|
) B; ?2 t% W' ?/ c0 V" M 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:& [0 |' g# ?' b8 ?: I! H6 i U9 r
* E1 k3 k3 y9 R# G6 G! e
]1 Z. L5 ~; T3 n0 a  / j/ U2 v/ T) h+ g5 Q$ v$ @! l {
, M2 Y( Y; I6 z. _' o8 j9 C
* Z& R; m6 n; X4 x' Q2 D$ L& z: @ 然后点vulnerabilities,如图:. @5 D C% s& F! e' w1 V+ H
9 K: E7 u, a# \- }; b y
7 S9 u$ e; O* t- S( h( P
 $ A! X* b' i9 y4 C' D! W
, W9 i4 x4 \# y. c6 R5 l w3 @" g+ i9 h; U
点SQL injection会看到HTTPS REQUESTS,如图:5 d1 L% o# Q( F! w4 q4 \
# @0 `. t3 E( M
1 G( C" S9 t- f# `# h% j
0 b$ Y9 _7 E% N- k5 z9 l 6 [6 I1 X/ }" S" w1 C* }9 W
% y) K' A4 ]/ D- F6 \6 ]* W1 o
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
$ g$ S2 A/ W \* r6 E" n. o; W2 K * p7 }( J( h. U$ @2 o* z
* v2 P7 N! c6 b5 `6 p
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:- O% y6 G0 i" F8 A4 W& a9 \! s# p
. h$ _1 ]8 M9 R! F$ q+ ~& ~ q
: A$ D6 V5 V3 M  ; ^. k$ ?; p9 _& y0 U5 h9 {
$ B7 K0 E& n4 a( v* a& b7 r; ^4 B
4 u- b! d+ v' l I 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:& y4 ~/ r, F. ?2 B C- ]
) M9 B* Z8 S% v! {5 Z6 e# o5 Y0 n2 m2 P8 m6 B; W p
 ' z! O( M. Q( w" e9 {8 [% m/ X- y& i
0 J4 f2 j6 e( L
3 e4 [' P9 \' }( F4 U q  9 ]8 @% a* \- }& j
) R7 d5 f/ X9 m( f3 U6 q1 ^) m- m( v1 r7 G
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
" m( l7 v. [4 Y F
6 O* C% P* Q4 U# _& I: L
9 Z( Z6 ]. ~- ] 
* M1 ^3 Q; R: Y' {$ |1 g
. e1 E; A- y4 b* ~' K, Y) O1 V* m1 E5 z( F7 N
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
$ w' Q' Z; c% x : k. p8 L( L5 |0 ]: h1 ]
9 O0 ?' C: L& @% {# L, k 
: N/ \: `( j; } ; R! q3 f% K& s6 Y1 F. Y- H" U
4 ^2 i& I( S- x( K 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
9 e6 A4 d8 `9 z
; l0 _9 V3 _( U
* q) p( h# r* B' z8 a j( W* g 
, A# \( m- ]- t' K3 M7 g: S! y
) p3 G; W7 a) v7 m9 v0 w! x f* u' p
解密admin管理员密码如图:
# J; {4 Q3 l: ]$ ~- v5 T
8 R+ z. h: y+ [; [4 P: M/ O1 t3 O! V
% l$ z9 v v: ]6 s E% Y  + f6 F- U& a8 F; E, N
5 \2 T. ~, m* f# c7 B: i* l6 u2 k& I9 D$ o: ^) }7 O$ N
然后用自己写了个解密工具,解密结果和在线网站一致) R5 Y+ x. i0 G$ f% X0 f& e/ |% v
1 d8 P# s: V S0 @! T. A
* q+ k) z& Q. N 
j, K+ e( m% v o; r% l% t6 W( a
2 W5 c2 E" }! `& a& q% a' l4 t: Q1 Z8 N( b- E6 o+ l. ]( ]
解密后的密码为:123mhg,./,登陆如图:
5 G; i2 Q/ D a8 t! h3 [9 X + u( `( K# ^+ K6 Z5 V
* v+ f" h3 e1 m3 }+ k- l2 C 
y6 w7 E/ e% ?# Q6 @8 X % {$ q; D$ x$ q. M0 b9 G
9 o: |* \6 e: m
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:5 C- v, e, @5 N- G8 q# G6 K
) @" o" ?1 Y& F* ]6 \% L4 D7 c8 M) B8 Q# }
 & E; T0 `8 t0 Y/ J* |, b! C
& ?" c X b8 M v
* f8 L1 b3 q: S$ v% F$ K 
1 `. h6 ]3 s; \) y& G% x0 V
9 `' [; N1 Z7 _1 A" W$ G+ y% g" n$ v, O
- P# J0 |( s1 {8 `; R 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:, R+ A4 K2 v; h5 ~, U
/ K, w- \& B1 n1 B; Y
: }& Y' X7 m2 ~! }) S
4 f* u* ~" o, c# S
8 F" v, {6 z/ C8 b
3 Q6 y( n; K/ {+ v: y( y 访问webshell如下图:8 r3 A' h! t" h+ A1 F3 O
$ y7 B F* `7 U# `! `# J. S3 |2 u/ M5 C7 @7 Y! m, O- @
 8 Q0 r8 g" S2 U4 n: O
0 }% s) W2 g. D5 g( `5 |* Y5 Q- q( ]* u
& D2 a& b& [# ?9 V
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
7 ^: W- C' X9 c$ R1 f, A & @; n- G3 x2 ?( @* P: u
' _9 j& e7 ?; L0 c# H. p* m6 Z, _  0 V9 |: r/ j! U3 k
* U" e0 d6 D, |. X1 U
7 P' q) J9 T0 \5 { g9 t0 \# ?7 Q 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
3 h% z: u- `" O) V" H
, c3 s- E9 Q8 e4 C& v
- u" `2 s) V5 S7 N& H  : k- h5 Z1 x E
3 Z7 k4 A3 O% P
- {* O: n- C' ]0 ~; K 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:& J4 P; [( v# i+ H
?* j }3 ^2 m& b' x8 ~
/ u6 O" O( m6 P9 U7 l: l  ' X% N* i6 z) S6 g2 I- v5 L
1 }+ i: a( m5 b7 a) u% O
0 L5 W* k9 x: q0 M8 }" }8 I 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
" r9 c( D% {7 r" d0 U/ r) Z. W
7 P' d; F& V0 q
9 P+ ?% P$ m6 ?7 M 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!- g2 f6 {6 D! \
1 w( e! I* }8 j7 t& C8 j
+ X# u% n7 [$ u8 v
$ k- N- {) i) h0 }, v5 g% x
6 O9 p" m X+ g | 
发表于 2023-11-28 20:23:22
收藏
支持
反对