|
; Z5 j/ C6 V0 m/ v% e/ v" V
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
1 t9 [% M5 c; z! g, K) Q# Z6 j
0 P! S7 E' i* z( w. ]( a
$ K N! G- `2 x5 } \, \4 U  7 F7 J0 \/ |. y2 P+ N: N/ v
% |7 Z/ o) q! O8 m- p$ |
5 ]0 h6 V N2 m9 {$ b, v
然后点vulnerabilities,如图:
+ b6 }% A% N* Q( [: F $ o' {1 K' e' i- z, `
' @4 \/ } c1 ]- Y1 @8 ?
 2 c$ @/ g4 o1 s4 i4 `0 H9 p% V
& h! n1 z- [* r
7 I% d; N/ E: W 点SQL injection会看到HTTPS REQUESTS,如图:
. e% q$ C- }, w; f& w) C . r* _+ e5 s7 f# \: Y: X
3 U4 b& g9 S5 z# t  5 m: R5 ?( H" M# [: j
0 q! j" O- z. F, t5 b
* h* {. F6 A4 |& a 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
1 F9 s+ s; t( `$ [% l. g" ^
# v, L9 { j, w$ [0 t
3 L, G7 m" e0 g+ Z Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:4 P. W3 o C( v- a; r
7 |3 f. Q" }" ~2 ]" ~7 S: N* ]
' Q. t8 X- W0 B1 I! P8 x, K$ E, }  ! h$ v. m: S8 }4 F( L
. |: Y" Y3 y h2 f, E
/ P2 O2 M. r3 S8 @2 r, l; z
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
7 N* H: e5 h ~( |/ P8 P+ ` I & p0 R/ g/ Y% r& Y: C
8 d4 a+ O* J2 i L0 F) N9 `, g  1 p! S# l7 O" Y- A7 P6 G
; ?) ~+ x Z8 L/ c( o
* K9 ^( E) |* R- |' X  2 i0 s) Y% ~& l* Z c& m2 {3 _
v! `. g3 [' d, d, C# _" O
# {- R+ \. j# W1 a; w 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
2 \* l% L* M4 `4 [- `) e: E) F
- n% ~( V* q: A* e5 t9 i7 I* e
" b; G+ Z& u6 H  ) H- E6 K: p% g+ |* K) O
. T0 h% H9 u& e4 g c" F" E Q. K
- r1 I- A/ n: o. @- ] 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:( X1 y- @! \+ N
' @- B# @) x& w5 B% N" R% h7 ~0 D
5 V# O* P, W0 q 
: X0 ?- Y7 |6 \$ s9 Z 4 B# @7 B O3 E, M5 V
# z% g7 [( k [3 ~/ R 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
" W3 n5 s7 k5 X$ U, i- Y8 _
7 C# p ?; ]. N; c
% j& t& L5 }; e1 n8 q8 Z- ]  $ `% f- M* q, d0 a% Q# j# A. P5 u& v
# s: V0 m+ {* T7 ]+ t% h
' l+ v# f7 N: j5 B6 J- _/ S 解密admin管理员密码如图:0 b6 T0 B) w( f8 Y r" o s
! x' R2 R O6 X- [
! `9 a6 u/ B* h
 * E. T; T# {8 ` x% w
, L; a! B% M5 p1 I: w) A
( D" Q5 S+ |, _; D4 F: j 然后用自己写了个解密工具,解密结果和在线网站一致
4 b I+ g6 E/ C) l 1 \) @5 B" k; h) {# e$ x3 H( d
: z% F4 N i" B p6 N
 : o6 ]! y# w& u/ Z7 P
$ |$ f1 y9 F1 G$ g" B0 y" R# g' e
# h& ]% R" l% Y( Q* F
解密后的密码为:123mhg,./,登陆如图:
8 R% Y2 r7 `8 K5 a
0 Z4 V, S. }# j0 H; R+ c$ p7 J' T) J0 V& K0 F4 r: p1 K* ~
2 l" e! W; J' b; V
6 d# m. G) v7 H5 X
# N' ~3 j3 O# B/ b6 m+ P: h 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" }9 H2 k( i* o g9 k% W6 ?
% W! W3 ?- a+ {1 x* Y1 C% U) X
/ }! _" W+ V# l* z3 w  0 \. |) m$ s7 T) g$ p4 y
" i4 O' V1 E; ]3 u1 @$ U8 E( R
5 V$ E3 ~1 z" H$ I% l+ a- n  5 ]$ l# `- z- _
r1 _( z: z! |8 {8 e6 V* m- d6 J) ^; [# ` Y* M, i+ o
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 A- ^! ~: k& G- o; u8 n& f
1 d* Z! L2 Q B
0 H) T5 l) E5 [5 u' d: ~ 
4 m8 r: l; m5 Z: f" E/ f( n$ p ! G, a3 _# e/ m. H- a
- Z$ T, Z# C6 P, G. Z$ k" e6 a
访问webshell如下图:
_3 R: g/ Y- n j1 |- ^% a( q2 m
* ^$ B; a) M5 x5 r" M$ r* D4 d/ q0 v
/ ] }; {' x4 X% L % a; d `9 m$ ^# u( }
2 J& {; S# H9 t6 |/ l7 Y 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:! ~: {: i- X9 {) Y9 o6 ?
, h) J/ Q/ P; G- q: F$ s9 e& W
: T9 K: b, N5 j' y. q
; R2 S( [3 l: J: ]
8 o3 {9 t: c! u4 U. H
! v! d5 I% u$ { D2 { 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
# o, c8 l2 t' o ( ]7 v) m; V& O9 S4 ^/ N
6 A( [$ J+ h5 v# G) _
/ B& u# J3 g" y0 D3 a5 z; _; P 5 M G" D3 K7 j( s. L( ^: m" m
! r; B A% g2 b! ^
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
9 w" ]7 t4 f1 j0 R! W) u$ | / H$ o- V& r4 Z. z M- f
5 O* E9 t2 T5 j- x- |
 $ _% X" a7 O; Z! k
, `* p6 f. p; B, e; @4 i3 o: B
/ P7 Y/ }: c5 m) U' o7 O 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。9 ^+ O7 p# I! ^; T) r
7 n! F. I8 }& d1 ^: c4 I0 o$ Q6 q% O" m P9 O* O! e" |# S. k
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
3 d3 Q$ l2 A* O2 T
8 u @0 H4 S! g( Y" V# s
g5 J4 t, A& E ( X( b G( D# K: C
; m3 t8 S& z/ f/ N( [3 L& o* U6 e
| 
发表于 2023-11-28 20:23:22