|
0 A7 l2 c3 e- d& ~) I
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
4 _9 ^5 ~$ [6 H3 D2 t ! ^6 B G0 B! k' o- ^2 v, f) }$ K
0 h0 U- X! {5 [$ c& @  * U3 l9 l* d; {1 u$ }
: K3 B7 E5 r3 @3 t9 U& \
- i$ L. U ]* [, i3 C( I 然后点vulnerabilities,如图:8 t" ^$ V, w& |
3 P! L& a% X& u5 G" {
4 B, N* `- X* B% @, |4 q1 e) |. ^% X 
' r" N- p( l* u4 e/ f3 e# _+ V
) V3 K+ i9 x% I ?: x3 t9 z
* q0 [, x& @+ c3 m: J A8 O- W8 _ 点SQL injection会看到HTTPS REQUESTS,如图:+ o- ~0 y8 W/ Y1 A# i+ g
) i" R5 O6 B, V* x
" j. U+ h2 B# D, e U, J; ~( x
7 t5 I- g( A4 X' Q# m8 X ) K$ \6 z3 C |! L u# }8 [- W/ A5 G
6 c; D- \+ T2 h. u, M |. f' x
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
. S- c" ?$ V. U1 G6 i m, s1 e: B6 q) [, @' m6 y
: a' C. v& ], v A" b Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:' |& D" A$ n0 G& i Y) a* N; \: y
# U5 F4 x1 F6 |) Y4 P+ R9 X5 J: D4 l+ p q% P; {
 / s0 w6 F0 P N3 T) G
0 M7 q* _' h0 m6 ~5 {
+ `8 P3 C8 U' I( t2 d2 |0 G 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
$ q! X8 F% D/ j0 s% m 7 j" U7 y4 O, j8 f) E6 d# v$ r
* j& o8 X0 P6 J) p1 [) Q  U9 q U: r1 m3 h
" m0 C3 n) s0 Q) X2 w, ~( P5 i1 {
4 O$ X5 u- X% v+ i* b8 K
) D* z. l( f* Q# K, @! G * D3 e& I- D& }' d, t% _
& K, a7 @% Y5 j0 `( {) c
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:$ [+ l& B% Y Q- @) }9 j
$ z k, I" O- }
9 E9 s+ k" Q( _0 J1 w2 I 
" J, h* E0 h9 f9 t 5 G1 e c/ [9 b: N+ I6 f" c
: y1 K, y$ K) F$ z7 k& x# B- Q+ ^5 Y 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
1 f7 Y5 t6 @0 _9 Y0 D g 6 Z5 M Q" A1 M4 z5 k, w. H
- G( `& p* |+ x/ {
 + K9 ~8 i& j5 @. \3 F7 W
1 H' G8 R' w V/ D0 }8 p/ [) X2 P5 l( ^3 m) g$ C
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
4 Q# f7 q5 Y4 u u
4 O8 _9 I; R/ V" I2 G; U$ [$ ]4 {- {
: {2 p; O1 z3 E- [: B- N . G& \9 ]: U# G: K& ], S6 H
7 z' w4 D" t: c; B0 M& b 解密admin管理员密码如图:
1 q" U5 |9 e2 P# Q+ [- Y, W7 D
( a+ E, ~, d0 c- w- u- Q n A$ B) I( [, t% Q
 2 x2 i/ N' E$ x! P8 s4 m0 M, x: C
8 |' U5 d4 k# l. P$ |2 B' T) c! b* {
9 N1 v0 h' X' D* g6 }9 u% p 然后用自己写了个解密工具,解密结果和在线网站一致& a, @' w3 K% w# z( _" Z
9 J7 H9 r. ~3 L- z1 x0 e- W4 N R% E7 W$ w1 h& y4 } ~
+ h- }& n0 Q; ]6 H& R$ G- @ / ?5 k1 N. a* ~5 q: E$ E, I7 e
/ F; h8 Z* B% Y2 Y6 U1 S 解密后的密码为:123mhg,./,登陆如图:
* p/ F b2 o7 i' v3 M7 N
4 S- G& ~# q$ B6 z( J, k
- X% q5 Q9 B! |) u. z# j) I" @1 i, z 
$ u Z. z% u* N' G' f x8 k/ N
9 q& N5 `$ l! @8 y4 D4 g2 [2 O; d. _! n+ u" Z5 |
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
( Y8 A: B! p: f' s
t/ F" E6 y4 x) l1 g" h: S! j) f* u& k$ J" \1 I
 0 _3 H p# L: @
) y2 {! k: N6 h$ E$ U2 P% d
7 l% f7 n4 R% q9 y- j" X  : B6 K, \2 e1 g" \3 f( A
3 S3 j) H4 I0 c' C3 |; H. R! e
5 F$ f' J: x2 v. N$ E. t- _0 T 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图: x0 s6 t2 a, N! w& z
6 y1 b8 Z S* y1 g0 v3 D: D% F% X4 \/ _- g* Y T( D4 G
" i, K0 k$ h' T- X8 z 1 C. ]! |9 m$ `, w
- b, K2 `7 i4 _% I9 N9 o 访问webshell如下图:
& K( H( n( X( ]8 O
4 B( C9 D* F2 l8 S$ C& H. ]; C
7 s6 u0 l5 |+ C( a7 t3 p/ f  * t {4 x& w) k6 |: W4 u
/ a( h3 s$ K0 F9 R
5 b0 g, o; I2 L6 }( ?
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:' H5 j5 W% y) o/ X. V+ U6 I' _
( E- V' v* D! v' J9 }) u! x
, W* g. f- y _, O  o5 L- k# L0 k' A
0 p- v/ B/ i' c; h$ N! E% O) n$ Y
+ X7 {8 A3 D3 r! y
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:; j+ o. ?, m1 v) q+ t3 Y
0 t1 Q% Y6 c6 g; l
8 b2 u; m6 ]( o1 o
. q- R6 \$ ?% S6 I' T
3 W7 P8 C6 |+ K& p ~
' {7 y- F5 q1 P9 i2 d 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:3 O7 B. w7 [0 h. d
+ |( {9 i( S- i% {
. C' C- ? \7 o$ b+ x; U; |  8 g! E4 t1 h) A* F6 E
4 x+ L z T# ?$ q/ @1 i1 `3 L9 R- d6 ]$ A ]
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
0 U# c' e: p: N6 K- Q
. }/ o3 D$ s6 l D* B A, }; n
* }" o( ]' p/ `6 _7 K7 n4 V 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!( v' H" J) O8 h% ~" e% a) a
8 C' v, y; ], c" A# I1 \9 S J$ Y4 E' B! i- s
. o8 p; P! g- g. V, h
# t" w- b' @! E8 R& X2 ^
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对