|
9 d4 Q8 M' e2 r F: f3 Z 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
! l1 E. Z# v1 b0 D/ k
5 h8 ~% z6 d: A* W7 w, D
) }, X, [- B2 V* d9 T$ A" p 
# D8 [' t9 k: ?! Y. n
4 L$ Z6 s5 [5 U4 L6 y
& _8 \8 u5 J6 A/ l 然后点vulnerabilities,如图:, B; n/ k# n3 j$ x8 I3 W: T. O: g
' _. Z0 [7 f& B+ V% b, T& M `2 j+ j8 q) m/ _- F9 U
 , V6 d* X8 K. J( a5 x( @8 G
; v- f% p' U- g0 W: r
2 i# A/ I3 i V3 o4 \% j& i 点SQL injection会看到HTTPS REQUESTS,如图:
+ c! t' b; U! v: i ) F+ C! D. i* d+ k
( O2 P& ^' b. X
 3 v% D" C! m, ?0 K2 j( r; s4 L
) A. Y$ X3 p, O1 n- `" I- Y1 [
1 N$ _! {# _) T1 I: R. m2 Q 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
1 R8 {7 U3 s4 q) }8 Q u
- U4 I' C' U2 [$ F9 L
# N$ _* d. E, w8 T) Y Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
5 Q' n0 k1 f5 B7 K, d4 O: h4 _( c ! i6 p p- T) x* E! ?
6 U0 b* b$ l- @2 P" N 
% g' q: C) q& k5 {1 p/ @: i9 B ( @3 B7 T# K0 u- l. K' G6 p [4 J
$ Z. o# r; O* u0 x" N6 O% T$ i 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:. t$ B) |9 O3 S
( e7 q, {/ P* A# j& S
1 R2 c6 G: l' h; K9 T- W 
( A! A1 n7 }. r. u6 u% W3 q
2 v3 J9 a3 f; \4 ^& R: s {& X: n { G+ h3 E, j
$ E7 Q$ z$ L% d% [) s" a # z1 i' H6 P( R, {4 y
" h; Q; f6 X# u3 h! k" u8 l8 x
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
3 b1 {' x1 W9 B% `0 f/ D
& }3 p9 ^/ {5 i* G
- s3 |1 Q9 W: f! f( W  - N8 `+ ^8 e. e+ o2 l' p8 I
' `$ ?/ e" I' h) l8 r
$ ]" d/ a- Y/ K& i# R 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
+ ~) m0 {$ R: o1 a
, ]# M% n# i% B0 Q4 N# f1 E, |( q0 R- d. ]# \
 : P& c, p! y1 N v% Q( A
% N9 T7 ?1 S* y
. z% M9 P( ^* K+ t 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
/ L& G Y" ?% _# o7 @: H ; A c5 U, B; Q! B
6 y* s8 R: \* Q  * y, a7 A* J( N ^* {* w" @
; m1 n8 p9 D0 S
/ Q% \$ l2 ]5 f4 n* w
解密admin管理员密码如图:- }5 W4 x9 W$ Y! c
5 ?& n. |% s; U2 w+ A
. [- j+ ~5 `6 M* }* Q
& x) n8 h2 F; y' `4 F2 G# e! y3 F
2 x; ^+ u. ^) W2 q8 l5 Y6 R
4 t8 g1 c7 L7 ~0 H 然后用自己写了个解密工具,解密结果和在线网站一致& _- K4 `8 s4 g; U3 Q% J
, j) V5 G4 b' m7 y0 \" K# l3 L7 h7 ?' c. U/ B& I
 4 {+ @4 i8 J6 E; @* p- S4 t9 k
% s! z' y9 d! N9 @, p5 y( F, P/ m: W/ {& ^6 d
解密后的密码为:123mhg,./,登陆如图:
" M2 `6 e. ~. [- n5 v) \$ N 9 [& G0 v$ {$ R
9 m& ?; V+ {/ B. D d0 `+ p 
9 Q- B8 Z% A1 q2 }* q
/ x* p; @1 N7 L; D4 ?. ^1 j
: V0 _9 f. o; H- L 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:; Z: d4 c' i& r, s
& i( Z* p1 q8 b6 b- z2 R+ R
9 Y% k! [8 L" @2 J; R4 c
! O& o s/ L& k1 I
5 ?6 O/ ]! u! A! J; _: @0 z# n* O3 a# I" l- D6 ]
 7 [( Y j+ @1 o* i3 }) L
, v0 |" X) Y( Z4 \- q1 }
$ r0 H* ~" I( n. B) Y$ I 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
" p& I0 ^& b5 q0 k% a ; P5 ?- u$ t) W0 f# z9 }, D
9 v8 e6 r& C1 r9 `  / E2 W# v. ^+ i s5 R. q9 d& Q
7 R: n5 \, @- e l* q
* H" l2 o* ?7 P1 C+ e1 c
访问webshell如下图:9 r" L' @0 m, ^& G
4 _7 s4 |9 S! L& N
2 H; M, e) m8 u; {  : Y5 Z: ?( D8 w& x
/ D" k5 s: _/ N& _% j; u
2 F3 S7 D, ~: g 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
0 f0 u2 b) O5 E% J) y
1 o x; P8 p/ J) @6 T9 Q5 W7 ?9 N, A1 }+ u& K( X2 ^
: m( @8 t1 a, k4 W+ N* Y) y . C4 e+ P( F& n( j, _) M
9 |4 F# S' k4 h, k% t* u# T
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:9 r0 x& l1 ?6 n3 l
2 N( H. M [# \, _8 @: e$ L, G" v2 e3 V3 q
 ! i U# U! A- ^: L% [
/ X5 `+ Q2 Z8 |( j2 ?: \9 U
# F& A) Y e1 y2 n$ U" K 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:6 j% m/ F: r& u" ]' @9 k
: Y, Q; F" h' |1 E$ J' H/ T# v& u0 }& S# X9 z
 - ]8 R8 f4 r' M& t' r1 e) |0 R
. X4 B) f4 N, a/ m
4 L' E6 k# w+ z
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 g- `9 |3 v& \. P3 m
/ s! Z3 v( t0 J0 J9 k# Y# |
+ |, u# X! S5 s/ B) o& i
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!" H+ K9 \6 o1 Y* I; X& h
& `, \; j. O0 b( m( _! h3 y$ o/ S( \- V1 V# ?. w; j# r/ I
; E6 ^! B; g# _ 2 ?! \: Y m5 n$ B* m* [0 K3 G
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对