|
1 F, v% d& V" f6 V( @ 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:4 {& F4 J! M: L5 E& _0 v7 A
- f4 x1 Z% Q) c+ q
?; J. R, ]6 t
4 N! T1 d+ _6 Z! [
B3 m) p% m2 Y3 Y, E7 ?4 c7 y+ j$ `9 x1 f8 H4 Q
然后点vulnerabilities,如图:+ m% h2 V3 `* W5 G2 G2 q8 g7 |
3 l1 O# h+ a, P- Z5 b
& |$ y" N6 O6 T % [# M7 [6 }. ^7 e+ j0 h3 L
9 y' @. r3 T) Q: L# ~) W
" n% {1 M2 ~* t d( O0 i! Q6 v 点SQL injection会看到HTTPS REQUESTS,如图:" v) E& { k8 i$ j+ d. I
g ^! D2 X) ^" e
0 D% v1 y5 I3 K( D1 [( o
5 s, c) k( m* R: k6 l
7 ?" A3 C% W( ]7 L0 j
$ y; y6 Q3 D$ B8 F+ L7 p) U/ m# s
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
, L* D* _( a" a. V8 ?
( K& _1 D7 G0 d7 r0 ?1 D# s
& X9 X# G$ r2 e* U Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:! W5 k; B3 \% U1 U$ `* ~
/ b" B% K+ r* a; o3 |/ j; h0 g& ]7 W4 }- @ g
' n! K8 }6 ^+ x9 \3 @ # ^+ m5 W% V& e) l% {) e1 A( r
0 S, S+ { g* o. G) b 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:4 o% x( c3 @) O* }. H& q1 Q8 j
6 X2 I* u0 r8 i+ k
! F+ m7 w; t2 W
- }( A* _" ~. _& T# R/ s ( I4 M5 h$ [! V2 g
8 w. @+ T& B6 h+ n
. N2 \* y# {( p2 ]1 G . N! y3 u: ^ U
6 B$ C0 @# Y# `" J2 p/ ?
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
& z& {1 Z X" S( M' L
5 l: F3 ?0 a1 Y+ ^3 X9 M9 [$ y. D0 V2 ~. X! ?
% N; L. | t" c* _& _0 @0 p
" e# e) r' f! Z, ^) g/ m1 y! T
8 Z1 _# A M u* g; y
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
4 d0 ]% ^9 |# z" X6 @6 O5 w & \6 s: a7 o$ z+ D
+ k& \. C8 q, u& O7 y
D1 e9 O8 G; j, p" o4 \
# b: O# H6 p4 C2 m, C" q {( U9 A2 q/ Y$ i
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
, h! R2 V8 N, x6 j, f6 x" U 7 |' u3 I- H1 u) K" R$ Q
- d. P+ k% b ` d
6 l# e" s/ t5 Q+ i) _
' _4 S& T* F, a" j2 m0 P
9 M2 r* d3 s4 Z' h. b7 I# @: N* i 解密admin管理员密码如图:
4 g3 O- @4 z4 P6 R# F! `
3 r! U, g9 s L/ M; r9 U o0 r) K/ Z! {, t# p
$ \3 \& @6 g$ D3 t
; \2 l8 d2 p" t Y, x; ?
0 k. h% }# w5 _; x% Q8 `2 d 然后用自己写了个解密工具,解密结果和在线网站一致9 O: U5 \0 |1 M: U4 a" A' }! @5 b
1 v* T( t" F$ e( G( _. m$ ^0 ]7 N# W* A
2 q- I# L& h5 x' P2 g" B& X- K
9 A4 h9 Z( Y% G. ~3 q! |$ M
1 Z7 H+ @ W; U/ H* e 解密后的密码为:123mhg,./,登陆如图:
& A# U9 @4 O* E% O0 b, z0 J$ i
+ y0 F7 X ], r) J8 f+ [& ~; p7 F4 [ e- m c3 @" P# y9 j5 N
# e' V& N6 A' @' |" ?. J) r
" d' c9 ^# T" n
5 y8 t+ A% i+ B. h 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: W" a! O* P/ K
% ?$ _7 X. w1 s% @8 N( v; |6 Y
M" a% {( \" K2 [* S
- d* I9 v) j' }% G
6 h' m' s$ P; z/ E* y0 X3 P! E6 V5 y. h6 E/ j* u9 H; `
7 ~+ w+ I# ]- `" U" z; h( A3 g" I
5 k$ j: e: e. Q" G( c7 y. }& K# w3 N- r9 _+ ~; K
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 Q1 I4 a. d# W( w+ U, _) \3 s
$ i/ y6 @8 G R: H
K8 V0 w/ }/ l: o: E2 i5 Z2 T) d& a
. R5 j7 r' r$ E4 h W " R. H+ b% T9 \/ l
# \. B8 s+ T, y" G+ t+ w4 a; Z
访问webshell如下图:8 F$ M2 Y' g+ f* M1 y8 z' e
) {+ \0 W6 N5 I I
& D9 e$ C/ M: E7 a- J0 V0 \# ]
$ ?) O4 b' K9 x+ o5 O+ w$ X # g7 j$ p0 h$ ^7 L
! d6 I3 E+ ~/ Q% J2 _
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
) {2 Q! T A2 p, m7 h
1 R! B% g% X; i9 e! L ~; ^$ F7 u3 z# i4 ^8 l8 t% ]/ |3 v
+ l8 G& j; B5 d* B
& E3 Y" }$ q$ z$ z Q$ T! H8 D! S. g: M! |, W& j. l
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
# K: l6 L$ s6 i6 o% ] , _( x$ ]9 b+ g- v
( d' N* n; `& t1 E
/ P$ |9 l1 x! T% K8 d( A: X
3 n# S# e3 _4 ~8 J% `" N& m J# N: j2 y
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
' C) a& C: H( U S6 I3 w# G; f $ D) U" E4 }8 w# P
T9 A3 F% k4 l) C4 O8 l& @* B/ d
- W6 b$ C" t+ J E: N
* ^5 Q# x) ?4 P- U8 f) [8 q" c: ^+ c- h
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
5 F! h4 Y: p/ K a( q/ u! T. L - l/ N1 _* i5 s) f; i
& f1 \; C: Z4 [7 p
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!; `3 E2 U P1 J& [0 n. t% X. L6 `% G
$ \5 m) B/ k% W6 t7 `$ v6 M* d0 C9 O+ ^: l1 Y" s( i# c
6 S. O3 O- F# z$ J, O6 O- o5 [
/ Q* M* \% x. s |