|
$ y0 E. Y( ^9 }: E. U7 S" c Q
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:( j$ I6 ^8 r9 S! f
& z% c; s/ l7 g- p! q$ I( s" c) f! A1 L# r6 H( t( p
0 o; j/ {7 S9 k3 L% M 8 B# L) _' j# M0 q1 M | L
7 Y w( y* s' J9 b* ]0 v9 T
然后点vulnerabilities,如图:
+ h2 }8 }/ g. V: u, F" o% P9 w
/ i2 m( b' l6 s5 {+ O6 |
1 u- ]/ L9 O% g( R7 x# ~ & H+ W1 K! |+ h4 a
6 |- u# c( F; @& v* Z% L
; H/ s& t5 s4 f) G# ~% a 点SQL injection会看到HTTPS REQUESTS,如图:' R3 o [6 s5 s3 A3 I( k0 h7 }7 ]
5 A% o; q- a I n4 W1 W
, A% l/ S% X! N% |9 v: ^! R$ W4 q
9 M( D7 z/ v2 [, ~ j& v3 e d+ i' J4 o. | C
% W& f) Q q4 N7 _4 z4 ` 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; C* T: }0 ~# f9 G
) C# z. Z; D5 _# T0 c+ @
( M6 ?) R7 o% }# I( d7 [ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:: u$ v( d; v" {2 L2 T- b
# ^. O- ?+ [: r, |5 _/ L
* b0 { s0 @$ m8 N* K
+ ?8 M/ Q5 p- J+ ` ! d- a, h6 T; I. `3 `
* w Y4 t" Z, m7 g 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:5 q2 Q" T' z6 y( C! I0 W0 g! l
2 O* y/ b/ |+ ]. A
6 h3 I+ r; V- ^; n
+ P2 v& \# c' H1 G $ { \4 M5 O _, S, x6 }
! V0 v- I) K% x3 k
* A# E( Z. l. s( z% t8 `+ Q9 p
* b+ b3 l) m8 [7 [% D
7 e5 X& m/ c' d6 B! ]/ z2 `+ s; U 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
2 O) d3 k R" y [ 8 [1 N. T: }# L/ q' W9 n& \9 A
5 T, K5 t/ D3 y4 m
; e# S) P" Y. ^
' P: d8 X- f6 I! ]7 D
/ D% O7 {& J8 P: K' ` 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
6 a( s, C( a* |/ ^) Z- x t
( L, J$ R/ `3 M8 f0 f. g' G
) U( _; y6 b; N! @
! H$ \# H. k3 N/ G0 }1 q & j8 K. `: t. C( v+ C
- T. H. [2 |0 {* C
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
1 ?; M" Q! J; v" U% D R
( E3 ~9 a- k: Z5 r2 {# F6 L! G/ I! d9 E: F+ b# @' L
/ e" A+ B0 p9 o8 o$ w
5 R. e7 p1 H9 L( `' _
( j; ^7 @: [% _; ? 解密admin管理员密码如图:
$ D! _2 s4 m9 W D* i" } " }" J5 ?$ s2 D, g6 ^3 R
' L& `2 Y$ |, Z, l& f4 P
! g# A. b$ T) ~- H 2 {2 M5 j. n5 R( a& d
& e6 G7 O2 X9 w9 }: V: m- c 然后用自己写了个解密工具,解密结果和在线网站一致
a. L o$ G9 j, I. M7 \# H" W
1 W+ Z* y' G1 E, f+ Z3 Q1 A* g, H. j4 p3 m" F
: x8 k+ w' x' ~0 S$ h1 p
0 `. t& Z% ~& N% M& r, q4 x* r& ]; i( _0 a; p
解密后的密码为:123mhg,./,登陆如图:
# J7 C6 R0 C, t( J' }
% L; O+ @/ i% {& V% [; ?4 v
7 ?4 B! T" |1 [8 x; G) O
7 _2 d6 [( A' N% \4 J2 E6 l 9 y. Z4 {; m# H3 Z5 \1 I4 Y
/ R0 {9 b2 W/ |2 w" I4 v4 G6 T
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:6 ~7 [* f( C1 u
) v7 c }+ W5 ^) J5 D3 k, V
I2 R& N# X- L* E$ G; L
7 X" q ~/ P! C% l7 f / F" D6 r' ]8 n0 ?
" N0 a( a* W0 L* x0 W 9 B! j- g/ d6 \( c
3 Q5 h |! `( h; o
4 e4 N# i2 n! l# B) Y
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
v4 [: O; I' z' p K8 ~3 n
- f$ ]# D9 w \8 ^- F( C
8 z% n$ w! v. U# d5 r1 [' E5 i
( l% m/ l7 U6 D$ I9 h! g1 T
$ |4 x* U6 `, T% G2 G7 c1 a" A; W; F0 \, N( ]% p
访问webshell如下图:' L/ p5 N- o4 R5 |% }( V, B) l) D' N
' P2 Q# N8 X. u d4 Z4 U
6 G3 n6 n% l$ ?" ` & q4 d( r1 t5 g1 k2 y
8 a& R6 w* Z- d$ y) q
' O( y5 J5 t L8 D. a
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:' G0 l7 f' w3 x1 z
3 h0 [/ p1 S {6 l. N
0 e7 H0 b$ G% ?' J }2 p
$ L, ] W" `' ]" I2 |( Q& x 1 s2 S# P# M- G# E$ g
7 ^- L1 Z6 S1 I
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:5 m3 o$ ^6 d8 B& J/ l
8 s; ?* x- u/ C% h3 |* j
' h6 ?! j% W) I
( P9 z' g+ a3 K! X3 ~
& ?! N# D% w) a
" X, g' W ~7 G 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
) l: {* D, `5 a4 ~1 w/ ^# Q6 r ) v+ T$ D `/ ^' I+ T( w
+ F, J1 E( |, k
: N) Y/ W( l: P: _
( I5 D3 ?% k$ p" N: v8 s$ \2 {
0 ?4 E' e% S8 h7 v7 c" t5 @& I0 V 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
6 }: U R# m( _; ~ * v( M) r1 U2 f
& r2 R( n) e: u! J$ W6 q 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
# K, S& V5 }' G J7 C
l) T# w) o+ Z! x' [( f2 H
3 t! U0 Y5 I. ~% P* T+ X8 l$ E' z2 `1 H
4 x% B9 z% g |& X# Q& ]! E' ~
" N( S& M' @/ S3 W) N |