|
* d" n9 L% x' K0 Z
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:& v3 z' |- A; s
! `1 c$ u( E0 R( Q2 e9 e V
! |+ }9 t u" M4 ]! ~6 V! R 
; H9 `: E& z4 {% U 9 a: W R. H, A/ u$ g
, U9 p( p0 z' I3 C+ i# Y) k
然后点vulnerabilities,如图:
5 n% l& [! M& z: U* h9 ~9 U 9 r, x: |7 C+ |
# z/ z2 Z* r# ~$ z, Z  ( T* A* Q, v$ K6 H
. ^6 k2 K" \0 C6 t( j( A* q* o
9 Y' u: s, U6 u" Y. m$ u) Z5 |5 e
点SQL injection会看到HTTPS REQUESTS,如图:) K% p; }% Z& o0 \
) y7 t" g: C* V& y7 e
r5 d I( g# A) C 
1 m- E/ R0 G. W" J6 g
$ i6 `: C, B, ^ j0 ?# j3 a) t: e5 h3 f) X, m$ X) W$ G
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-86 N7 t3 a4 ~) s! [
8 v4 h1 U" i( l+ }$ v& W& _+ n5 Y6 O. H& o- H% H3 f
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:5 ]6 J1 V( @4 }8 x/ w: R/ C/ ~) _
& P% Y8 z9 R6 Y2 y M
3 u1 X# w# ]! r3 B0 t7 v$ N 
+ n0 U1 H: {. d; I" m8 S! b
" ^6 T" Y; j) A, X1 M3 c) z) \0 P2 h& X/ T
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:1 }1 Y' z( D& N) Z* y s
; p A7 a) n5 I1 V3 F/ l1 R: {% F: X$ B1 U
$ G C6 R3 Z7 \! @6 R
% p8 |! Z4 q; i5 P" }5 U4 R& P! a8 M/ x1 [. D- n
; q. ^" F+ Q7 d. s9 h& E d( ]$ }9 m' h6 J1 u! M! d( K+ H
) O& l/ o" ~7 Q, N$ Z8 W& b- S
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:% C$ A8 t% P4 _6 w
0 j# n) p2 K$ U( Y
& E& h/ b8 ]; M: o, V* B' u  , G( V0 q8 o* L3 b: I' ~( O! j
, w( ?; x/ @6 |9 @# z+ b' F; }
- V; F8 X2 u# n 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:8 d1 `. ?) N c3 [; ^
* a. H D8 a) R: L
* K4 M& ~& d$ G( b+ p: v4 s  & C1 |7 B" t5 ^8 b$ t. N
7 D& c5 x7 O1 l# U3 U1 b) V! \. l* m1 b1 M1 e
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:& {) U7 z, W' g' y6 ]
$ D; j3 r- e& l8 Y, ? `* z: O
4 [8 |3 l" q; B( ?( ?7 k 
2 ?! b( C4 k% O- L5 \
, J- E& U! R. t$ g) s
# G! c8 e# Y% D- O3 z/ C- z/ L- H 解密admin管理员密码如图:. I# P- J( W" ]& o, X
( I$ C# y) f7 n9 `4 i; i* N1 J
) V* Y9 @1 P ]$ y2 U, t0 W  1 {& F/ ~4 D& G2 g: B. ^( K0 }' c7 B2 \
5 k. K; Y& ~% @( i6 V5 B" U2 |
& Z% Y- G* s/ Y8 y
然后用自己写了个解密工具,解密结果和在线网站一致
/ R! B" M( V' }1 l/ v8 d; e
& L) F5 `: ]0 C' g
5 G. Q" p3 N/ ]9 J 
0 u: Q8 q9 l% Y# k ! S3 w5 X+ g' N# i5 L6 p8 n3 h
4 L9 E' ~8 ^1 ~6 x' p( |0 J 解密后的密码为:123mhg,./,登陆如图:
' h* R4 Y$ W o; x
) w0 A3 c+ L3 O N4 P" n$ `. x' ~' d- k6 p
e" Y- e) _0 \( n: G0 j9 ^ z3 y9 S5 i9 x; O5 C; @
, I9 Z2 D% W9 ^" S* F4 O
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:; u+ E! w7 A2 C3 W* _/ ^
9 v4 a$ j# k8 \% M5 p8 |
( e5 ?2 p2 D+ V1 R. P8 d  ) m& T" S/ N! g7 T, D
" Y; t4 \- a2 B3 p
+ c; b# Q. ^- \ 
0 B2 K3 z" B1 w7 O- p% P, F/ N
5 j/ u5 R; ~, y I Z( R" i
8 v) m$ B. c. U) L 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:" O: o) R2 ^9 O! o! K1 ^
$ J/ I- g9 U0 B, ?- Y
" z' S; W: k2 l0 x8 G( P  : M+ s( i2 `, E4 Z5 M
& t1 f1 S1 ^" H; P% R: ]# J& a, G N2 ^7 P4 Z
访问webshell如下图:8 A/ \ `: t( l) ]' M2 i1 E
A8 g! h2 {4 T" P, v2 g
9 q0 H; A6 E8 M! m. w6 [
0 Z5 D9 A& s# Z* D- L . |5 ?) e! o( z1 |7 F0 r# c
! k( ~2 |2 ^4 e4 W
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:/ p! `' U) U0 k
! K9 m6 L h7 Z: W2 d/ J w9 l- I5 c1 m
 * ^) a# C- M. A! h0 f3 X
0 v( t) o+ g# S/ S; i" X
. c) T3 s3 r+ r& d/ J; c8 d 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:% o1 m0 X2 d' j3 q6 W( p6 S
# K: R! f* Z, x" M# Z$ a( e z, M
, x* N: m: `: `. @9 \" z: s) W  1 C" v5 _- u3 j7 Y+ ^1 L9 S
! K l3 @( E: m) u
/ a( v1 T' C5 \$ K$ l2 {
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
" P S% a% h$ T- I , m. d H6 m4 t k
5 F% B' T, n' Q# }! q0 F
* @" v* e9 D- _3 e 8 t4 q7 o/ H5 h, r0 M' Z: K; P
8 G+ j) N2 d' I3 Z) Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
, J7 A) K$ M* e% ?# w B3 k5 @
0 y# G* p y7 W |8 v5 H6 S' P+ S7 Q4 s# |+ [5 k- @+ Y
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!# Q. }0 u. Q+ s. D+ ^
7 [8 H) H3 x- G0 y& a6 l
5 I' U% F- p# B7 A% `! d k O1 a
) u' ?9 f6 g7 I |* ~& d2 r! @2 L5 C * U# A. `, o! A8 P* c% s" Y6 s
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对