|
" n g% e% B. x4 o. X; h
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
: O/ y* A8 Z) A8 Y3 Z 3 h" \( M2 G+ W/ y' Z, g
/ r# r5 z, I9 s! [2 [  ' o% f+ y+ R' l0 w2 R- S# x
$ u6 ~( Z' f6 ?2 T
. ^, X3 [ Q! D 然后点vulnerabilities,如图:
. d) U4 e' X* U6 g) ~ : B$ X7 W4 V: c% z$ n, M& X0 ?0 [; O* o8 P
0 ^; a' Q! c- |. q9 Q
 # |: |; _: L# L* K! T" P
* B& f5 W1 Y* l4 P, j1 O: M
- {: I& x3 [1 N3 E 点SQL injection会看到HTTPS REQUESTS,如图:
7 P$ O. `# \5 } $ h" J- ^3 H$ Z) z% _
6 v y# V7 F0 j4 ]$ K3 I$ \: L
# r b2 A) J6 n, I& r
: d# V E6 H- b. w6 G* s0 `2 {( y
) _' z0 S* E; D6 ^8 T 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-86 s, `) O- q9 H/ A) V% e
9 N$ n! x+ E7 q. _9 w3 K
/ P; x& b. P" X Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
; e0 Q- s* A) N8 p
" W2 | R( o2 g3 o
& v8 X7 o2 D9 u, C' ?) |/ {  7 X3 B1 I, [- Q) W9 [1 j' K
6 G+ ~2 a9 `) u, r# Q0 X( }" l+ x7 [
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:0 `0 E8 M/ W0 z$ |9 a( _
6 M ], N7 t! U/ F3 P# N( G0 y+ Z3 Z4 K: g2 ]/ k: R9 d
 7 |* z J! u9 ]8 X% o2 b1 q Q
/ W4 x4 _$ K# y+ b# F( d* S$ S/ z# k5 o- i. V! e9 o1 T! a
7 g) [6 w6 X' p) R7 x" q! Y & P' C q7 a d* S* R
5 D; n4 A# G ?, j
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:) l8 u: h2 J4 k4 K& w8 M
, |" {/ c9 p+ k
5 i. c5 s% F8 T9 i& W* ?$ P- @ 
: Z. n* k4 N/ ~2 R& D
$ ?9 I7 k+ z h# J! _% M
) c2 c* ^0 R8 l* t/ l3 A5 G 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:$ ]$ I" ^: ^: S" P
' u2 [) f7 ^5 q9 ]+ y
: }7 r& \$ L/ N/ k3 F8 I 
. B: K+ O1 D8 i' C 4 @2 |1 ?: ^" A; y) g1 R8 i
, e( _& H* n: l! F4 q% Y 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:- ^3 H. Q# _( s) I# g( C% T
8 V' y9 N# g( w! `& J0 ~
; j& b; R; P& o( u7 w  ! `& [% ?+ }7 ?; K
+ J4 ^3 {2 N* p3 m& L
+ S4 A# U' k" \' h+ j R
解密admin管理员密码如图:
+ V; G2 t- h" \" d$ }2 u" E
% M; W+ `7 ~; c' s- P: n9 x1 L5 n$ Y1 {' u
 " y( _7 ^- W( Q8 [! i; L4 X) M) W. n
" P7 d/ P. Q+ M8 \ X; j
) k& ]* B/ ^! P: u 然后用自己写了个解密工具,解密结果和在线网站一致) \" c* I1 @- p; q8 x- s
d- F1 Q" h" M! }, {5 q; E& |/ D' l4 g
' P+ w, ]& b5 v0 y+ ~
9 y4 @0 ] _& U4 N) C2 r, Q2 F3 _' T7 |; c
解密后的密码为:123mhg,./,登陆如图:
+ g0 R7 q% c/ w7 k$ w( ?. n
+ A" N2 n0 ~: F
, j1 J( [9 m9 i7 Q9 Z: E 
[8 C9 n4 {% \
, W' \5 N% e' e4 }6 i" ~
) Q1 ? e3 P8 K, b- s d8 t 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:0 M! E( z4 Y' p
" T4 @/ u* y) s; @6 \- C
* G2 c; r1 M# t0 d+ j2 C 
( p6 U, G( Y* x" d5 }1 L0 v0 _
6 k. G# W6 l; J' l5 V9 K& z, E8 l" z5 v3 Q# M9 ]
 $ k! _3 _! B& w/ U5 }1 t' l) I
3 X1 a' l0 x2 d) `# \" O
# B& e+ O) L/ J& G 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:" r' N, f& `9 ]* E6 `0 Q
4 M6 @# e0 E, W& D1 x
9 \+ ~: v/ {$ W+ H) n8 O0 ?
 0 F" y5 f9 s! G# [( O8 R2 j
) ~0 Q$ @5 F1 V
" V! Y( ~/ u; c0 ?$ I( B: Y5 s, ?! C
访问webshell如下图:; a' ~$ w! v9 o8 s: O# k
; s" J: h3 z d4 P
4 y* U0 E5 g1 Z& l6 ^! H. @
0 F" Z; ]0 l" y
8 m8 h0 s6 _8 B) F. l$ b& T3 m7 C- t$ e7 |5 B% n
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) @1 N% S4 U9 R, B
5 d$ m1 n7 w- x. `- K) M
7 o1 e$ B* F" I& J7 d( N! f
 ' O/ i/ e, g8 L# \/ ~ }
; w. q3 m4 b0 L. ]- A4 `+ \2 f) L0 z
: f" z/ U5 |2 S6 r, F& V 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:3 l1 J! b% Z, u+ Y* }6 K! Z/ S3 |
) N Z* `: K8 H" |5 J
6 r$ O! M2 V4 j h
 1 X7 D9 H4 T* K' {" c
6 X* B: s- i4 H" Q- D: F, Y
/ g+ d; n% \4 b Z 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
0 [ T O2 Y: s3 v/ s5 \- ^" k* ` + B( B, h& w5 i |5 e+ z
% ^4 |0 t( r/ g2 f/ j  ! y# M/ p4 U( t
# S$ X9 P+ X! f. ^
9 {4 O+ g9 S+ b6 C 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。" x% K' J/ D3 i/ t! ^
# }& S# B" H m" X# U$ V4 ]4 R6 k4 v9 y0 k
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!" C9 ?6 ?9 F* F
# l9 _' Y" t* R# s
$ Q3 k; o4 ~, h $ q2 v7 z1 ~. f% S& T" K& v6 H( S
" B: n9 ?8 }; r: V2 J, b7 B% _ | 
发表于 2023-11-28 20:23:22
收藏
支持
反对