x1 e1 f$ c- j1 k 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:! K& c6 b* `! j) z3 P
6 J6 _; ^- w) r4 R2 P
* E) v1 a: U; J6 G- c 3 }# t9 o1 m+ P/ o3 {+ K: ?8 R
, }: V: d+ P; ?! K
8 f1 N7 B9 F& i: ]
然后点vulnerabilities,如图:- [$ n$ M. v2 |( C% D
3 j, b# H: b0 y) X
# ]2 X) q$ r8 C" |; U ) O' N$ O, ^! y4 w# P3 u
! T' }9 v0 z) k( F2 K" i
* N q8 s, Q4 A9 ~" \7 q% N8 q 点SQL injection会看到HTTPS REQUESTS,如图:% {8 K& A4 _0 l
* Y) t; n: ?& O4 F5 O
' k3 q# j- `5 f4 ` * e; L3 ?, b4 [" h' |5 m) g
" L1 m- T, @& l, c! w* p
. \! j) F# c: J5 O" X- ?8 X 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Q; h3 y x3 k- z( c
; e3 ~+ U* I3 P
+ T0 M/ V/ S1 ~! [ | Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:- e) C- Z+ Z; Q# i4 E# D
# {; I3 G8 Y; h& ]
6 N b2 g5 U' k
3 Z( }" W. p1 [# I: x& D' ^, `! i* F " P# Z D4 o5 }8 z: f$ g3 s/ n
# _8 A% j) A3 Z0 L- X' p& D/ F 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:- f' q9 M% z, s7 l
! _- C ]1 B; v) T+ o# s
- T$ h" k7 G) U% Q5 J 5 J& m! z# J% w7 W$ c+ b2 g
9 s- N" |4 v+ k& z
- W/ O$ l& j# g8 @1 d
( u& Y! N. s7 P' w2 v ) k2 i4 R! [8 M0 E4 n% a: m" `: [; _1 L
7 [" `" T" |1 {: F+ H p, Q 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
( p- D( ]) D! ]- a, Y+ P! g {
/ U+ q+ w, N( X1 H6 C
8 ^8 F {# w9 }8 E6 X : V' _7 L, @+ o
0 z; W( B# z: K- A
+ L! I ?' M6 Y' w! F3 c
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
) w0 ^0 A: _5 F* n2 x5 J 5 ], I# \0 }, P, y
$ D; m* h0 ~/ [
( R0 u H' a6 ^
7 ~- T2 y/ t0 w3 m( l) I8 J5 M4 g% P1 X
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
" B( }- s. h" h+ C3 a! F/ J1 _+ Q
# s% `' x) b0 ]" ~/ u) n6 C# L: Z
/ k' g( E4 R; ?1 z3 x 6 a; X/ j w- e9 ^8 K
) `' c2 Z: U+ ]' V
3 h; S X* p d% x; ]) u2 [9 E
解密admin管理员密码如图:
( P% o7 X+ n5 i: _) K 7 v7 {* B: z& i( l
( o0 V5 f; p7 [( q : S7 b2 v ?$ } H" o
( W& Y3 {6 U7 J6 e% l2 _' D6 p7 l: a( U8 l
然后用自己写了个解密工具,解密结果和在线网站一致* d- }4 \" |8 N! \1 h, |+ n5 d8 D
4 y* r0 y2 k' Y, ^) C# ^
~9 `) b5 G$ g$ s/ D: { 9 g% I$ S: f0 _& d/ K& N
: W8 R# c* K# M6 k$ k* f. e2 |8 Z; j6 A, G0 u( l) O$ J* A
解密后的密码为:123mhg,./,登陆如图:
: q2 ^3 j* H2 b ? 8 f# _2 R0 ^- E& {5 m; K
0 u3 F6 v6 P' h1 F8 K+ u' j
2 V; Y- [% H' J; R. G
; Q' t0 Q, I, r7 T) \3 X2 V# ^: j) k* d* B* v& o
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: o7 ?/ o) j. [; f7 D2 t! G
1 d9 D5 X) x- }3 @3 U6 `
7 {5 _* b/ G Q C( R
5 }4 G$ l* b! w6 M8 m( c
7 j) e! h S# a' n) O
* \% }. D! k8 H& r7 z , s# B& x S- \
8 B& B5 u* N6 t+ O; U5 k+ u
: l; [- g' a7 P, u
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
2 V6 e$ x" l% k& B& |: p4 W6 e
, D/ V. J# B# z( R: f$ k" ^; o/ l) s2 B) K
( i7 y6 l0 }& b
& S0 G9 y" n# l6 }5 J! ]+ q- \' V/ V' j. H0 C
' X6 Z: s* N7 p0 x, i" K' X1 m2 i 访问webshell如下图:1 o2 S; D- l8 N
9 Z- B1 c: C6 c8 c4 E7 E
3 O8 j/ Y. q8 w
: W) u- d* y6 A8 R5 C
+ ^9 f0 \- u% A7 P9 |5 [6 t* S4 p" Y) }6 |2 q/ w
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
7 m5 m2 [, z4 z) J. ^$ [
. P+ ? z$ I5 \4 |$ W6 x2 A7 T$ \
: Y2 R4 r' k. ~. F) Z0 S
; Y8 H, ]/ Q* n- X
% z+ x, t* q7 E7 {. R6 }# E! N7 G6 R, W
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
. i3 K( I# I+ p" F: [! I
$ I/ J; V, o0 i9 V- n, ]* M2 R! Q
. | M2 O5 z; E , {8 X J w3 ~
! V3 K9 ?3 g1 [/ [9 y
& S$ k4 d0 B' X6 R: i5 G! i& @ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
: N6 U4 G: L3 S& d1 ?" K0 K0 @" ~
5 `. F A9 F9 d( Y Z4 ?4 u6 @
1 F! u* K5 [7 D2 `+ u. E
3 `2 X+ V* o1 ?( }2 j1 K, l
1 p" O' U. {: U A* |% `- p {* |
) c( H0 e: E/ v6 Z7 _2 T6 ] 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。. D& Z3 m1 m$ b. e4 L% t( y) P& O
7 L+ M0 G4 s/ `' u/ W
+ O, a0 E3 r5 ^5 B. n
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
0 G! C9 z! Y$ Q
/ a$ q4 T2 J4 M+ H' R6 W0 T+ u( Z5 @- j
, m7 `- f" R( n: k7 X" Y . g& J) p$ m. V, B8 }4 i3 |$ B% f
|