|
7 ?& a9 P: g5 D' o# C6 z 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:% w1 a/ Y/ O" ^
% Z. Q' P# t; G" n+ e1 R, w
/ B% ~+ q) h# z/ ]+ I! X& j
5 w* S' |' q% u8 M9 S& ~+ W
8 G |7 B2 F3 N( l# o( t6 U. O/ j# t/ i) N2 }
然后点vulnerabilities,如图:
V/ @$ I( m+ U$ O8 \
0 R6 e5 _: F5 }4 g* g( ^7 m: z" ^3 w o- p4 V& ~. d1 \2 `
 3 k: ]" C `! y- n
8 a2 ~$ g- G9 `6 r! I3 ]
L0 @2 s9 i8 }7 P3 H$ u. k
点SQL injection会看到HTTPS REQUESTS,如图:
$ _; J0 ^! X# z- W6 M) m3 h7 F ) U$ I2 U2 C# d* }
: l5 G& I' ~4 f8 r. i3 ^( M# `
 ; i2 f/ O3 ^" H5 N0 M8 }6 }
6 z* r' W: t9 X: v; @0 S9 j9 m; e b; b9 \' M3 t
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8, h' g7 T# a$ v
: Z& i, V9 l7 F) ^0 w+ S) b5 O/ a& \2 ]+ o: W* R8 @9 x
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
2 U0 O$ C# R7 g9 w' C
. k6 ?4 j6 u& t) y* \ ~# E/ h
8 E. ^$ r; F2 V/ \$ F( c8 g7 U  & k* m1 m* G/ n) l6 ]( D
$ d% j! l" g% F7 M! M1 L8 o8 }8 [- B! _6 j6 Z; N ?6 h% ~
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:' p R: O+ W) W
* M0 C- G8 T: S _3 i V' T% z* `7 k/ \" [
1 m+ g/ a; L$ S4 n8 I / t: b3 ~' y' N0 u# b
( v3 ]) s" ?; _% M: e; h/ d! B- G 
. O ~# X/ l5 Y ( u5 q1 G9 e8 f! d. F
$ l! C4 `7 K/ I( ]/ W5 m
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:; C0 H X% G6 z$ b* H
! }2 A5 x0 x2 o% Y
l; H: _. i5 r7 b5 \1 T3 s d# D  2 Y* }% e2 J, E# G9 ?) S* K
' W: m% y/ G& [, i: I5 y
/ O! p4 n6 v5 Y) J2 X 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
4 p8 K/ r: I7 S/ f
; o% L1 \; i, p' n( S. D7 [9 O" N" ?
2 \6 b) b/ L, C& a9 j- G  0 a) y O( P8 n/ w$ K4 ?& E
F) Q- ~, J& a, h1 ]
8 ~( d$ ^8 C* B) R9 p. j1 f: `6 O. k: U
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
0 f. i: L h5 q6 D: t. u
! m' G; L) e: C% d
6 x: N( ]& W# D5 X5 t4 K. w  8 q1 w6 C4 v) z. x; X" b( w3 R% J
1 R$ @) q8 k y* P, ^2 Q7 c* {. G
! m. V' V6 X; _1 H 解密admin管理员密码如图:( H5 ]0 f* A0 P- f+ {+ ]! P# o- F
/ x5 f* Q" y' v! @, B
3 m/ d. q) C l0 d8 H% t7 T
 - P& T+ o$ ]0 ]
O: A# g% _, A; y2 X
* H3 [6 d3 t. k) c 然后用自己写了个解密工具,解密结果和在线网站一致. a" h. ]5 w) D2 V
; r; x2 i* `5 ?. E
, t" S; ]0 b& }2 P  r& D5 I) B' H+ A
6 R/ N$ t7 D* U3 L0 J7 m5 Z9 v
+ A' Z, t# I: \7 Y 解密后的密码为:123mhg,./,登陆如图:0 u! m# S1 E% S5 S# ~) C3 n
% F m2 G# ~" w% u# R
! G% W" }8 o& m5 q# J9 j6 z8 Z 
' k0 ` Y& x& w " w5 i) F' A- X* ?+ p# T
6 u, u) J0 n. G3 l
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
4 {: u) r% W! w2 p
* `$ ?0 a2 w6 y8 ^
, ~! r) \2 e9 e, l: ^. y  / l2 K" S" L, s. A+ }) C* z+ E
: u" d- B6 V2 q0 j8 R4 o5 S
" u9 b* L9 @) }0 u* | 
, S- k0 b( X( _$ b
: B2 R; k3 T; z& q
$ Z7 `- q5 A. y 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 C2 D/ ^7 i. ?; E" Q; p: b. ?
) z4 a& B! @) [0 a* k: e: c; s' s4 ~9 f; @( q
" P* F/ k0 V' u/ s+ }; t ; g7 g2 Q2 h. X4 C
& s9 r2 Y$ R6 f
访问webshell如下图:3 [4 H9 s; ^# Q! x4 i( `) N$ `
, R9 L2 e. z5 d0 k2 M
! b1 n. u0 ^5 E( Z! x* Z
 d8 t; Y: T' U* K( w" T
3 @- q8 _5 F/ e/ q4 w9 F
* S3 z/ `2 C8 z v m: { 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: U9 d" V& l! a
3 y8 O# Q9 o1 K8 a; e! f9 a
5 Z. o; i E9 {6 m; A8 ~  . Z1 e2 u% H: |' u- B7 p; n5 j
! w! U. {# G6 u: b- E6 Q6 h. \' }6 b5 d9 L7 i; V' Z4 ]
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
$ H! m+ P# M4 w. S
8 ^* S) y# h( j( j1 t F4 q6 [0 a
; q1 w* k' N" f7 X( {  : t* {/ M, G2 ?2 }
8 f s2 u6 T# {2 Q' A- H/ L1 ~
8 _( D$ K) k2 J6 O( g4 ] 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:0 [" s4 c z0 X6 N# ~- b& Y0 Q2 H
8 _& _% J1 Q$ x: z4 ?! K3 n7 Q9 L* x0 c) R" D* O
 ) q& n c* V" F+ w) {8 q
% g* B) d* Z0 }6 v: S, x! \. I
# J5 V( P, |4 ]9 }' j& I' O) D
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
! U3 R; d8 W1 C7 H8 \6 Q- X% w& w
% J8 j) t. l, N f" m7 K3 q; P6 q; j4 r
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!: A" a) L2 K& Y% I: a( m
A/ C5 z! @9 X6 C6 A. ? W
( K* `1 j: z; {$ m6 ]' \; ~$ x8 a " W$ V4 y/ q7 T6 z/ j9 q, W
* L, a0 b* u: B7 e
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对