找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1676|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

/ s* F9 h# T. c0 V" R :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:8 w. @, w% ^2 U" g4 r6 |6 e

7 O: x7 D2 j- r: }# o

1 c, ^* [0 R9 f2 u! x9 ^: G image-1688134638275.png6 T- E$ T% v+ n# ]9 ]6 V

2 b* a1 g2 P& c$ N- L3 d' Z! ^( K$ `

, `) @- i* t! q$ _ 然后点vulnerabilities,如图: ) l8 D4 R3 X' E# o1 h* v+ Y

% U* D& x% D5 [, Y |

9 H" [ E, ~7 _& E w image-1688134671778.png7 z' K8 x- A5 d g, v

/ I( E9 p1 t) a0 d2 u

; W) {; P. S. p4 l( l/ Y& T6 b SQL injection会看到HTTPS REQUESTS,如图:; r' e t, g7 y

5 U6 f' [* M" E( y* |8 B

8 A1 h$ Q) {: o8 Y5 I1 M image-1688134707928.png ! \/ |. v6 }) {; E

) T3 x; X- R9 z7 S1 c7 U

' i6 i) s6 R$ C 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 % Z7 G! V& L4 O3 z [8 ] r8 j

+ [/ {! b# R+ y* ]- p

6 l) g! I, G0 ]$ T' n+ q Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 6 T5 [: P3 o( E! V

6 \4 D1 z- J; ^+ z0 j. f2 W

. M7 {2 V) ~, Q; [9 S9 h image-1688134982235.png/ {4 ] ]* x1 U% {

* E& n9 l( q! `) U' E& z

2 T' M+ e, h: M# N 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: / M1 p3 n Z6 L9 B) I+ W N$ s

6 U6 G M! |+ u# z

; P( s# t) ]; L @: } image-1688135020220.png / X2 m5 k9 w; j t6 l

: u% A1 M2 B9 l" z( ^ d- i7 b2 O

' ~8 L# q# S9 a4 R) M" t image-1688135035822.png + K1 C7 L. N9 W( Z# b2 e

' d6 p0 X9 B" J* `8 T: L- e L1 d

2 C3 M1 o% x' X# a 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: . h6 [! j+ p1 R# ?

: E. Q& Z7 Q9 _6 C; \% d0 m' E

, X1 n2 H* o/ Z% B5 o8 A' o image-1688135070691.png s0 ?/ [3 m- v4 z

4 X h1 C) `4 }, s! A" Q

* f1 a( }2 J, W9 _! [; B+ ^* r 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: ' ~2 l, M( j+ u/ w

' Q. Z* a! t+ X& ?) y8 W

/ ^; y/ M" T0 V* ], c7 d image-1688135098815.png4 a5 h* W$ c) k/ U, S( c1 q4 z

! B+ c" X& Z9 K9 S7 A- `4 L

7 U% S% g) k$ s, a1 \; D 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: ! {# [5 c8 U0 D# ^! |

! H- H6 a% u- M- ^6 R3 V7 f

/ a! j' W" a6 m6 |# d- q image-1688135130343.png 5 u- x7 t& |6 t H9 |, m

# W+ S' K/ l( e+ \, B

3 g$ s S! Q" q( b; q/ j 解密admin管理员密码如图: 4 ]% Q, X) y) }% K v! L; I- t

# H/ ]8 M( V" O+ t! n- ~/ L

' X2 p5 l; z" J# u' r. K image-1688135169380.png# H: y. l0 B) _, B, V& {

1 G9 G! x8 l$ ^% v

0 K1 u, u4 P! @6 H5 n) Y 然后用自己写了个解密工具,解密结果和在线网站一致4 r: O0 [9 Z1 W2 Q9 Q4 Q& h

5 c% g3 o2 n5 j

+ @4 d2 z% y# c% z: g, F; |; } image-1688135205242.png1 @2 c$ A9 \8 ~% j. t" s

6 A5 o" B, a, T: [4 O6 ]

- X8 e8 s; m/ P' r& Q9 M. V4 } 解密后的密码为:123mhg,./,登陆如图: ! N9 d5 G" T1 s) R9 o

5 n* v0 ^' e# {! Y c

/ I/ Y6 h) @9 |* O+ s image-1688135235466.png . K N) E# ] | d' R0 R% ^5 y' E

* u% V' w) [1 P2 p; ~3 ~2 c6 g; s

# q) e6 g- b( l 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:& |+ ~, |2 q; G

+ |; Q1 q! M+ V' a/ ~+ q, G

% T& `7 b- V/ h1 [# t: X9 t; @ image-1688135263613.png ' \3 {: q$ ?8 ^

. T1 s! @. M. O; [) c, C

+ R- ?1 P6 j- V9 b6 _: {$ u, r image-1688135280746.png3 M1 b1 j" ~# J6 q

5 t! S1 p; [, O" d) V* B# Q

- n J5 |" R V) A 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: , C7 W5 ^8 ?4 L9 ^' X

, L% j9 G5 r! P% M# a

3 @+ p- d6 V. l7 n5 U( s image-1688135310923.png 4 D. ~5 ~9 e' A; Q8 q2 }0 o

7 k/ C$ a H5 Z) ^: g( D8 i# b/ k

2 o4 f% ~6 A9 |3 ?/ g6 W 访问webshell如下图:' t5 l+ k/ O2 V5 b2 e. L9 ]# F/ t$ R

% L9 l+ d. Z { I. J# B

+ a3 N9 a1 ~% r6 }$ h) ` U image-1688135337823.png0 v; \- P" B7 p2 C

5 A- S! J% Y0 U1 Y; o/ a

: a" y! w$ X# H$ y) z0 \9 l 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:3 \( T0 @9 D6 T l

/ H% R4 n" \# g5 \. A0 s

! |) n" w3 |' J% p3 Y: b. t image-1688135378253.png1 r( s# R) N4 D* Z

/ H, _5 N& f( w/ |

; {3 Y x1 F4 ?) a- J6 _ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:% f6 L+ G1 t Q$ J- }

. _6 Z* p- L3 z3 o

0 L; |3 f& c) p9 V, ?" _2 F image-1688135422642.png6 X( }- X3 H7 K. h h2 O7 q

3 H& `: h( k8 Y8 W" _* W

( U3 _3 a' W6 }" m6 b g$ _ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: 4 ^3 _6 i! @* D6 |4 s

" R$ o: e% B& f) m i4 v

+ t+ y- ~! O( W2 u image-1688135462339.png5 K) h7 H# B$ M2 j

" o4 A4 X" f4 ]% I

4 U7 a H1 F' Q* g 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 2 B% P6 m- ]2 E/ y, Q- a/ w

8 E! \' G" ?! X: U$ I

' c) b2 n% O$ R# S) C. Z 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! ; \2 {3 X! Q# Z4 N

* |0 Z7 m: j$ E6 j

, [0 K V, k- @ K9 S2 G/ q  6 `; V& Y: j* I Y% \

. t8 B9 n) F4 P. H' h
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表