|
% |9 _( a- J$ g 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:+ T+ ]: `2 L/ T/ z
" u9 ]/ W6 N$ R" o/ J: @# w* G, L$ t# W" `' J! c
 1 L' D- K, @7 l6 a+ n" v
. B( b7 F. \5 U8 E+ e4 [
* s. N2 N( S1 X+ u3 C( x( \
然后点vulnerabilities,如图:0 Q* o) m9 [0 c2 J7 W' E4 o
4 K) A6 K2 {. E9 L9 f& @
$ b8 ?; y5 z2 i+ h2 f( o" G
7 E5 Q" {% a$ \* e6 G/ A; x6 _ " g3 C5 J7 S3 N3 B* j! K; u
9 z0 K# c7 `7 R4 k8 M$ Y1 U
点SQL injection会看到HTTPS REQUESTS,如图:
9 [, l+ m0 U) y# N
9 K* K5 B# Y/ t3 p
8 c4 w2 ]+ x) G+ ~: q. x  1 ?* z3 W' P9 m' x1 s3 R
' A5 Y, c& p/ Z# P
. {6 v- Z9 O" Y 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
& Z% ^ y+ R4 u " V) I$ S% F. B# S; Y3 a
$ L" e/ a/ m- W& E& R/ L0 E
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
% x: A1 `8 R1 V4 }. u: ~ ( u% @- n$ ~ {2 _
* x* C y$ s( h9 z, B6 K s& G 
4 n8 D# i; n$ P6 O7 b
: \( U5 ]& G7 T- d4 K2 N& u" _1 T: l' g! T, O! s3 p4 O/ j, @
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:6 Y- V2 l m8 [2 I
( ^' v! r, F/ s' ~: [ h1 V0 }% N/ V5 G# G
 2 |) n( b; Q2 d
3 ], P7 s+ @# | Q! z) L5 ^
9 E1 j. G, M, c P9 e  0 C0 Q+ X9 F, Q! c: p1 _
9 L" c% p# ]& g' P" S; `- t
4 ?5 Q U2 y X3 P
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:. u) B5 [# J7 X
& A. U8 d2 B8 w( x* g
- U- y, O) [! i% L- ? V  % d f6 A6 ^2 Z h8 z
, g" ?: `1 w9 o# I
4 z! v. [6 n: {: ^# a, V9 S5 p 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:8 ]3 d# w. J5 I/ ~7 J7 P# k* F
* C( K( V/ z/ K4 l5 n
: h3 m$ r) c4 j* S0 [; c/ O 
- g ]- ^( l; }7 f
6 q3 }& i8 N9 K) s8 v' N! C
( |: A G w' A$ G5 C3 i! n 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:2 n% A' z# G4 ^$ B
3 {3 m/ u. l9 _% T9 U, N2 ]" A0 y
) I7 o8 _, [/ r' [8 S5 a: @
" V5 R! P9 M6 m; N+ ?+ M 6 z1 O, q5 _' K* y2 J
! @1 [9 p& I" j& Z5 M# A 解密admin管理员密码如图:
: m# G5 L! X" n$ h! P v) A3 u * M) u- y4 ]4 W# R: s+ J
9 `6 y; G- N% `# U6 @( v9 O5 D t  % S1 z* E& |6 ]+ H9 a
& K" n1 x' A. ^& \# P2 P- l, T8 q. [
5 M8 }1 w7 @% r% Q! P% j" q! r 然后用自己写了个解密工具,解密结果和在线网站一致2 ]$ E/ F; b: r1 Z% x
. P U- ]# d8 {- V4 m
4 W# w% t' _* @8 [3 [1 `/ P/ O s5 {  1 `$ c3 |5 j( C! |! ^7 L8 L
/ ~" f1 D* G7 `$ }# l a* l
$ t. ?6 u v/ W% A/ R/ ?! r3 N6 B 解密后的密码为:123mhg,./,登陆如图:
) v2 o& t; R( [" O* l K; e 0 k" u# }7 x' [8 @9 t* Y3 L) g- I
" ~8 n$ X' z* `( y% R$ A9 c
 " a. Q! l8 D s+ A1 D
O( m8 m, e& E" k7 ^# v* z9 X
7 y* c% s3 V) q9 v) q) x 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
$ H9 G: K) C; r% y* i6 V1 f, L: A ; {& G2 ^9 k; V; f4 c( A% W
8 {; t1 G2 S$ q
* E5 c4 O+ |2 [3 c7 f; B * I6 d G& Y% o% W4 ^; ]6 u
) z. H3 d2 X5 S+ d8 @ 
1 x0 R3 s0 I% K8 N0 v+ Z4 x
4 o' T( b8 [8 h: W3 r8 x+ P9 @: L2 p" t8 O# a) |
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:; _ x2 n S* h# E
3 n* P. f9 M @/ k# a' o; Z$ R/ {' y) I7 E
" P6 c$ e4 ~6 v9 I! c* L2 P + ]4 @* [( i! X2 x8 Q& O- l) M2 h
% C# P7 Z, G2 H2 |" R
访问webshell如下图:4 j! _' L* b" ]8 p1 D3 S5 J# l
$ ~7 v* N; G( C
- _" m! }9 J6 ^- W) G7 z7 g& M# F
 9 k( R7 g8 m* D6 R/ O
, g& z. m( x, |9 P
# x% b8 i6 p/ @7 G/ _) d, V 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
8 e7 G4 P% O/ ~, p9 k
# \8 L' C9 |# n# w0 I
1 k; b4 d% x1 w9 I  ! F! q/ I. M' p- N9 r
V: v4 [+ k) X$ |) k2 ^( N
& ]- d! Y- D3 ~4 v2 Q I 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
* l4 G' y+ ^) j 0 i; M2 A% D4 w- d& d& |$ b8 B
/ x2 U# L9 ~* t( C7 ]9 t
 ' \9 Z& j, a# v. h0 o+ f
+ r" R2 B8 x. Z. d6 J* p
: b% _9 Z$ Q6 Y0 D0 i 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
* @/ C& u' J( i+ W3 m3 H9 [6 { k+ ~ & W* k. F0 j( ]7 V2 W& m
) U: p0 e# C! w/ Y- C8 m
: ]" w3 F8 ~. Z! i1 }5 |1 @) B 6 r: C/ p; B: m
% C+ I/ e; n3 c" y$ c' l3 v: E/ v 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。- A5 f$ N8 T n+ i/ I
$ p5 C" m9 u$ m9 ^4 V j1 e
4 ^9 R/ z6 \5 q1 v 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!. ~' R: g, l$ M1 z7 F
8 m9 I& N! i/ w7 w% b* g. }, g) j- s0 `; T6 d0 c" r7 A
9 J1 T& ?) i$ z. \ + O$ K$ c' E. b; Z5 u
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对