|
8 A* j- S. Y% E
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
2 Q/ F( {5 `) r+ r + [2 H* u4 C' F6 m( v* H
3 Y' d6 e; E1 {9 i/ S& {8 w  2 z8 q$ \/ K& T- R0 n
. x$ q4 E- [, b; `3 F
7 I$ O4 E6 Y) I P) P7 h& R 然后点vulnerabilities,如图:! o% A- }$ c! I# M' I+ q; [
: J' w& X6 E5 a/ v0 T, C
/ C8 h6 z3 ?* r3 O4 t 
: c: L1 n% h& F ; J/ k! j7 Q; p: J7 g
l- l# I& b7 m, [ v 点SQL injection会看到HTTPS REQUESTS,如图:
% s! H4 _8 \4 O( c* s" }, R: B
0 H0 h) I; y. {" l6 o) M8 A X5 m# D( [5 p8 f$ O
 & P* m! \2 q o3 K! R
2 L. _* H, E- I$ `
) c! b' k9 P" u j: l$ S# N' U+ T 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-88 N) z+ u1 V+ n) L1 }
; O* z$ E+ X5 x8 A
8 i* t L5 _* f. M* d Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
; @% b- `% r! T; I& C8 Z4 a; e 3 y4 P7 { \3 o4 ^4 _5 d+ L i/ Y
7 k/ O; r/ O0 e* ^: L+ J6 X  & Y9 d6 z) I1 E( {" _- x
7 @9 P! R0 s9 K) p, V( \, |, g
4 s- P6 e. k. Z) f7 r 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:3 C2 s$ c$ _" u1 [' w7 Y: x
& z' s3 N/ E" E+ o8 A" P6 X* h# X7 s6 {# A# M
O. ~* p/ G" M, H6 w( K8 U1 V 7 H& q' a' T% _# T2 l2 b8 @$ Q
. t: ?7 F% ?3 _0 ?5 U% _
, g$ I0 `& ]( U( S) P( E
8 v2 O( c; `% [# r W( W& y
l* L# y# l u' ]. [- A 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
7 m4 ] e- {1 m0 n5 _+ I
- c! I% {# ^& M* a* ^) X5 D0 M6 b5 @5 b. r8 `
* k* C4 W4 p k' P : b- E2 X$ a: r3 t7 s! `
" Y2 l6 W: [: X7 N- o 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
& B3 ?5 v/ l& s' J: c
9 a+ C3 [7 T' x8 H, G* m
) P, Q( l) x4 l; W3 X 
9 z& q) p6 r/ ~- M8 n- e3 C' J- S
) d6 n6 _. e2 d1 k3 X! A# m$ G9 D: e$ i; p0 D
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:1 e% B2 r/ N1 X1 [; J" T% [
- {/ V7 o3 s* O/ _- J* N9 t/ `2 X* w# G4 Y
8 l8 u( w( W, _0 X2 y% Q
: U- a$ |' o; |! L$ ~2 T7 G
" b( E8 d- Y5 B' I' M# C 解密admin管理员密码如图:* j+ ]3 J! X# D; c: z
+ u o( ]9 ^/ x I* L7 g; A- g$ h5 h" i
 $ n( j+ s4 p4 G) y' ?+ U
! k! q+ |. g1 O& D' k& |3 r
/ H3 r0 \& W+ {; e 然后用自己写了个解密工具,解密结果和在线网站一致
$ n# {9 m$ l2 @; K' q7 B " ]1 K/ [$ e$ o
3 i% f+ r6 D, L2 V
 ( g; W6 h/ a# U5 z; k
: }" L, y! Z) F0 d& r) ?% }5 u$ _2 S
解密后的密码为:123mhg,./,登陆如图:7 P3 K5 z5 Y6 `4 K
+ _; _/ Y! d: B6 V1 v
& N& y, u9 @! j H( x# f& i  & z, q3 E. Z1 q" d. _, p8 P. y! F6 Q
7 O- o6 M# p, L) z0 w4 K1 u
/ [: D' P3 x$ b5 k' J8 ? 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:8 H% J7 v& c$ `1 E4 ~
' m2 r/ @- ?2 \1 }$ E7 O& D
& A( Q2 m! G' Q, H+ F! G5 X& b9 h
7 m P* M7 [# }* V" m: G8 K8 U
0 J% C$ X8 A9 H
+ L2 U2 y+ U9 h# K& D( H  % _8 O( }5 E: s5 M2 U6 m
$ Z1 Z7 N" Y$ q6 B9 A2 U9 n7 r$ h( c6 Q( o. ~% w! w
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:2 W; y$ {' ~0 h( g9 u
( w# i. C" s. E+ m4 _& S" ~" P( e
3 e8 @9 P: Q9 H" L- g% c  1 w, @" ~9 b+ ^ M5 p3 k
* G2 q% [2 X; q% k2 e# u8 @1 ^) Z; `* R" _
访问webshell如下图:5 J6 t; i; f/ d- Y- }
3 f& D9 a6 @/ j$ t/ ^3 F3 V& r/ o) X
 ( U1 [" ~ |! n6 `- B
3 |4 w) B3 @; A" Q1 u
# t: Y! H; r) ] 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:5 Q! F# j1 p& U2 [+ y5 t# R
& J e! d! Z8 d4 W) G
; \. J- t6 ?. ]! i* F) s7 }9 I
 ! m3 s( B9 a: z: v: j2 T8 ?
: c0 U. x1 T3 f; v3 F2 G
0 T. v- }) M3 x$ [- O# N' Q; y 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:( w# ]2 O) P7 h X; w. L4 [
5 j+ h. g: K6 V7 F: q4 ^
) |: s2 K- ~8 S/ |
 7 @0 h4 O9 T+ d. }/ a$ j0 K/ I
, z, [3 S$ Q. J; O2 U7 f
" Q; \0 y8 X! v1 q( L; [0 q 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:: g( _. d, }. q# P- b' U( m g
5 | s0 Z9 ]3 N- I& o* F
* s1 q! H: X- \. N, y( d! V
- E; F1 `0 s( C0 m9 _0 l
$ ^# y# j, }9 ?/ I$ j
5 E$ C& S& g8 O1 Y9 Z; Z: r @* Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。3 s. x- U" ^ b, x! s5 w
# `6 A5 g' _- C9 Q5 k1 a
8 g- ], h4 Q- q) Q
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
$ r7 @4 M) R5 I8 q ! w) y7 c1 G# x
0 X# q7 V) k. a. L
" e+ r B( w4 B+ x) g& M 7 _( c5 R- ]' t, u7 C
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对