找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1604|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

/ v9 {6 j0 Y2 t, N2 \ :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: & Q" k) E; z: s4 Z6 ?( o$ C

& h2 o w* n4 f

! U. p( t& g/ Q image-1688134638275.png ) m7 y+ i% x+ H( }5 X

9 I) x. Y, x* k3 d6 b0 q2 K

/ a2 ]" w, A$ I+ ^# @9 O* O) F" g: N 然后点vulnerabilities,如图:5 V' J* ~' y; H, B7 i

4 M3 ^+ Z! j% ^* A) Z3 s6 w" b$ N

- D+ k; F6 C F. q. m image-1688134671778.png 1 |. P8 N1 G: P# M8 t1 m8 W3 s5 ^

7 f6 R* ]: ^; n% G$ ], I

( B# ]; U% O: J, ` o3 n) F SQL injection会看到HTTPS REQUESTS,如图:2 b) x( c5 { Z

7 w- v- Q- W: t( l! u* @1 \: u: o [

: G3 b; k; Z% {$ ^ image-1688134707928.png / D0 z# y2 l+ Y! n" \9 E! v6 m

5 o; }1 T0 t1 A' v4 {

$ y; ?4 w& x8 _0 a9 r0 q' c 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; W [* D& j, d6 Y) h0 U$ O! v

5 X0 i# A. T5 g$ K0 ~4 B( X

! ~" @) Y& f. }5 t/ O Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:; C" U4 {2 r9 B3 Z8 o- d1 O

! ^2 c4 }5 N$ G# V3 i

4 N) _" X( m' l# H8 e: I image-1688134982235.png2 X' v! u: O, |9 [/ j

% p' h2 d3 u' W; t8 W3 N7 o

4 V7 D+ @* g5 k& c7 f3 W$ [ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: * b: p( l" y! c. Q

) F0 g, g! h. t) d. T

/ F6 K# v. ~, w. a image-1688135020220.png' c6 A" {) P% n3 `! h5 @& Z9 {

3 z0 a$ ]$ G, O0 z

' [. c+ r4 U! ~9 O1 J+ n image-1688135035822.png& b6 \. G( ^4 s q4 i

* ]& y: s8 e( s

: e" k; {' i% T" x3 q& P 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: ( t/ l4 }/ _' z: |. i( A$ L

8 `: Y; z0 l# ~0 ~1 h) t

8 C0 s) J. i% n3 M$ }+ V image-1688135070691.png2 ~% Q( E( R& L/ B4 n7 o

5 j G# i6 v' v0 w$ @

- n2 E- l' A3 Z+ i9 f 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:0 u5 a K( f9 A7 ~# ?: R

: e) F, N$ ], X/ p( {# {

& M# T9 E a3 x( c0 I image-1688135098815.png9 }# \& ?6 w! [2 X* ]! s' X

7 _ l7 n i+ i

& P- T9 F# L) m$ Q" q7 j6 Z# p 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图: / g7 b1 V* h/ C

/ L/ L3 g( }" n; H

6 t+ R, L0 \ j! j6 _9 w8 n* m; U) Z image-1688135130343.png 0 `2 U5 c2 ?5 {) s# H. L; S8 {4 O

" f. \8 C7 o1 H$ C* b- x8 i

- @* w% h4 d, T T2 C 解密admin管理员密码如图:+ w7 [. U2 r- ^: J- D1 ^

. Z5 m; j) J; I9 I

1 F! D3 H& |! x) O image-1688135169380.png& [, {" }: y" G# T/ {' O& G" |4 S

3 e, B: O4 h! t

- h0 S: b8 ~& h$ a3 ?, k6 @ 然后用自己写了个解密工具,解密结果和在线网站一致5 h4 U8 R: J( Z& D' R

* x$ I6 n6 ]' S1 b% O7 K

8 W0 h$ |: U2 M! U) P1 t image-1688135205242.png* N' x, X1 H4 x8 y* M5 @

% K8 ]- z. F* t' Y4 _( \

0 p! I( i" T& X* N d 解密后的密码为:123mhg,./,登陆如图:! B; J) W* t9 t& Y0 H4 ?

4 t; g& N& X- Q) k! p) s

. x, I- P" [4 m( C& _* x: w! p image-1688135235466.png/ l6 X9 t4 i5 Q

. y ]5 P' M9 q% x

( c2 v# @2 v7 t3 _1 P$ V" _6 g: z 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: $ r- u; [" H+ J* J) \( J6 L$ e6 ]8 R3 S/ w

. W0 u1 n6 s9 v* y4 j

$ O0 v3 L; e. } image-1688135263613.png . K$ d" D# t7 C, Y

' j: Y$ C7 ^+ A: Z8 `1 M

w( A9 P- e4 C" U3 u* y* n* b image-1688135280746.png6 o' G: _ o: c) t

% ?5 F0 A% x, I: R% ?8 M

3 h! p0 ~" L+ w 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:- C2 F! \5 H0 ^0 E7 M. o) d

; j5 l }3 M& v2 Q! n' a# [9 W

5 b3 ~& Q& Q* S image-1688135310923.png% Q6 C, b) H8 r4 I" K: Q

S. [. o) t5 m

/ D9 m- t$ U4 Q! |, E3 s 访问webshell如下图:& U# F! M i8 w' v \9 n n

, l2 k, \; o" |( H4 C$ v) B$ `/ |

T9 J8 H( w x; n2 L image-1688135337823.png6 e7 H, F0 Z1 `% L' p& y

8 a* i3 e" }' |

) ?9 k: ]$ p( Z- q4 k5 p+ A 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: 7 v2 V) o0 [# @! w) I; N

" M1 r) |# B% _3 L1 ?% k

0 T# |/ l; O ?( T image-1688135378253.png 8 Q' h7 @3 K: x. W$ z) a) ^; l

9 m5 h1 T7 N, t

: d% \! `- C4 [0 a$ D 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:' ?, X4 u' [, O0 @+ x' G

- t/ p- p/ w" t! ^6 [4 o* ]0 a

" i! H. g9 h3 B image-1688135422642.png. |, h! Q: J( u+ O

# z6 A( l0 n8 J6 J* z+ v

3 p5 _ {- M1 L6 J# c4 p: } 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: 1 p) S$ p6 T" @0 v& j3 ^$ d9 x

; O9 Y4 @" b$ n, Y0 X

. D+ u5 i* R& U* g4 q B% q- W image-1688135462339.png 6 I. Z) [3 e' M2 G& h

/ s$ G. Y4 D5 V4 b5 T/ L, f. _

/ U$ C" b$ @- U9 a% J 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389& O# l' R( q4 \5 }2 Q

; N3 X0 P8 E6 l2 e! m( i, @

, S: z, i# l8 x A2 w C0 J: u 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! 7 s/ j3 i8 c W O

* K' R+ @3 I! L4 c9 x+ |

9 J/ b4 b% a6 v/ i q7 P j r   & Q, M; i% |" x0 i5 p

4 n9 G9 L; B1 k4 j e1 |5 q0 N
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表