找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2405|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

x1 e1 f$ c- j1 k :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:! K& c6 b* `! j) z3 P

6 J6 _; ^- w) r4 R2 P

* E) v1 a: U; J6 G- c image-1688134638275.png3 }# t9 o1 m+ P/ o3 {+ K: ?8 R

, }: V: d+ P; ?! K

8 f1 N7 B9 F& i: ] 然后点vulnerabilities,如图:- [$ n$ M. v2 |( C% D

3 j, b# H: b0 y) X

# ]2 X) q$ r8 C" |; U image-1688134671778.png) O' N$ O, ^! y4 w# P3 u

! T' }9 v0 z) k( F2 K" i

* N q8 s, Q4 A9 ~" \7 q% N8 q SQL injection会看到HTTPS REQUESTS,如图:% {8 K& A4 _0 l

* Y) t; n: ?& O4 F5 O

' k3 q# j- `5 f4 ` image-1688134707928.png* e; L3 ?, b4 [" h' |5 m) g

" L1 m- T, @& l, c! w* p

. \! j) F# c: J5 O" X- ?8 X 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Q; h3 y x3 k- z( c

; e3 ~+ U* I3 P

+ T0 M/ V/ S1 ~! [ | Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:- e) C- Z+ Z; Q# i4 E# D

# {; I3 G8 Y; h& ]

6 N b2 g5 U' k image-1688134982235.png 3 Z( }" W. p1 [# I: x& D' ^, `! i* F

" P# Z D4 o5 }8 z: f$ g3 s/ n

# _8 A% j) A3 Z0 L- X' p& D/ F 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:- f' q9 M% z, s7 l

! _- C ]1 B; v) T+ o# s

- T$ h" k7 G) U% Q5 J image-1688135020220.png5 J& m! z# J% w7 W$ c+ b2 g

9 s- N" |4 v+ k& z

- W/ O$ l& j# g8 @1 d image-1688135035822.png ( u& Y! N. s7 P' w2 v

) k2 i4 R! [8 M0 E4 n% a: m" `: [; _1 L

7 [" `" T" |1 {: F+ H p, Q 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: ( p- D( ]) D! ]- a, Y+ P! g {

/ U+ q+ w, N( X1 H6 C

8 ^8 F {# w9 }8 E6 X image-1688135070691.png: V' _7 L, @+ o

0 z; W( B# z: K- A

+ L! I ?' M6 Y' w! F3 c 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: ) w0 ^0 A: _5 F* n2 x5 J

5 ], I# \0 }, P, y

$ D; m* h0 ~/ [ image-1688135098815.png ( R0 u H' a6 ^

7 ~- T2 y/ t0 w3 m( l

) I8 J5 M4 g% P1 X 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: " B( }- s. h" h+ C3 a! F/ J1 _+ Q

# s% `' x) b0 ]" ~/ u) n6 C# L: Z

/ k' g( E4 R; ?1 z3 x image-1688135130343.png6 a; X/ j w- e9 ^8 K

) `' c2 Z: U+ ]' V

3 h; S X* p d% x; ]) u2 [9 E 解密admin管理员密码如图: ( P% o7 X+ n5 i: _) K

7 v7 {* B: z& i( l

( o0 V5 f; p7 [( q image-1688135169380.png: S7 b2 v ?$ } H" o

( W& Y3 {6 U7 J6 e

% l2 _' D6 p7 l: a( U8 l 然后用自己写了个解密工具,解密结果和在线网站一致* d- }4 \" |8 N! \1 h, |+ n5 d8 D

4 y* r0 y2 k' Y, ^) C# ^

~9 `) b5 G$ g$ s/ D: { image-1688135205242.png9 g% I$ S: f0 _& d/ K& N

: W8 R# c* K# M6 k$ k* f. e

2 |8 Z; j6 A, G0 u( l) O$ J* A 解密后的密码为:123mhg,./,登陆如图: : q2 ^3 j* H2 b ?

8 f# _2 R0 ^- E& {5 m; K

0 u3 F6 v6 P' h1 F8 K+ u' j image-1688135235466.png 2 V; Y- [% H' J; R. G

; Q' t0 Q, I, r7 T) \3 X

2 V# ^: j) k* d* B* v& o 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: o7 ?/ o) j. [; f7 D2 t! G

1 d9 D5 X) x- }3 @3 U6 `

7 {5 _* b/ G Q C( R image-1688135263613.png 5 }4 G$ l* b! w6 M8 m( c

7 j) e! h S# a' n) O

* \% }. D! k8 H& r7 z image-1688135280746.png, s# B& x S- \

8 B& B5 u* N6 t+ O; U5 k+ u

: l; [- g' a7 P, u 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: 2 V6 e$ x" l% k& B& |: p4 W6 e

, D/ V. J# B# z( R: f$ k

" ^; o/ l) s2 B) K image-1688135310923.png( i7 y6 l0 }& b

& S0 G9 y" n# l6 }5 J! ]+ q- \' V/ V' j. H0 C

' X6 Z: s* N7 p0 x, i" K' X1 m2 i 访问webshell如下图:1 o2 S; D- l8 N

9 Z- B1 c: C6 c8 c4 E7 E

3 O8 j/ Y. q8 w image-1688135337823.png : W) u- d* y6 A8 R5 C

+ ^9 f0 \- u% A7 P9 |5 [

6 t* S4 p" Y) }6 |2 q/ w 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 7 m5 m2 [, z4 z) J. ^$ [

. P+ ? z$ I5 \4 |

$ W6 x2 A7 T$ \ image-1688135378253.png: Y2 R4 r' k. ~. F) Z0 S

; Y8 H, ]/ Q* n- X

% z+ x, t* q7 E7 {. R6 }# E! N7 G6 R, W 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: . i3 K( I# I+ p" F: [! I

$ I/ J; V, o0 i9 V- n, ]* M2 R! Q

. | M2 O5 z; E image-1688135422642.png, {8 X J w3 ~

! V3 K9 ?3 g1 [/ [9 y

& S$ k4 d0 B' X6 R: i5 G! i& @ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: : N6 U4 G: L3 S& d1 ?" K0 K0 @" ~

5 `. F A9 F9 d( Y Z4 ?4 u6 @

1 F! u* K5 [7 D2 `+ u. E image-1688135462339.png 3 `2 X+ V* o1 ?( }2 j1 K, l

1 p" O' U. {: U A* |% `- p {* |

) c( H0 e: E/ v6 Z7 _2 T6 ] 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389. D& Z3 m1 m$ b. e4 L% t( y) P& O

7 L+ M0 G4 s/ `' u/ W

+ O, a0 E3 r5 ^5 B. n 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 0 G! C9 z! Y$ Q

/ a$ q4 T2 J4 M+ H' R6 W

0 T+ u( Z5 @- j   , m7 `- f" R( n: k7 X" Y

. g& J) p$ m. V, B8 }4 i3 |$ B% f
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表