|
$ U1 A" { j9 R6 l' \" p7 X* @/ a8 B 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
3 c+ P% C3 ^1 P+ O/ A3 E7 t% \- `# c * f$ [( [$ K6 z w- Y* g9 s
+ ~5 S% e* i3 g; e& r! G
 $ n) r! V( H$ g6 Q* Y ^2 y3 g
" V4 k3 ~2 P( `% N( Y" h
) T, ^/ `6 `, J2 d" G( D1 z
然后点vulnerabilities,如图:* I @" u' F. T) j2 a _6 |
% t# h: e7 d6 b# P: X+ u
1 S" `" B: q: B" h# Q# |: \
 0 h1 z: S6 z$ H% C. C0 `
" p9 ]" {: Z0 |7 K0 E
L* e" O- S2 } 点SQL injection会看到HTTPS REQUESTS,如图:
$ [8 e, M& A% n# U ^! A3 k 5 W0 h1 c4 b& V; M; d
, R* u1 {: C- X) L7 _6 `( K2 l2 `  , G1 {/ z7 u0 I. V6 d) M
' G5 N, m# L3 c7 h. v8 _5 `" B
& @' d; l5 j" }( K/ l0 A. m 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8" L" b4 k+ e$ W5 j1 I* r
7 R7 |' D( ], h' Q% a1 e
1 I h( U8 w' Z: y Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:4 Q7 B% G2 S% J, D9 f
! ?4 x' T/ i. }3 ?& y: `% J1 R" ]8 w5 H$ I1 a u
 + V. E" p2 o7 R' n
& r4 j- q' i8 h3 K* V F5 [ Z
* U$ c z- m. C7 ~! j9 X3 } 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
; g1 `! |( b4 w/ N
$ Q) u. t- r' E3 Y9 o. O* B) W9 H1 a6 d3 G1 k3 J6 ~ x* J8 D
 6 p( U; G' j5 j
5 e% x! S2 `! g s- C5 B- I
* s, ~8 ]) I. }) ~0 ]
 ! |2 \9 d0 N$ K r8 {. u6 c0 w
/ R1 X& y" X4 t' O, t& K- N$ d5 Y
. w3 t4 |7 c. B# }' F# o 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:* d1 b5 F+ o! d' W' i* \8 F' x, G* _
/ O, ~3 r/ t/ _6 N* x& [5 S& y
7 w; H; ~) p; {7 L) M 
/ U7 U2 n6 w1 A1 l- H$ ^3 O ) `# g, z6 o& z1 w# k6 a% P
% Q) ^* y3 S# w0 k4 g6 m, p5 f 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
( {6 n' {& \+ J' X+ |' I/ W7 [% I
. ]1 |: G/ p' t2 i+ S- t; O# ]5 U1 M: Y' ?$ H8 A3 r
$ P, M+ w5 F7 [; C5 O# L7 U
0 ]5 @7 ~: l! i& `) j, l
0 x' P: h0 s+ ^3 [4 ? 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:2 i d1 u4 Z/ b# E; N. r
$ w& I0 W' ]' S6 Z( R1 d
8 M' w# Z3 X6 |# b; N7 X6 i  . f5 e0 B: `' H5 G, b; D
' L! t0 E8 z) A* r- j
" y1 L' k* w5 p0 k0 x 解密admin管理员密码如图: o& H6 L0 C) Q& H8 y. y6 i
7 {; }7 T5 Q2 A1 Z9 X, f" g! Q3 \7 h' o; r/ Y. |1 `
4 i1 h, y# l! Y' g+ A
2 u, o: o7 ?) T; h* Y, M2 G/ R. r/ K% k5 ]5 q/ r
然后用自己写了个解密工具,解密结果和在线网站一致
+ c y% j: D: G& n" e4 h7 o ) X2 L( g0 h# U2 v4 G" ^! C
h' L/ m0 ]4 \) E% V" b 
) f% S1 J4 @0 _/ m M# ^/ A/ u
% t7 O0 ]. d9 ?6 P+ M
3 t$ p" w' V+ i3 G( n' |) \ 解密后的密码为:123mhg,./,登陆如图:# E4 h2 Q" G2 j" k7 v% j: y, o! R* U
1 [5 u3 t7 o p3 t$ A$ I# @) o2 N" B. ?8 t+ e. V; d u1 [
& Z/ D' q' U( y5 f- F# S5 x7 w |- I
* X& y1 ^) m8 m% e. D) t' w9 U& h
9 B7 C; F, \8 y: a' g 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:9 U4 P; r7 I5 \0 y. [, L1 }
) L0 Y7 F4 _3 n* _# ~
! y h0 d+ E) }; T4 D* {; S' S& s 
9 D& L2 g* q& K5 n: x3 u 0 O" X+ ^" k7 ^( e( Z
' Q( Y2 ]8 x& q1 p3 ~- P- m$ F, z  , m9 m) J3 y7 {2 }. W/ z+ K
" X D Z7 J2 |0 W# R- J, f' l
8 k0 {5 ]6 d" T9 T 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:2 J9 \/ w' w6 ]# r9 s$ t
+ ]; I1 O9 L; a7 u
# T- {( r. Y) r9 ?/ i, P8 q 
# A( N/ n7 j! [: X S% z6 Q
8 N9 z! b7 G1 z! z
, o) ?$ `. _4 c+ r5 l7 P8 v7 D/ R 访问webshell如下图:
8 s- L7 |! ]1 C g 0 S$ k3 A8 E- j- \; S8 v: G* E
# f' W4 V b3 V$ J# r" \5 y0 k
 - r, J/ h+ I8 P# s8 Z& w
' I- |8 [, d* B8 J
8 M( F2 X! ] L: F 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:- p5 J7 X7 a* `8 s5 L
3 J: e3 W, U1 d2 v2 K2 g; u h& ~5 y3 w; \$ f
; H7 `8 K+ O) d* J' e. V
: ~1 @$ r) k- t9 k: N9 H2 |
5 v+ X* Q. D+ t7 I4 D- {: f 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:2 z+ [1 _2 T) Y B p3 z
" n9 A9 b" _ Y) W
3 Q8 f% \* {0 z+ U1 { 
) n6 V( B& T2 g3 I1 E# c, q. u5 }
8 Z" w5 ?; V" ?0 J( n
0 t* P) c" e' f4 t$ g 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:' w. ^1 w! v5 g; i* R# g, z* z
2 R& B) o: _* S2 M# E
5 y' L, E! z( ?! k 
3 Y1 p: W4 E6 i. L: U R+ b1 U6 ^ 7 J. s2 n+ z, v1 L. o& S
3 _1 ~& C: j4 m/ f. o 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。! C5 a* o3 L1 o. g! C7 b# M
4 t0 w1 P3 K9 m1 J5 o* y |: d: S
' ~0 |; d# }" z0 _4 Z$ V+ N 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
; B% `+ {% n0 j, X* O% G
- z+ d. j0 C( ?5 |3 a$ F. z0 A3 v) a3 x
' U) r+ s# X0 x
% j" V2 f8 Z: L& o | 
发表于 2023-11-28 20:23:22
收藏
支持
反对