中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

9 m+ F6 H1 q+ ~. S; s) X :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: : N' W1 |# r: g. [# h* n; C5 _

" k' \+ y8 H# h5 C8 b6 z1 Q2 L

: {3 K% z# y" w image-1688134638275.png3 }. O* \) V; S" g" r& T5 L

! }7 ~0 s" f3 ~3 H

; t, b0 P9 D! |. L6 B 然后点vulnerabilities,如图:. K- Z) U% i5 O8 g

- S _9 s# t1 B) O

. [$ X0 _3 f$ t image-1688134671778.png+ H$ p% @( {1 y2 I: M

9 i% w3 s3 S+ V# O' O( T

6 w+ g2 s, s$ D# K; _, m- S1 L SQL injection会看到HTTPS REQUESTS,如图: 6 N V1 y5 M1 ^1 x$ f, Z# }

+ f, a4 B& W( f" Y

4 I$ X* |6 ]8 F image-1688134707928.png8 S' j) w, k# `0 w3 D$ V

! B9 a- z: R+ ]

9 D! B, h0 p4 \) H- Q$ F' O 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-83 ]- h1 b- x+ f# m: Z# k; e8 K1 h. e( r

2 c% ^% `1 g# s8 i& K7 B( r+ F

4 B1 h6 p: } ^5 y+ }& ?( m Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 6 M8 e- `+ o' S4 P2 \

; V( ~* {* Y6 k' |4 {) u: w' H% [

) z/ c2 q- u; A5 ~* w+ t* r/ Z image-1688134982235.png 6 `) w, a7 V8 _7 [( c! O8 z

; ?. ~: o) P8 w9 ?8 H( z# X

. j& D. I* ]2 X+ G* l 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: 9 l, F0 [2 K1 V/ Y

: L7 R3 d& P7 T- k

9 h& Y& S# l# @# Y {7 S' v; N- G image-1688135020220.png7 h* o( S0 z+ G @, H

0 N: f1 J, l: ~8 v

$ i; D4 e* y+ f1 _$ ?& g7 y2 d8 Y image-1688135035822.png6 X8 y, f* r0 ~/ [" `

3 E- D; p4 Y. m3 e7 G; H

8 S0 O' t8 Y5 l4 z1 e! Z$ R: P 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 3 p9 K k# P& X; O0 s9 Z1 W

% ^6 O% K, V$ x* X3 }2 K

0 ~4 t/ C4 r7 n image-1688135070691.png , a! X: b2 d/ M% i

/ w ~$ n" b+ x" a% q9 {

: v Y; y% M- c# S 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: . e! Z' F. x6 Y) D U* |

. |! U4 ]) s& v

. R& b. `* \0 d4 R; F0 s* I: a image-1688135098815.png 0 K, U. z9 [$ j

8 A1 `7 K( _! X' f# r/ x7 E: _

8 f7 l/ V, G3 y" n+ H0 B, G# n0 I) L 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:( ~ ~. R6 I* m2 ]" Y) {

1 i# q4 I5 G& r8 Y: g

, d+ n% p& e) P+ v. z image-1688135130343.png0 ?+ ]* _" O: w( N; j. r% y

) B G' q# R; y* p! s

, v. y- w1 u: w3 @+ B* l% J# ~ 解密admin管理员密码如图: ^) D4 Y+ U) ?9 L

$ a$ o+ n4 v/ E% @0 |6 ^6 s

* t, g. ]- x: k( z image-1688135169380.png i( i2 y$ N9 q

: h9 u! r& b6 p n1 T+ ?* H# Z* d# P- Z

7 s9 A- L+ _0 R- f* A8 V% a) K2 y 然后用自己写了个解密工具,解密结果和在线网站一致 0 I! F- ]" j$ e

; P) U c9 c& U4 v& K

Y4 S4 d0 c6 K8 `# f image-1688135205242.png+ ~! D( ^. {% Q( w d% G# |4 D

+ s# |; m* x+ T) j1 @

; \6 R7 E* B a3 t 解密后的密码为:123mhg,./,登陆如图: & u( G4 L- \7 P7 {: E

6 G9 {2 |( y+ s$ S

- K9 e: {" X/ L- s1 U% O1 B image-1688135235466.png0 _5 w S4 B; y* A0 n1 ]; g/ R

5 @9 v5 {$ _2 o( o4 ^

: G3 U2 d% C! Y1 T 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: 6 V% h" a# ~+ r0 q9 L* J

; `: [9 l/ R! ~/ b

0 D: m) n- b% H) L6 I0 Z& u) n image-1688135263613.png 3 p, S5 Z m4 i

/ _8 X; r0 S* o. P

0 ]7 d* A6 u/ q, y& t image-1688135280746.png5 m, [- J3 }- F. W) |

# F6 K9 y$ m% U5 q

6 k, ?1 z8 K: I: O$ `& M4 v& s 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 3 z& u. f1 t& E. g9 u1 ]0 Z

+ d. M4 B" r7 Z& P5 G* Y

* @8 m0 e* y: I" ^7 _ |# R( u image-1688135310923.png % d& Y9 w) g! m" X. Z

" h; u8 t; w* |& _

: \" g' I( U& a; j; ^+ d5 X 访问webshell如下图:- j; u3 s1 `& P4 W0 O

$ Q0 p3 s+ [, ~

5 H8 i$ E3 G; L8 W3 V& Q7 d; y$ X image-1688135337823.png + }. {" H$ u+ W: u: e

0 i" Y6 q! I d4 N. ~+ s

! P9 i: t0 ~. R6 }' e2 _# p6 v 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:3 K2 }, l2 t2 A4 N& a$ f+ i

3 |6 Q% A- M* C8 x4 \$ z, n( c

2 [; R2 n$ I' w+ ^ f* S image-1688135378253.png ' V+ ~) f) @- K1 Q* `

' i: N+ G5 K2 O

$ v3 H; M7 q% X! H1 u# O 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: 7 \% a' L. d+ ]& T& V' ]& y

% @% W7 L9 q5 b/ E

" H- p' r& r9 ~1 t image-1688135422642.png / N0 D7 O; n6 G/ t2 f! ~1 t

- q" z# o6 A, p2 E3 l3 F

4 F3 o- y+ b3 Y0 Z 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:. N# ?! L6 k' F* {6 w) X& i

+ ]: n. x- Q7 ^/ n5 ^: X! `

. C8 Q! R6 m- X$ ?' G image-1688135462339.png0 l; @7 A( k8 R5 g- D

( Y: N! d! \" }

% u! j- x1 q4 X3 Y! C' b; Z 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389. d1 k1 R$ z U* a$ S& C$ G

3 {. N! o& |4 D, R$ o; F* }' G

" Q! u6 j) r( }2 [7 `1 q 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! + L' j4 H9 @( {( `- D M) v$ y9 O- v

: s% V+ f$ G3 q8 C; ] b. [4 a @

. O/ u" J* @' q3 z1 X8 I   ?) W# y$ c2 m" `2 ]3 i; w

' H1 J2 C* O2 A: Y L9 Z5 P



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2