|
9 v( {. n8 j% X
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
1 e6 @1 m9 J6 r( q3 E# L+ ^ . {# A# ~3 v( u; H. U
) f7 v( S6 Y- M; Y: u, ]
! o. ^- Z* d+ X6 x }8 D ! s2 w: _6 ~( G V( s9 p
: J5 `- o0 N- j8 R2 N
然后点vulnerabilities,如图:
' W& i& ]4 h( }, @7 ~( i " ]% ~1 {) }, u% u
2 x1 V' t4 y+ i7 @. w 4 ?6 \. t/ o& w: E; t
: c( u# i# _9 @: X. t" K
# p4 |8 n3 }" I% a- G) ~/ z: M! J 点SQL injection会看到HTTPS REQUESTS,如图:8 z; ^$ G0 }5 b" s- N* c2 N
1 r) h% y# U ]9 t8 h
6 G1 { }/ ^& L% U
5 M; @- w+ t ?
6 W( F) Y7 e! {* `# A! |9 ~7 j% o) F
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-86 ] q8 O6 Y3 L; o* ^
* A$ S3 m5 J# G% e1 V4 p# }& h2 v5 g8 N" V4 b. t) ]
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
) \% O. ?# u6 g5 Q. g
9 Q0 k" e" k4 M7 R. S# }: J' a7 V3 J
0 a- l: D" S% { h1 [7 s
9 I6 \8 w4 }) Q5 g" W( N, G
" R1 O6 p Y: s4 u% r+ b 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:8 w, u0 |- U, d$ N3 z
+ W0 D# q. ^, _1 \6 T- M# l6 g* F' \# }/ S* d
1 C D- s* @( h- h5 o
' F9 [/ {, z* \: ^* p: @
; ^) H# S) Z) F) t
/ w; l6 J# e; C$ |3 i $ t" S/ k! p& o* {* B4 T: m, p/ c
& b6 r7 u2 m9 Q! R1 i2 Q
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
. J: ~. \6 |4 ?3 C* H + r& {6 u: `7 Y, Q, U( q; B: y
0 A3 D" g0 N, f+ j8 \
+ s5 I1 ]0 j8 D' }+ O* J* n
$ I" s' X3 l+ b7 X# y2 S9 q
4 T* L! X+ n# k! {" l: m
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
2 F- W- J1 {5 w( `" ~2 b" g
) i5 e. i, d9 ?) |1 i
6 _) w+ @7 {# P* s & w, j/ i, l) B# ^0 e# m
5 P/ y7 Y, W+ M0 R3 O* ^8 F
2 u, T& Z! }+ Y/ X1 w5 [& f 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:7 \3 X' g# T& I1 e( R2 j2 I& }
! U9 u! R6 i" {) b3 N5 E/ h) W) ^ i/ y+ ~6 w" n
' H9 `( k5 u* S5 Q+ k$ I; D8 r! r ; U0 L. c+ W" n
6 v2 v9 b9 p- ?3 W9 A0 V1 ]0 A8 u2 x 解密admin管理员密码如图:
i) z9 \* u0 H$ O
- |% E* j, z7 P% r! M5 N
@+ w# A h' g% a- o, X
8 n* O9 {6 o- `' O* G B% y) J" Y5 S/ q9 b
1 s7 e/ }/ ^8 [ 然后用自己写了个解密工具,解密结果和在线网站一致+ ~/ ?" @! P% f8 A
3 D0 |7 d8 z! Z* O; N
7 l) U7 v/ C B2 {+ b* @' B; U$ Z
8 E1 g. H# ?& S: {
; `; ]; X9 X& m# B; |. s+ L6 Z8 K+ `9 c7 n' M
解密后的密码为:123mhg,./,登陆如图:
; K- b* T; [' ]
0 P2 o# p. |4 Z7 y. K3 A
6 @/ ]8 {, L% D1 B9 ~( t1 H ; F* Q0 p! g |( X
+ U6 L; S; ?9 e' K
! w6 \* W" }0 u 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
0 ?5 m K I2 D' M' j, Q+ ~ . g1 b! ~: B5 v9 o$ x% E: i
9 r+ D- M- T; F0 W( f: ^
1 H( a4 ^+ y' m3 q5 S6 S
) V! |. B; L- h, s p A2 j
2 B$ s# _7 f* ^+ Y 5 ]8 v- B8 \; n- j* p X
5 ?# l$ R4 `6 d, V
# S8 P$ l& t) v+ p6 P 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:; }3 f/ F% k0 B0 [% n) V
* i! Y- c; D9 _ ]
! L0 i: ?6 o$ }: R e
7 j- s' s( r% C9 W [
& O+ n+ ~2 M7 k: M( \9 c5 G9 v0 s. y" }4 b/ {# H P2 o6 P
访问webshell如下图:1 ^. D9 S* J( Y2 X$ s3 L1 ~" ~) a/ N
' a, z o; M. ?0 ]' o( Z
9 I q- n3 E6 }5 i # y2 Z% h O8 e5 V* r# {
7 A: q/ _6 C) j
, L6 V, F6 ~4 e
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) _/ A- I2 q1 D n+ T
% o& Z1 \! j" m; A0 D0 k: u
. g% w3 k" L% ~: _6 `' ?, c
! ^8 v1 z$ T0 c& C* [ ! l7 ?* X/ {" B& f2 T ]8 u) K
T% |8 H" o$ {- X8 ^6 ^: N! K- ` 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ a6 Y' [; t k/ H" L
2 C; z( [2 Q1 c. A4 S3 L l
# v- C( c; ?3 ?0 h j ) w! {1 z& b2 Z
* Q9 |. c& R& g8 c8 L4 h7 F5 |! a% {/ V. e F0 d/ b5 |' H
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:! m1 c$ d' f6 q( E
; o1 L3 `- e+ h: M* J7 u0 `/ K/ p Y8 c& F# R
3 ]! q m6 _7 S( z
4 n& v& O7 s0 Y: e, o* a& b# d A( P% `
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。% l3 ^3 I( w0 _6 z1 o( K/ K4 a+ z
' q+ q% T5 x5 ]# J# J
5 g8 t5 w: M& {; L 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!8 F2 E5 E& ~1 V9 d5 j' I$ S t
9 p. l5 z' b6 _2 P5 ]; o3 U% v, N: r A4 A+ y3 _0 ~( D4 b
. a9 r! Q2 _7 Z. {6 K) |, L# e % N5 r3 a1 o" {
|