|
/ X: X$ G# W4 R/ w5 {& o 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:1 L& k3 _+ Y- D0 F6 z% Z9 `+ {1 A6 a
! ^! h5 b" a9 `" A
) \1 X+ {( I, u; I& y+ L# F% D  4 c8 c/ Z& H0 N7 h# ?. u, c5 F0 {
2 n0 W! y( G' T
" j7 E& P0 e7 F1 c) ~; H 然后点vulnerabilities,如图:4 c, s8 i1 T- S8 M: Y3 N
5 R O2 n! _7 N1 {) u5 e; D' B& _
1 ^4 @9 B" e9 G/ j& y
 # ?, V: j# M3 i5 F7 ]+ u: G
" ~1 f& Z6 }4 m2 b- o5 X
0 f) n, k9 C- S- V0 W6 i
点SQL injection会看到HTTPS REQUESTS,如图:
( ?4 H' _9 K) f1 F 1 d( n: N4 ?# F3 ?! n" B: `
' q; r/ ~$ z( ^% h e 
5 U6 v' O Q) Q; [$ O5 L6 H7 ^
* S/ ?. x. N( t
) m# Z0 u: e s0 }- g1 ]1 {+ s 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8% w: Y; Y# M0 x- H9 G% S( h
% w, U- ?5 p% [5 I, R5 B
3 ?' d( g' ~& {, o
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
8 t3 w) w: s0 ]$ ?# ?4 z7 \
P3 T- A! r" ?) I7 Q; m! s( c9 w( {5 {
 3 x% O9 c/ h/ ^* Q8 U9 p* k
/ } |2 z! P; R8 b4 R. J
& Y5 w5 ^7 i) d 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
( _# {0 H- u4 [0 S9 `6 s5 X N
) ^8 H& k, g- A" ^$ ]6 A
9 l1 |; L# j y  " w1 b- e$ d& \1 G- K" b9 H
. }& _! }& p, Z/ T, C) U
/ h; x" {8 E, s s4 d1 { 
& {6 `2 t- }4 ~4 _6 V: n( ?2 v , q; A( ~- o5 f- {
5 Z' K' O8 m6 E8 z# } 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
% |1 _0 o1 m2 u. L) E / U5 ?1 c6 _$ R1 {4 U7 ~( e
. p& \' \* V7 G: _' z 
* t9 V/ e, x: e ( d( e$ V* a& _ s" i4 i
$ }) g/ z4 p9 [0 f0 D0 c
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
6 y# F) V' J, M3 A
- J+ r7 K9 q% e5 c% e4 K) \. }4 r
( U. U( c/ w4 M6 L+ f
& B; k0 |9 W& h
7 B2 G6 J4 h: K+ r" F$ w& s 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
, w& o5 X# q6 T5 d( O' @ , J4 G' X" h2 V4 m& o
! k' R0 J1 i9 I- t  / I( r( a, Z+ D. } G* X9 _
/ q3 t" E. g5 A- E. F& M% P
+ u1 j, @. R7 c' L; g6 \5 A/ v3 K5 [ 解密admin管理员密码如图:! \4 y7 @1 Q# Z4 W- p0 p3 {
4 L/ D- g' Z1 G- C1 v; |
# o/ ]: e# ]2 B3 C' |' `4 j  . N# ?, E" O! y
3 [4 m+ m! _# H N! p$ j
) u; J. f# k j5 [* t: q6 t. `0 {, a 然后用自己写了个解密工具,解密结果和在线网站一致6 T6 b& t! Y( h1 M
+ D- w6 G) O% |2 C* e1 z
% S! n; X% }$ f9 z
 5 M7 h- o" j9 [1 h B1 s, r
5 ^" _" b! {0 U! B
2 T3 T; P0 Z% W6 x) k5 z7 k' ~
解密后的密码为:123mhg,./,登陆如图: I2 R/ G; v% W5 I# n. B
# G6 t9 |$ C+ d" A- M# [9 {# i* {5 ?5 M/ @
 ; }: I6 t5 e. L& o6 n7 C% t
: W. m; q/ H) R, H
$ e7 O5 e8 o- H; |: }, U 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:8 X C. c# A2 s& @/ J$ [
+ c0 @) c5 e: ?
( P. S! K# {* _( U" u 
/ n/ l) t# p/ b0 S; g! T9 Q
$ j1 W! n ]$ I9 f% X
/ x' j& h0 }8 z1 C! a6 v  ; n$ Y- a7 x1 K9 H) g: y. w2 m
5 B/ U4 P0 x2 N$ L* z1 I" b: M/ j' u+ }. N
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
0 { l6 _( |8 c/ V
2 o, {5 V3 _- u8 k" `3 W \8 s/ {8 O; K: c9 W. Z
' b% \' g9 W' D' [1 i" G
$ N4 Q) ]7 }% u# w6 G& z
# j# @5 V0 o; X, F, r) X 访问webshell如下图:4 }3 ?# h1 X3 i: M* K
8 S! v# F8 w% }6 G
/ m+ ?2 ~" `& x: C* E& F1 k  . d4 l7 T( l- M4 m% |
% K; @; Z* E# U8 s* R5 {
1 H' ?- Z* K6 p! U. n 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:" S& q6 f' H3 M: k8 c5 z) r
8 S. f {$ J: }6 j
$ ^+ T+ m; ?7 W 
: c& L/ N# K1 T2 i7 n4 V" G4 L & h& j: y- P7 y* f
3 ~' x, A$ I2 {% l
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
4 e3 }# i) m2 w; ?8 j6 Y2 _ 7 h+ q6 I% A! i0 O
1 G5 W+ S3 A9 ^) q2 L& E+ i
) ~; L% `* k) n' U
1 A7 e* U, i% F: R5 k9 i/ c5 C) l# H. ~, |
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
7 x i# O. ?- ?4 f7 F 2 o9 k7 e r# W3 j9 |% _ g
1 p l6 J: W. j k8 j( z3 n& Y B  : }. }2 l8 t& L1 w
4 L2 I& d5 e) V! ]) ]8 K8 Z) \& g. p+ K1 ]
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 m. {" o. K7 w3 M* [5 Y
& s; x7 o- b# S6 ~0 `4 V7 P3 {, B- h: V7 {1 c
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!' i# N& [* ^$ g$ _, v
1 U+ G q. j2 _( n
+ j6 G6 ]5 I; h
" C- {- c! o$ D, w* h, e& y4 _; H
3 Z. A3 e4 _3 p | 
发表于 2023-11-28 20:23:22
收藏
支持
反对