|
/ U* W" y, v, W, X( X
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
) X9 t a5 p7 _4 r ^. l0 q# v8 X3 t
5 Z/ ?% d4 H7 t1 ]& {# E' Z
Z" w d- f) ~# t( e 
# `7 r1 P9 U1 `+ J: b9 z6 y # {8 d; @! b' \. d0 Z4 B" b; V
* f" b5 {+ i* G" `
然后点vulnerabilities,如图:2 h8 J5 L0 Z2 w
# B5 M- S$ {8 y% w3 k2 q
: \; l* X6 i5 g3 C" y4 ]6 H3 { 
; E @0 P/ s4 C$ z# U1 A
* z8 {! k) l/ _$ @# N
" m# m- A N9 n% C( ^! X1 U( D 点SQL injection会看到HTTPS REQUESTS,如图:' C0 P/ ~8 c/ f+ N- D/ j
, K/ i+ e/ n4 i' N
" ^ p6 [# F! C2 D2 S0 y  7 G( ?5 m4 X2 |8 B
$ C( S2 x" T. t- [
1 n7 O% e1 D% I
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
1 x- y0 |" V, X, F
$ K# }2 }/ Z3 J
6 K7 l9 h3 ~$ K. g ^ Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:/ k# \. Y* W: |
0 j8 \# G+ t4 C ~0 X s
+ O' W' u" `6 g7 F2 G/ _  8 v& D8 V* h0 U: D& X& W6 r
& _; n: s. _+ S- u. I
& B0 q2 \9 n$ ]; q# Z4 k 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 }# n- f8 i7 P5 f8 c, }
$ |! Z0 V2 s4 R% Q7 C$ \7 v2 F3 f L" n
+ ?# R2 ~6 o7 o 
' N, F. a1 T6 c% `: k
7 X9 q# t( w6 z4 j* q$ G D5 d0 f" x7 e
/ G! J7 T, {8 O. H" k2 K  1 X* T9 v4 u. n, \, G
( T0 ?( { C) j" Q8 ^4 }$ Z
; ^; r0 C, v, c9 Y$ N 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:# E, Z) e9 n; j' J. u, p/ ]
( j1 `. j# X, x5 E) m
) i O5 u' s! o; A) a6 c3 U
 & H2 z: a4 Y* m' e( b4 p* j
- O5 a; [6 Z" b
" e2 t/ M4 ?8 c, `' M6 m! A 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:+ c' i: _ ^& d. h# A
# M) A6 B) _& ~* S, X& ^
, F {. c/ C% E" l2 ^& O  ! o# p) H( C$ e9 M* N: J/ C0 t
1 m8 M/ E$ S+ ?9 H* {# t+ h; V! ^. V# q$ ~( p
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
! u9 Y0 Z# z. i7 x 1 b* d' w& K) V
3 f* V) F% j; y9 R2 ?/ r
 + F/ p+ |, i' I4 J
; \ R/ `9 m- W& V# o9 J; ]6 g" ?# T1 g/ I) r- ]
解密admin管理员密码如图:( n2 ]4 E) u4 p9 N, M$ K7 B
8 R0 I7 m3 L4 L/ T; x" _4 s0 r5 ~- p. J7 `
 $ W, r8 ]6 t3 q2 T& v: L) `9 P
# J1 Y4 z1 h8 L
7 q) J4 E& P. C1 k+ T
然后用自己写了个解密工具,解密结果和在线网站一致
$ X# h h6 s0 F% A: i t' M a9 J ; L, p9 \9 ?# T# b7 d8 s! V
0 [5 F, ~* t/ V- v; @* ^3 I: s+ o: p 
( u( f- {. q) _2 ]! r q9 _0 e
- m6 c; D: b* }
+ ~* a6 b3 |. m- Q; ? 解密后的密码为:123mhg,./,登陆如图:
$ b* B; p0 O3 I8 v- b1 E
" f# z# q& D5 v: A. T' Z: Z' d5 {, d1 v2 J% m
 $ D' b, |& X9 y, X
+ j' |% H# W" |' G! n: M5 X' o! M2 x+ I
; O# ] y! v, j8 C 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" \, K; \7 L' l- J. b4 _
4 P1 |0 T9 ~2 X: d4 n: z6 N; Z! P- i$ h9 i
 . W5 E- F, J2 W
, d2 `8 |3 a, Y' a9 L0 g, \" R5 p6 ]2 K7 C3 F2 y" \8 ~
 # J1 v2 C* c$ D- ?0 e
$ x" h! C+ `% ^, L* ]% H& U% h8 o8 S2 I7 s: J' k J0 Z0 u
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:! X8 p# f) \/ X+ z- j v! M5 F/ ^
+ M( m& P# C+ y' S- i* [" v8 A" \# _, j. D
j ^4 v3 H. Q& B0 K; T
( z! i$ G9 e" w% Z2 k4 m+ ?/ G" B: C! O. J' a7 ]4 `
访问webshell如下图: ]. Y% l/ Q1 H _4 s2 Y& V6 u7 ^
( j3 X _ v( t' B; q# z
. I0 A( Z1 @2 [; [8 r C. _" E4 Q  7 I" L; E$ k! u& h
. x+ m4 E+ M8 m- l' H0 v5 }
# D8 s: [( O9 m5 O
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
) ?! D, [4 k4 R! G; g e
+ n) e3 y/ v3 Q
3 q8 D# o) h0 V) j 
5 U- Y$ P4 U4 N; h0 K $ D6 ^2 C. Z* }
% P4 m+ q7 \' [* F6 B$ S 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:& |* z* W' W1 L9 t: W) J
' E8 g3 X! }9 Q' }8 W
+ @; H$ H: Q& k  4 T# ], C- n9 R
}$ E' k5 N7 H) T. U& g- l
0 X: c7 g) _0 L2 r* J% u 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
7 j" ^- m* X3 X1 P# h7 e7 J& t $ v$ R7 |9 G' [
9 m( w# q* ^' J' q' e/ J# g x: p  5 ^0 C- E4 u" T5 I, u
( _3 Z& k5 o5 w& r* V; D' {' U6 c* F& U7 S* S- y
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。$ u- F+ A8 X* [; m
* P" h/ p) k" P( G* f( E3 S& C
7 H9 p. n. l8 ?. t& v
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
f* g& x; ^- N# x2 i! @ ) i- f" w, J* G( m _
# ~1 |0 a' A" h5 x- y ?. [9 t' r
% ^" A: q0 Z I: d R
+ c6 m1 }1 \: }( w" f5 I! s | 
发表于 2023-11-28 20:23:22
收藏
支持
反对