|
: z, M7 d r+ l& X9 g9 h5 y 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
+ t# ~. s# _0 k" D0 N6 k ( U2 V7 \8 u& c2 }! u. f& G* q
. x$ P3 H- p0 |. X+ _- O
 8 \. f9 u& o% s# V9 e/ i" I
6 V1 `& {7 E3 W8 e: I, Q H
9 X( K! n8 e3 V# ~ 然后点vulnerabilities,如图:
) f \& r: ]/ E9 C/ T
% h% s% U* l9 p3 o- p) }. K0 M* N, q. W& x
 & a* B7 c. b" Q; J) S
. {0 P7 }$ f& I
& s" H5 G* Q2 Y! i7 D 点SQL injection会看到HTTPS REQUESTS,如图:, `0 G5 q1 b" z1 b# n: r
9 Y8 N; V) r2 w+ ~) y2 l5 T2 o" h5 D5 A0 O. o- z
 - S9 R$ z9 o9 q3 R
# D' V1 |6 j" m4 O. h
/ l7 E6 y! G% f0 B# r( O. ?. G' J+ ^ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8: V3 t3 q* p( u" g5 O1 L2 a
' _( }- b; {' y9 K: v4 C, h
) o8 J2 g A! [8 v5 v9 ~+ ?4 S% w Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
6 S' h7 |# D7 R/ ~8 V/ t 8 A- w( E: V5 F9 w" H: d4 {# T
) n$ R9 |% s t2 g. u1 ?( I
 8 Q( I' d4 G- q6 \4 j8 L
: k K- \5 {: o6 X2 ^
& D1 G# Z9 E' e# H 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:$ h# q/ K8 F% ~9 E
1 X! m L# o5 _1 e$ w: Q* R
6 Y& Y' {! @1 w) G+ }+ F( R7 X 
L9 {$ u( v& o& M, ~5 ] / h+ f0 l: l4 E; ^7 o' n3 A
* I* s+ t" Q& x; w* s b5 K' P+ c4 t 
8 }+ U/ c6 J! e, J3 g3 A ( z q/ g+ G9 [; N
8 |$ `8 U. o# x* T 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:4 j7 I: o4 n: \! Q* Y
' @% f$ a" x5 h( S; f( q0 ~3 P5 H$ O
 , k& B1 L0 C" r, X
- W3 ]% z, V: V4 r
m! k6 [* j2 b/ n
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:) B3 {3 i* s( U8 J
9 o9 R/ c0 L) i- ]3 X
: @$ _6 X+ X- g1 X3 i; e 
+ \: m$ k. H1 x* d5 S 8 A3 ^ B$ e) v+ e1 x# R
9 k9 O0 z% G, t) Z- B8 Y, C! [/ L
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:6 t) O5 O* |2 v6 e, _$ U# p
! G% Q: Q6 n+ g& | I) z
3 W$ |& f/ i: J' O  8 `8 o6 m# |& A4 G& ~
' r' X- `) L j2 L. S% E
- k2 G! D3 D% E/ |: b
解密admin管理员密码如图:4 e" C! d- r2 ~% G
2 v$ t k1 [/ I+ v! A
( S+ J: n' u2 N) g! y  3 g1 p& ~' T& W8 Z% S. G
. e0 w8 R! c: u, K1 X8 P
3 ]5 h0 F0 c' m$ v$ W- h4 } 然后用自己写了个解密工具,解密结果和在线网站一致
+ Z1 k) f" w) u2 a3 n 2 m" ~+ W2 l" H
' D! j+ i' v5 w3 I  ; o. b$ h2 I7 [. ~; U
# |3 \6 q# f' `& k" R
4 L) M3 w+ a4 Z+ ~ @* x3 T1 Z4 I1 [
解密后的密码为:123mhg,./,登陆如图:
6 f6 u0 l- F( j+ ?4 }$ D ; v8 ]7 p' }! R+ G3 U
% y( g" Z3 N* N0 t, T d S
 7 k& X5 i) Y% |. h; T: [
2 n; |; x M0 q( G$ C; y. j
: P; F5 O5 M6 }. Z/ j l 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
. U. ?( y6 Y+ Y$ U' Z- r- v
" A$ Q+ V; u, G" k/ @% R/ U
+ _) u7 n/ d0 U7 Z; F4 I( K  7 u+ C0 }9 o" P1 j
4 g7 @* n/ \0 W7 {/ ]6 C9 ]
0 [1 Z) G. z( l; i2 j) y% O  + |1 t3 q* I& M4 P+ U- {- Y
5 S: |7 M7 b, ^
; X+ A* x$ K8 I 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:/ r2 m! @( x( ?3 z0 B$ I, {; J; o! w, W
% ^: s9 m; p9 w+ Y+ y
( B. t4 I& ]( m/ M/ d! X. }+ b
 0 H& n1 t( R) \, {9 a$ _2 d" Y `
0 Q( W- b4 I8 h" [
6 d% J- o4 Y" I- b 访问webshell如下图:
& C! m/ `+ z( _* G7 Y3 ] * P1 B( ~; o1 y, }8 b
) F G/ e4 G1 b& e9 i* o$ m3 H1 e 
2 R+ H. N6 w, P* _
* O9 N3 L4 J& |) S+ g
; c3 `/ w% B3 H: l+ y2 X, a( g2 ? 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:4 `1 ?' n% ~ I H
* T3 k+ K O; c
+ Z* b' B' f! P  ! Q$ } v& q! Q/ F( g3 A4 {+ p) w
7 v5 M v+ V# ^3 Z, Z; i
# H6 d1 o+ b/ B 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
7 g5 s7 [- P9 z( v5 S7 M; ]
9 Q4 }% J4 Q* Z6 a0 Q6 o4 b/ z( f) q9 I# T
0 u! ]) h. p" \) U$ ^7 f
, Y& m+ I$ Q6 R( T! p( u% ]& o0 M) S) \
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
4 ]" C$ M l) J6 M2 N% `" } 9 t) Z; j( |% P, i
3 ]/ e* f) J# s1 ], s; y 
# [$ a n; y' ? C) o6 q( { ( p0 J3 l& [( Z4 W* [5 h; a8 [; Y
% I% T! b- }) u
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。. \; t# m0 g- T5 R
- |5 d, G" s' p5 S* Q
( d% d5 d" ?& `8 ^# C) x! M
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
* |0 @+ }# w9 U, Y: \$ k9 n2 S / F! @. i' P2 Y/ {
! A4 j# w' C% K Y, q7 s* }9 Y
! |) R# N; Y; ?1 y. I
, D8 W9 ]6 {* P* j
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对