|
% @+ o, G g9 _- E8 m5 V
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:' \& G2 o9 s, p) Q5 _6 l% R- f
# z; \. b, N" b! Y
7 L" K0 Z7 X( S8 a) W1 W  , y# }; J! G( g( W! @/ `
+ Q, p4 W% K/ M
. F" F; t1 V3 X$ g
然后点vulnerabilities,如图:" i* ]1 C4 C0 M" |# A% o
2 ?8 G5 z0 u% _8 C; g! V
5 Y0 z& W2 F* [9 ~" Z1 O, k  4 l7 C& M. ^8 F
! o; B: Y2 b" \ O* V2 q, ^+ e4 U
: w/ i/ S4 A! s0 V9 ^8 Q 点SQL injection会看到HTTPS REQUESTS,如图: Y. Z# O0 p& J$ c7 D5 P
3 T. D: _' ?1 p l1 A+ L) n
! n) [6 h) a4 \9 T }
 * E; D0 E, m+ A C" U6 |
5 ?1 p1 a3 g1 l# Z4 D/ T$ t9 [( @" d
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8) w# d5 C- s4 B0 j8 V8 _% h
2 C4 S4 Y! X2 k3 [/ W0 u' _8 @, X2 b$ J) G
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
$ k) v% @- f$ x$ v0 a a
9 }8 b0 S% ?: G
3 r! V5 K' f% o4 b 
( v. Q. a+ J) C# p: ]/ F
8 N$ I% J- k% k; G+ g4 {( T- n% K5 a
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:" H v& h3 ~4 F. L) I: u3 M
- c Z) ?2 k1 c3 G' q
% H7 H$ {: J1 `$ x0 t! t
! `/ x0 B( r, C" [2 w9 ? % t t& v) a( i% r
! ^% \; i; O# R7 J* N- ~ 
% S' h, K3 }% v" }9 Q* S9 S ) p6 _. Q; p0 I8 ?$ H% P
5 E; H2 e+ S$ U
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
2 `/ I5 v5 s2 R + V3 V, u- O* G6 `5 ~5 F% v( O
$ j% `% O9 E. D; B4 }
# x# n# T! E& r2 l& y7 U1 I ' m, ^8 {7 J3 |- ]* i0 e7 Q
2 B1 }# D# {) A
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:* P5 n! M4 U7 e9 x
# ~" x) J9 B6 |. X9 \, O1 q) X$ x; f: W6 p: N
 ; y, `; q7 |0 h& G# k) O: o7 p
/ O6 Z& c5 ?9 y! _0 j3 S" p5 q
4 f5 b/ X0 E4 Y4 D8 w 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:6 A5 V9 O! t( E8 H; A$ Q0 O
+ N" Q5 D& I9 P. Y, c
6 b5 k1 Y( T" m2 {* T 
% y! ?3 a! E8 U6 T8 L & _7 h9 H3 m4 ~% Q7 S- z4 w
9 @( E* I$ C# p q$ X 解密admin管理员密码如图:
% I! J. p; z3 W. }6 ] ( K7 `9 B& n4 ?1 _7 I
6 Y. `' X) s b t7 C, `
* e( m9 L* ~( c7 G6 V4 ? Z
5 c, u1 w, [6 E M6 d" a# s' T4 s' s# Z. l! C- G2 F( {+ R" I# @8 I
然后用自己写了个解密工具,解密结果和在线网站一致% R0 v' Q- k& b0 e, n$ w) U
( X% B' O3 w" ]; }
* ?6 v# C* L- }4 g, e4 h7 q  4 o# x, T2 G6 V$ m o
# n3 k" P: ?* x" B* F+ z
" w; [6 l1 i- g/ |, ]$ `: H
解密后的密码为:123mhg,./,登陆如图:- a2 u: b7 c; \: [/ ^0 I s y
1 ~3 o: ^0 q* K0 l' D& B% b5 E8 d- @$ ]# ~! _
) }+ i! q5 u9 }" i3 A x$ U
. h/ g, `; R' M5 ^* ^. [
; Q, g8 f+ d9 O+ w$ [( | 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:# g+ v; h- W# L8 _5 h" X3 c% b8 J
. j* m5 d1 B2 h. R5 `
7 i# E/ m2 C; D# O( [$ s
 ; Y9 C4 h4 x( Z
0 V) N s9 V. N3 ~2 j3 ?. n
4 N) r2 n( W, a; u: t/ N
. Z% f+ Q4 W% ]5 ^6 m
8 D- s6 }; \( a. Z" Q$ E
. B( e: q* g8 r7 a) _ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:0 P8 d) }6 V/ n1 Y$ y
D8 K5 v0 n c5 n+ v2 v5 F) F& [2 |
% N/ u( w; j3 m8 K4 l" Y) a- d7 G% D 
) d- N1 ~. @( E' M `2 ]& [' f $ K" U4 M' J5 |7 c
" N1 i2 t! `" N0 l4 P 访问webshell如下图:) I9 I) }& O0 ~. G
. i1 P2 B% X0 w
. B8 R& i1 ~: N0 D' i  Q" l& s, G% t4 K. l8 ^1 ?0 X
) G* K2 @6 }# Z9 g8 t( L- _. T4 O1 m( H$ z3 |) t. T4 n
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
3 B1 V' U1 H7 q! ~7 f
: ^2 h, q7 x" O
6 C; M& |* S/ G 
2 ^( ~0 q2 W* J/ B4 I ! m x$ [3 t5 N/ F/ b& U4 s
: h8 |& } f! r4 A% O2 `6 Z
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:/ \! B4 {) y' _% m; p, k0 ~/ w
- Y X r+ B* x
' {7 S. ` C" B; n$ j% I+ \
0 @5 o, d: z5 C" E
7 I6 Y, F2 U2 j' D: k
0 d; Z) Y2 A1 }' z' W 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:" I" _' e( A2 j
+ I' k7 l" b: _7 Q% d7 i
% E5 s, x9 Q- M% v6 t$ y  3 T% V, t5 N! A$ Z2 p3 C
8 {" o8 c! U! C2 o2 a' z
; O) L q4 L& i! j" v" G" W! O9 e 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
$ K$ [3 Y% x$ X/ W _7 y. E6 e8 j" a) [
|3 W. N: y2 p: w3 j7 i/ ]. L9 y' A) ?% C' N 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!6 y$ c6 h) g: D
1 q. C# X2 v$ _4 Z# W) \' |# k; x) Z* Y: S1 Y" b( S+ L
4 k( {. w* [( o! T# V0 H' q
" F5 ]1 _# Q2 s; x* I | 
发表于 2023-11-28 20:23:22
收藏
支持
反对