ 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
9 M, o$ m, ?- c! G0 J: J
O) q, n' u I; X# \( I1 K6 i6 [( y6 G: \. F7 o7 S( n
; o z7 G: q, a( b6 [) X
% L' I: m& r# G! r3 A8 C" T5 F0 y: N3 m$ E" [6 Z" S+ O
. {3 L; R S. N A( G9 ~: D
- m, r; y2 Z7 H+ G" x5 D3 G' A+ `9 [( t) }9 D4 u& ]
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
& O& E, @5 ?9 o) y
( N5 d1 y4 u9 N7 O; F/ S2 E4 H
7 b$ s# _" i6 W% V
1 G7 O* @% N3 M# X D8 [! _
- N$ H8 } ^# @" n
访问webshell如下图:- |2 \8 t, ~( Y {9 |
( L5 ?, n. l m3 ?/ r
* g9 @6 R8 m3 V z1 E( l- h
0 p) r( ^- d! q4 w* A' Q; w+ @, U
5 o6 d! {+ Z( j8 `! J* ]9 {* ^( Z! H4 N
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:% M- j S0 g3 s2 A
" k& F a) z1 S" r% _# {
5 _& p1 G% Y+ q. H3 B( _! G3 Z- J9 W
: A* M5 a4 }- T6 d
( B \+ I4 V6 X7 j9 G& G5 A# K5 X) ~9 X1 h, o! a( {
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ S& ^1 J# E* |, J) J+ y
" I0 z* d* {, S% t/ n& r' Y
/ }+ n G3 B. K6 I
' M( l- h5 `( u( w% F$ f + r8 ]% U$ w& S7 u& S- L
" j5 X! w8 U, j4 b 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
4 ~; v3 F) j4 Y9 X
3 T8 h1 H+ R: J8 `
: e4 |' B' j6 f! }8 X& l
' S; Q2 E. [2 U 8 r. l; l* t: ~& G1 g `* Y( h" ~
9 F" g" H }4 J3 {! S W" k0 ~8 ~0 z
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
7 }5 h6 b4 C1 i1 w9 k
j0 |+ @" a8 b) B
E& j& d* ], I: L! h6 { 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
0 F* r- n7 V+ y
, J7 b8 A0 K, @) C. c5 r6 V2 ?( s# j' a
! k4 D0 ?8 X( b% w$ Y0 V) N0 e& p
/ y% n3 e- u9 N$ Q* i* q |