|
/ s* F9 h# T. c0 V" R 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:8 w. @, w% ^2 U" g4 r6 |6 e
7 O: x7 D2 j- r: }# o
1 c, ^* [0 R9 f2 u! x9 ^: G
 6 T- E$ T% v+ n# ]9 ]6 V
2 b* a1 g2 P& c$ N- L3 d' Z! ^( K$ `
, `) @- i* t! q$ _ 然后点vulnerabilities,如图:
) l8 D4 R3 X' E# o1 h* v+ Y % U* D& x% D5 [, Y |
9 H" [ E, ~7 _& E w  7 z' K8 x- A5 d g, v
/ I( E9 p1 t) a0 d2 u
; W) {; P. S. p4 l( l/ Y& T6 b 点SQL injection会看到HTTPS REQUESTS,如图:; r' e t, g7 y
5 U6 f' [* M" E( y* |8 B
8 A1 h$ Q) {: o8 Y5 I1 M
! \/ |. v6 }) {; E
) T3 x; X- R9 z7 S1 c7 U
' i6 i) s6 R$ C 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
% Z7 G! V& L4 O3 z [8 ] r8 j + [/ {! b# R+ y* ]- p
6 l) g! I, G0 ]$ T' n+ q
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
6 T5 [: P3 o( E! V
6 \4 D1 z- J; ^+ z0 j. f2 W
. M7 {2 V) ~, Q; [9 S9 h  / {4 ] ]* x1 U% {
* E& n9 l( q! `) U' E& z2 T' M+ e, h: M# N
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
/ M1 p3 n Z6 L9 B) I+ W N$ s 6 U6 G M! |+ u# z
; P( s# t) ]; L @: }
/ X2 m5 k9 w; j t6 l : u% A1 M2 B9 l" z( ^ d- i7 b2 O
' ~8 L# q# S9 a4 R) M" t
+ K1 C7 L. N9 W( Z# b2 e
' d6 p0 X9 B" J* `8 T: L- e L1 d2 C3 M1 o% x' X# a
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
. h6 [! j+ p1 R# ?
: E. Q& Z7 Q9 _6 C; \% d0 m' E
, X1 n2 H* o/ Z% B5 o8 A' o  s0 ?/ [3 m- v4 z
4 X h1 C) `4 }, s! A" Q
* f1 a( }2 J, W9 _! [; B+ ^* r 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
' ~2 l, M( j+ u/ w ' Q. Z* a! t+ X& ?) y8 W
/ ^; y/ M" T0 V* ], c7 d  4 a5 h* W$ c) k/ U, S( c1 q4 z
! B+ c" X& Z9 K9 S7 A- `4 L
7 U% S% g) k$ s, a1 \; D 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
! {# [5 c8 U0 D# ^! |
! H- H6 a% u- M- ^6 R3 V7 f/ a! j' W" a6 m6 |# d- q
5 u- x7 t& |6 t H9 |, m # W+ S' K/ l( e+ \, B
3 g$ s S! Q" q( b; q/ j
解密admin管理员密码如图:
4 ]% Q, X) y) }% K v! L; I- t
# H/ ]8 M( V" O+ t! n- ~/ L' X2 p5 l; z" J# u' r. K
 # H: y. l0 B) _, B, V& {
1 G9 G! x8 l$ ^% v
0 K1 u, u4 P! @6 H5 n) Y
然后用自己写了个解密工具,解密结果和在线网站一致4 r: O0 [9 Z1 W2 Q9 Q4 Q& h
5 c% g3 o2 n5 j
+ @4 d2 z% y# c% z: g, F; |; }  1 @2 c$ A9 \8 ~% j. t" s
6 A5 o" B, a, T: [4 O6 ]
- X8 e8 s; m/ P' r& Q9 M. V4 }
解密后的密码为:123mhg,./,登陆如图:
! N9 d5 G" T1 s) R9 o 5 n* v0 ^' e# {! Y c
/ I/ Y6 h) @9 |* O+ s 
. K N) E# ] | d' R0 R% ^5 y' E * u% V' w) [1 P2 p; ~3 ~2 c6 g; s
# q) e6 g- b( l
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:& |+ ~, |2 q; G
+ |; Q1 q! M+ V' a/ ~+ q, G
% T& `7 b- V/ h1 [# t: X9 t; @
' \3 {: q$ ?8 ^ . T1 s! @. M. O; [) c, C
+ R- ?1 P6 j- V9 b6 _: {$ u, r  3 M1 b1 j" ~# J6 q
5 t! S1 p; [, O" d) V* B# Q- n J5 |" R V) A
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
, C7 W5 ^8 ?4 L9 ^' X
, L% j9 G5 r! P% M# a
3 @+ p- d6 V. l7 n5 U( s 
4 D. ~5 ~9 e' A; Q8 q2 }0 o 7 k/ C$ a H5 Z) ^: g( D8 i# b/ k
2 o4 f% ~6 A9 |3 ?/ g6 W
访问webshell如下图:' t5 l+ k/ O2 V5 b2 e. L9 ]# F/ t$ R
% L9 l+ d. Z { I. J# B
+ a3 N9 a1 ~% r6 }$ h) ` U  0 v; \- P" B7 p2 C
5 A- S! J% Y0 U1 Y; o/ a
: a" y! w$ X# H$ y) z0 \9 l 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:3 \( T0 @9 D6 T l
/ H% R4 n" \# g5 \. A0 s
! |) n" w3 |' J% p3 Y: b. t  1 r( s# R) N4 D* Z
/ H, _5 N& f( w/ |
; {3 Y x1 F4 ?) a- J6 _ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:% f6 L+ G1 t Q$ J- }
. _6 Z* p- L3 z3 o
0 L; |3 f& c) p9 V, ?" _2 F  6 X( }- X3 H7 K. h h2 O7 q
3 H& `: h( k8 Y8 W" _* W
( U3 _3 a' W6 }" m6 b g$ _ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
4 ^3 _6 i! @* D6 |4 s " R$ o: e% B& f) m i4 v
+ t+ y- ~! O( W2 u
 5 K) h7 H# B$ M2 j
" o4 A4 X" f4 ]% I
4 U7 a H1 F' Q* g 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
2 B% P6 m- ]2 E/ y, Q- a/ w
8 E! \' G" ?! X: U$ I
' c) b2 n% O$ R# S) C. Z 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
; \2 {3 X! Q# Z4 N
* |0 Z7 m: j$ E6 j
, [0 K V, k- @ K9 S2 G/ q 6 `; V& Y: j* I Y% \
. t8 B9 n) F4 P. H' h | 
发表于 2023-11-28 20:23:22
收藏
支持
反对