中国网络渗透测试联盟

标题: 原创-web渗透测试实战大杂烩 [打印本页]
作者: admin    时间: 2023-11-28 20:23
标题: 原创-web渗透测试实战大杂烩

2 H4 t, V3 }" U3 w :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: 8 Y; Y7 b, d6 p3 C# |

% T2 A, T) v; I( T. r

( Y4 D2 @. B9 R. c8 G; D, P% U1 e image-1688134638275.png# _9 @- X$ Y) p# ?& N# M" z1 O0 D7 x

q; @: |! p) b2 q

; o n( E. x4 g, q ? 然后点vulnerabilities,如图:: S. F3 \; Z3 {- O# K* }+ `

4 i0 R0 n% o/ J. J

5 r c7 Z& u0 X image-1688134671778.png ; I Y- e0 C( B& L0 z5 F1 M4 G) h

4 n9 _' u* m4 Z( W2 m

. W8 J* ?5 l/ M SQL injection会看到HTTPS REQUESTS,如图:* r3 |0 N1 b/ c8 ?2 n) e; N5 f

! u. B1 g: G. X+ Z

2 i; B& k) r9 V, w image-1688134707928.png6 s! S$ F: g$ P- A' h" t/ [6 j8 E

, `6 S3 _5 @. e- p# ]5 W6 e$ g3 u4 R

: j, W& J9 Z' L1 q. V. V5 Q, A 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 ' m& ^9 l( U4 c: L' O; g, J& D

' B0 ]0 f) @0 }) `. T0 b8 E

4 b5 |- }' {' F) U/ @9 r Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: ( I4 s; {; h' M2 B4 v1 D

' j; }0 N; |" h/ ]( U2 p0 J

l" r$ G- X) c% l# U8 G+ F7 } image-1688134982235.png $ P; G& a/ H+ Y8 r) e- L7 ~: k

9 |3 R$ t" b* s- P8 l9 x& t

/ p ]6 q% m" A2 p 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:# C" k" T) ^+ u$ ~

% u- l: A* N, d* O! Z: Z

3 C1 j4 O# E* X8 d, g* y: F: } image-1688135020220.png 7 f0 g( K8 n6 Q; q! \

9 @( ?; X" y- d, u+ j3 h9 T6 P& n

5 E9 v. r' o0 K+ a& w5 ? image-1688135035822.png ( p3 H2 R1 [9 j# y. D

/ [ M8 g: F# s$ s

* h' E4 a7 b9 W( D 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: 7 G3 E8 j5 Z* F, Z+ l

2 n; f( Z- }' @

: i$ f: ^7 O! d image-1688135070691.png 6 O$ c9 e4 T, Q- w5 P( m4 p3 L

$ [) Z9 @0 v9 g2 P& b

8 ~, L0 b ^: f5 o8 I* P 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: $ p. c9 k) U. N+ I8 R

! g( | h" P% G

2 `# ]1 s, r+ S9 Q% t image-1688135098815.png A4 t3 B6 ]( V- T- E$ p/ H

4 p' C3 o; l; }' M! A

, g' }6 m2 u: A 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:$ N! _; l7 j y$ r

0 b* U J9 {; Y, I9 l

9 v% g* e: T; h( O5 | image-1688135130343.png" b1 x3 \' \+ u4 B G. }* v

9 ?! ?! m3 s" V: a

+ Z9 R2 b* V; n! [6 Y 解密admin管理员密码如图: 0 {" q& p9 }) o1 |

( E+ D+ E+ C7 Q( ]( g

, l u' o" C: i/ y/ j9 W, ^" T image-1688135169380.png4 W9 ^5 v- V5 L6 t

3 l; m8 f# \* _1 m2 l

: M: | J( x* j/ i! q' X1 f; r 然后用自己写了个解密工具,解密结果和在线网站一致- h+ {: |2 k9 x2 I' m" K% g

: o5 B1 ], @* ]# t6 h

9 I: A1 Z% C- T7 f& ^+ x. z: f image-1688135205242.png 7 K! r/ z4 p6 g3 M7 `' E$ `

0 T& |$ n+ w+ j6 c" i- ~

$ Q- B" g4 t" [1 d2 I) z' W2 ]. L 解密后的密码为:123mhg,./,登陆如图: : M' L# ?$ L: x& J7 p- a$ _6 n$ [

* l5 c# M* o! Q$ Q6 d4 O/ o

% @# f) i* t" n* V0 B image-1688135235466.png , H. X6 d$ l) F3 X

" d# K2 B. Y2 z* w# Z

( @$ Y3 b2 U, Q7 Z9 l; F, x4 [; v+ c 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: $ i7 \+ b2 l# ]

% c# j5 n5 b( u3 i& j

6 u% G: T! S6 k! F! P image-1688135263613.png! T$ d: L; [! q7 z* |( h( z

0 T! V; K7 r$ H2 g3 G% e% K

( ~. `$ R N% e: z- l# l image-1688135280746.png * X8 O3 ]$ V( ^

" {6 T2 c6 Q* V

$ `$ Q: W' @1 d2 A/ W8 H' D8 K 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 6 Q- W# V% N& _& u% s" Q4 [$ d; K

$ m4 ]. R, R: p( i

; [, w7 N4 e" ?/ Q1 Q& S/ [ image-1688135310923.png' K+ P8 d& @; n* I

& ]4 g- A; ^+ O$ K; b

c; S5 t k! C" W. |) w/ ` 访问webshell如下图:( [; t' D* u4 m4 ?$ v4 x& D" I2 T

: _* U% _4 M! A

- b" i h c! y8 T2 X* N v$ U image-1688135337823.png+ Z6 f+ f- g; o" x: ` t

4 s; r7 M" ~: _, }4 A

% P! G6 Q( P- T, A" U$ x, I 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 2 a/ e" t7 H& N0 B$ d

2 @8 X9 h6 |% }4 R# u5 C, K

. y' O2 C) y2 m: \1 T; S image-1688135378253.png ' R* S5 ] B5 F. g. k& L9 U/ e8 ~

: W) J% S h! W' B* U1 t

x a# O7 A) i! \5 G& j% J9 F* {! E 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: . o+ W$ K! h: B+ t+ D2 a* a

# _, I4 N2 K( l$ Z& i

) r& K1 c, @, u" f: ^. c# ~6 b4 U image-1688135422642.png! E/ ]" J% T& q$ @0 o$ c3 a1 d

4 }: g& t: u9 k

: y @/ e# B3 P" D 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: 7 n* P3 J, X0 y3 A: O3 l

% `, g$ e1 U% c2 v9 K& ~

4 _4 }6 e" f( k0 l6 u3 d image-1688135462339.png # p. L0 M, m" \: U1 o

7 J% j# l' `4 K9 [' _ d! w K& ^: {$ n& c

/ K) |( `5 ~! }. Y! K 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389# i8 @7 A$ A1 Y8 w7 N5 f

# W& F3 e4 [, B+ l* C# ?

7 ^5 p) S2 b9 s) M8 M% F* Q 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 3 ~6 Q/ D* W- x5 |$ f0 h

: H9 g' d$ f* \" G2 M

. f6 k j- i) \/ `/ l, j2 b  2 K3 x: k6 Y4 L+ q

1 s4 z1 E4 R' ^$ ]



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2