找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2010|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

" A" }+ o! f% i3 y% f0 F1 }" h/ D :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: # R: ]- ?* ]/ v+ Z

# g5 q* h4 [) Y

2 B0 n: A! I% x7 F image-1688134638275.png% F; n3 Y* T1 a$ j3 D) _0 i) S3 E

. M/ [ a b j$ C+ Z

. d; z2 c( l1 O% E5 Y, Q$ Q0 q 然后点vulnerabilities,如图:4 ^3 C: L! f& j

! q% C! U' ]' P1 H

. G6 a$ v B6 u image-1688134671778.png . `7 Z& F& j+ |3 r) g, }

; }, m( I! q; B, |

# \3 H7 g/ g# W1 s) T4 N- { { SQL injection会看到HTTPS REQUESTS,如图:" g& c" L u5 \2 Q" y( t' K2 J

- |6 C, n F" y* ^

. m5 V7 `, G' V2 | e% \, P' _ image-1688134707928.png ; K+ o- j7 `- R

9 [# O# Y; \; O' K6 T, Y

9 s1 x4 V. d8 Q/ I& v8 F( g 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-89 Q! j' e; H, ]- c4 }5 O+ M

1 V1 u G4 Q7 X0 V+ U7 {. W2 u \

8 c" y2 E; ^6 B; q( _ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: ( H( h; Q; I& f8 P' E5 b3 i* h: O

5 O: a) x. g2 n" W8 q% L+ J: F

J) v; ^+ q) N) q1 ]/ [( K. q- Q6 A image-1688134982235.png) Z0 k# B% p* Y ?9 h- Z

' y2 P# z5 r4 q* |

( I. i& E' [$ Z) Y9 s 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:5 n0 L4 E# R& ?( @ v6 n- F7 K4 t

( ~* ]+ k% D' ~

+ T/ @' B- m- `) b1 T, A image-1688135020220.png1 l* [2 M4 o5 `7 d5 F- ?% c i! W

7 @% l0 `; ^! _' A# K9 Y

# a& l* m& ^$ I0 q) j image-1688135035822.png1 [! A3 n7 Y+ C8 D( l; Y8 ]) E4 C* w

0 h7 b6 s, ]0 V( D- O/ q

: y W! T6 T \ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: " B. ^/ n1 a& V0 o% y2 k

; j4 z' B0 T7 S2 n5 t) _

$ s+ Z( E2 u3 P# `& F image-1688135070691.png/ U; e, b% D2 g( S8 O7 R

B/ k$ H: G0 U# Q% y9 k& `

( m3 E6 }0 z1 x: y+ M9 q 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:- `# q% x4 L7 Z, t' p. k" x0 p

9 \1 L0 ^+ N. J0 A- V2 y

, L$ L) A" m9 x" `% l! I: ^5 ?! o image-1688135098815.png : p5 X( w& ]+ O% a0 T

# n7 W8 M4 v4 D" V

, v* `" c4 F+ ?1 n( h* W 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 3 C! y% U' M- x6 v- Y8 H. I

+ @- H9 t ~( R$ T6 P

* F* e9 z- Z. o6 {* z3 J image-1688135130343.png . n7 ?7 X9 P- f) y

3 B: [8 Z3 B, Z! Z$ ~* U: U

2 R; G+ R8 o+ l! K 解密admin管理员密码如图: 7 o- a( E/ d$ C- {

j! q/ v5 U6 _4 {3 {: j9 ?

/ p9 o9 {4 w ]7 \* m4 w8 F image-1688135169380.png 5 O; A5 q9 |3 o7 }& Q

! s# r6 R+ I4 V" z

: w$ K. A0 B, l 然后用自己写了个解密工具,解密结果和在线网站一致0 M/ V4 e, t4 y

, s8 |1 t+ o( j0 Y- J* y# v

" G1 x" |2 g' J% _+ p image-1688135205242.png / W" s I6 U' T, A' S7 L. G

- e% {8 ]& J+ r8 z# u

. R7 ^' @# ?( T5 |% Z$ w0 o1 m 解密后的密码为:123mhg,./,登陆如图:. j2 D- A2 V1 h2 t1 m

9 K' t7 P. U# _

# T' `7 e0 O$ o0 n2 a image-1688135235466.png ) W. X+ `0 X( n" o3 R

4 a: E4 h5 y6 B, ^. X

" a9 n) \* U& u+ K) o" H/ d 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: % v: F0 ?: c7 A( c9 ~# M

! q; J% d" i0 ]. L0 X: i# v9 n$ t

" b6 A6 k" C+ b% ] image-1688135263613.png" X+ @6 ~' G! g% ^) [5 l! M$ `

+ t3 h4 q m+ }9 g0 J8 i3 T% V7 o

2 u% t! G: a4 H image-1688135280746.png9 F" S, O8 k0 |6 G

' F7 C, l( L) V

" H( O6 f* [" k1 A 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 2 v5 B7 y6 a1 N

+ B u0 }; N" b0 o. C3 ~

1 w+ k& T* e' i# f2 [% I image-1688135310923.png & e5 U1 C, s- }. z' p, ?

* j! e6 n& b2 k! x- j# Q, @

; s7 v9 Y/ e/ V% b- }- V 访问webshell如下图:. a+ C) ?0 C' K% W

* ~& p* i* @- s% F- C4 T

/ l* l; V7 s2 }4 {8 D- `/ h/ i. H image-1688135337823.png5 I3 e# T1 g$ S8 c6 b( F! ]

6 ], z1 E C5 g5 m; p

' Y0 j( ~" z) ~/ [& E# e 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:+ H( y0 _% G$ L, m) ^3 h% N8 h

& K; x D4 p- X3 `7 h, l- S

" d7 O1 ?/ f R; l image-1688135378253.png j0 I5 t! o7 ^- \3 U0 p; H

+ z2 n+ T5 P/ Y% k$ o3 w! c

+ C* ^) I/ z( ^ n0 r 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: 3 O6 W4 U, j- r

8 B) S) b, v8 o1 \3 d8 S0 H& D

: Y2 O& ]0 {6 ?" G) c9 g image-1688135422642.png 5 b1 U7 ^- h- T+ H1 ^

" H; v( O7 e g7 U; G/ j1 {

+ J6 f) D, A0 Y3 @9 [ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:( \+ e; I/ X0 a3 x+ n) i

" z+ |3 i: t5 t& @. _% c

5 s7 t- Y8 ^: H8 K* S0 Z image-1688135462339.png 2 I5 \9 T, A; B' A' }

* `- f, K% e, N8 i- a3 x8 n% [

' ^! X) s% m2 h 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389$ Z+ u+ K2 b3 i0 e& N4 ?0 H

6 d3 `2 v! Y* z( ^) `6 A

! Q6 g" a0 v/ k( t& N2 M, @' e' z 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! * g; a' F9 w4 Q6 |3 Z

4 q) i Q' ?, w4 h- l

0 I0 \' Y- b$ }+ l" v5 ?  ! J- H c5 N _: o

4 o: v5 y" ?2 X4 z6 J' ?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表