找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1658|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

7 ?& a9 P: g5 D' o# C6 z :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:% w1 a/ Y/ O" ^

% Z. Q' P# t; G" n+ e1 R, w

/ B% ~+ q) h# z/ ]+ I! X& j image-1688134638275.png 5 w* S' |' q% u8 M9 S& ~+ W

8 G |7 B2 F3 N( l# o

( t6 U. O/ j# t/ i) N2 } 然后点vulnerabilities,如图: V/ @$ I( m+ U$ O8 \

0 R6 e5 _: F5 }4 g* g( ^7 m: z" ^

3 w o- p4 V& ~. d1 \2 ` image-1688134671778.png3 k: ]" C `! y- n

8 a2 ~$ g- G9 `6 r! I3 ]

L0 @2 s9 i8 }7 P3 H$ u. k SQL injection会看到HTTPS REQUESTS,如图: $ _; J0 ^! X# z- W6 M) m3 h7 F

) U$ I2 U2 C# d* }

: l5 G& I' ~4 f8 r. i3 ^( M# ` image-1688134707928.png; i2 f/ O3 ^" H5 N0 M8 }6 }

6 z* r' W: t9 X: v; @0 S9 j

9 m; e b; b9 \' M3 t 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8, h' g7 T# a$ v

: Z& i, V9 l7 F) ^0 w+ S

) b5 O/ a& \2 ]+ o: W* R8 @9 x Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: 2 U0 O$ C# R7 g9 w' C

. k6 ?4 j6 u& t) y* \ ~# E/ h

8 E. ^$ r; F2 V/ \$ F( c8 g7 U image-1688134982235.png& k* m1 m* G/ n) l6 ]( D

$ d% j! l" g% F7 M! M1 L8 o

8 }8 [- B! _6 j6 Z; N ?6 h% ~ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:' p R: O+ W) W

* M0 C- G8 T: S _3 i V

' T% z* `7 k/ \" [ image-1688135020220.png 1 m+ g/ a; L$ S4 n8 I

/ t: b3 ~' y' N0 u# b

( v3 ]) s" ?; _% M: e; h/ d! B- G image-1688135035822.png . O ~# X/ l5 Y

( u5 q1 G9 e8 f! d. F

$ l! C4 `7 K/ I( ]/ W5 m 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:; C0 H X% G6 z$ b* H

! }2 A5 x0 x2 o% Y

l; H: _. i5 r7 b5 \1 T3 s d# D image-1688135070691.png2 Y* }% e2 J, E# G9 ?) S* K

' W: m% y/ G& [, i: I5 y

/ O! p4 n6 v5 Y) J2 X 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: 4 p8 K/ r: I7 S/ f

; o% L1 \; i, p' n( S. D7 [9 O" N" ?

2 \6 b) b/ L, C& a9 j- G image-1688135098815.png0 a) y O( P8 n/ w$ K4 ?& E

F) Q- ~, J& a, h1 ]

8 ~( d$ ^8 C* B) R9 p. j1 f: `6 O. k: U 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: 0 f. i: L h5 q6 D: t. u

! m' G; L) e: C% d

6 x: N( ]& W# D5 X5 t4 K. w image-1688135130343.png8 q1 w6 C4 v) z. x; X" b( w3 R% J

1 R$ @) q8 k y* P, ^2 Q7 c* {. G

! m. V' V6 X; _1 H 解密admin管理员密码如图:( H5 ]0 f* A0 P- f+ {+ ]! P# o- F

/ x5 f* Q" y' v! @, B

3 m/ d. q) C l0 d8 H% t7 T image-1688135169380.png- P& T+ o$ ]0 ]

O: A# g% _, A; y2 X

* H3 [6 d3 t. k) c 然后用自己写了个解密工具,解密结果和在线网站一致. a" h. ]5 w) D2 V

; r; x2 i* `5 ?. E

, t" S; ]0 b& }2 P image-1688135205242.png r& D5 I) B' H+ A

6 R/ N$ t7 D* U3 L0 J7 m5 Z9 v

+ A' Z, t# I: \7 Y 解密后的密码为:123mhg,./,登陆如图:0 u! m# S1 E% S5 S# ~) C3 n

% F m2 G# ~" w% u# R

! G% W" }8 o& m5 q# J9 j6 z8 Z image-1688135235466.png ' k0 ` Y& x& w

" w5 i) F' A- X* ?+ p# T

6 u, u) J0 n. G3 l 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: 4 {: u) r% W! w2 p

* `$ ?0 a2 w6 y8 ^

, ~! r) \2 e9 e, l: ^. y image-1688135263613.png/ l2 K" S" L, s. A+ }) C* z+ E

: u" d- B6 V2 q0 j8 R4 o5 S

" u9 b* L9 @) }0 u* | image-1688135280746.png , S- k0 b( X( _$ b

: B2 R; k3 T; z& q

$ Z7 `- q5 A. y 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:9 C2 D/ ^7 i. ?; E" Q; p: b. ?

) z4 a& B! @) [0 a* k: e: c

; s' s4 ~9 f; @( q image-1688135310923.png " P* F/ k0 V' u/ s+ }; t

; g7 g2 Q2 h. X4 C

& s9 r2 Y$ R6 f 访问webshell如下图:3 [4 H9 s; ^# Q! x4 i( `) N$ `

, R9 L2 e. z5 d0 k2 M

! b1 n. u0 ^5 E( Z! x* Z image-1688135337823.png d8 t; Y: T' U* K( w" T

3 @- q8 _5 F/ e/ q4 w9 F

* S3 z/ `2 C8 z v m: { 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: U9 d" V& l! a

3 y8 O# Q9 o1 K8 a; e! f9 a

5 Z. o; i E9 {6 m; A8 ~ image-1688135378253.png. Z1 e2 u% H: |' u- B7 p; n5 j

! w! U. {# G6 u: b- E6 Q

6 h. \' }6 b5 d9 L7 i; V' Z4 ] 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: $ H! m+ P# M4 w. S

8 ^* S) y# h( j( j1 t F4 q6 [0 a

; q1 w* k' N" f7 X( { image-1688135422642.png: t* {/ M, G2 ?2 }

8 f s2 u6 T# {2 Q' A- H/ L1 ~

8 _( D$ K) k2 J6 O( g4 ] 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:0 [" s4 c z0 X6 N# ~- b& Y0 Q2 H

8 _& _% J1 Q$ x: z4 ?! K3 n

7 Q9 L* x0 c) R" D* O image-1688135462339.png) q& n c* V" F+ w) {8 q

% g* B) d* Z0 }6 v: S, x! \. I

# J5 V( P, |4 ]9 }' j& I' O) D 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 ! U3 R; d8 W1 C7 H8 \6 Q- X% w& w

% J8 j) t. l, N f" m

7 K3 q; P6 q; j4 r 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!: A" a) L2 K& Y% I: a( m

A/ C5 z! @9 X6 C6 A. ? W

( K* `1 j: z; {$ m6 ]' \; ~$ x8 a  " W$ V4 y/ q7 T6 z/ j9 q, W

* L, a0 b* u: B7 e
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表