原创-web渗透测试实战大杂烩

admin

9 ]$ H1 S* Y, M% E7 V7 K3 h 注:各位同仁，今天晚上主要防止被限号来凑个数字，这篇文章本来是给一个机构做科普的，所以写的有点怎么说，反正土司的人看了会骂哈哈，大家凑合的看，文中哪怕有那么一点半点东西，能给大家带来启发，那么我这个文章就没白发，所以大佬们轻点喷哈哈，嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入，直接在avws下的Scans---target下点击你扫描的过目标如图： . E! x" d- S1 z' W: R

( T9 R, O& Z; z$ T$ k3 |5 x6 f

" _ m) r( @3 ~8 g- @8 G ; y% l' l* X& c3 S

- Z F% E1 b- @2 \0 F9 y

) a" ^5 k. j: i7 `9 u 然后点vulnerabilities，如图：

; R1 ?& \6 Q# R( P8 G" Y: P- z2 X ! N6 z: G/ [( N' a- t8 X7 s t

6 v7 x; X3 T9 `$ s4 B6 z) O0 s

点SQL injection会看到HTTPS REQUESTS，如图： # A+ e- c! t& h/ `& ]' ~, j2 j

! K: c5 q* f" C1 j& Q% Y+ j! A 0 T, q* G& p: H0 K k3 m3 z1 j$ l

获取到http的数据包，如下： POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 # b" g- e7 g' @1 O5 |% h, Q

( u0 @+ s0 O* ?! D4 g& {. t& T& H

" B$ r; }9 v3 |9 a( R- ^. R" p1 h Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下，保存为1.txt,注入参数提前用awvs已经识别，注入参数是productType，注入命令为： sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名，dump就是保存下来的意思，会保存在./sqlmap/output下，以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图： 9 O4 `1 `1 r( f2 a

' L0 J3 P v: P7 C8 |3 t2 ~, [, l

+ v* {. z" x) w6 K

8 ~3 C5 C3 _7 m3 F: P 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值，为了更深入的测试网站后台是否存在其他漏洞，需要黑盒测试模拟黑客攻击进一步测试，故对网站目录bin目录下的dll进行反编译来获取加密密匙，最终成功解密密码。 把bin目录下的dll全部加载到Reflector中，然后通过跟踪常用用户密码相关的类函数，得出如下结果：

5 i5 @0 L0 A1 @' b9 M

* d1 J; A$ k% ~" K) @

6 k) K" H3 ^2 a" F J

得知密钥是fkue且为des加密，接着定位encrypt类函数找出其解密方式如图： 1 N7 C8 D( g4 r2 H6 P# @ Y

( F/ l2 J1 `6 j2 G1 e7 d

: K" y7 S6 T* J4 L$ r

解密方式是把fkue使用md5进行加密，然后取32位md5加密值的前8位作为加密密钥，如图： 0 Z# g7 S4 _- L5 C

. U/ `$ F5 g. Q7 [# `6 {

: n3 j5 z% f. t 6 ^+ D- M: ~+ T3 q

8 q! ?4 c; a+ M) n 通过在线解密网站解密得知加密密钥就是：1110AF03。 前面sql注入步骤已经成功获取admin的加密值，如图：

4 K- K/ X; y7 K- ]4 B

8 F B. @( r' M: g _! w' o

解密admin管理员密码如图：

& m& }7 z6 @, [2 t& `8 x) w1 n" S

( I$ B( D L. I# u# T

$ t, i; ]. N% D: a8 x 然后用自己写了个解密工具，解密结果和在线网站一致 / n2 l E- U3 I! u5 z3 P

! C. O1 m, o& O6 A2 ?! Y

n2 g; o' j0 W7 S' T# j1 J- ?

8 Z0 D- d* d, X0 D/ v& N

3 r# a- I2 {4 s1 |( g$ B( f v b- [ 解密后的密码为：123mhg,./，登陆如图：

( S6 b( J- f. P B) t& \' b

/ h# g5 Y, ]& z9 ?( U c

$ e( Y# p! }3 W( m1 C 3、后台上传绕过漏洞getwebshell如图： 登陆后台后，在添加信息处，会有上传图片的功能，随后使用burpsuite抓包如下图：

4 |; z" H4 p+ H3 T- M& m3 l/ n

, O9 y* p% Q0 d5 M8 G6 O8 `

9 i, @9 o0 r" z" ?! q& {% R

: Z' i, g. j3 u* t 绕过上传限制，只需要把包里的filename的1.jpg改为1.aspx，即可成功上传webshell，如下图：

" q/ V, j. m* N: N* L

访问webshell如下图：

$ E) J, m0 g3 m9 @. ~

n# t9 n% l! } H

4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能，注册成功后，同样在上传图片处可直接上传webshell，链接为http://www.test.cn/userRegister.aspx，登录如图： ) n2 Z0 e. |( C; T" S8 W4 P" Y

9 K8 z) a- u2 w

% P/ A9 g6 _0 u

% b1 P3 r+ u& q& V 在上传证件或者头像的处可直接上传aspx 后缀的webshell，上传成功后，点右键-属性，可查看上传后的webshell路径为：http://www.test.cn/Admin/upload/demo.aspx 然后登录如图：

, w1 C( R) @" g3 Z+ V/ h4 ~

! r3 d: p# i! s

! P% c5 d5 v! K 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图： - o! _- G& g$ S

* U+ ~+ @. q; q2 O5 U' B

1 k4 B" j Q( R" J0 l6 l1 R9 s% F 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。

% e5 U6 R5 q! L3 ?$ L

总结：一套程序不应该只考虑其美观与功能强大，是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前，条件允许的情况下，首先进行白盒测试，其次进行黑盒测试，再次进行灰盒测试。如果通过白、黑、灰发现安全问题，那么就要再进行一轮这样的测试，直到系统难以被发现安全问题，然后再进行上线。特别是一些政府、企事业单位，数据面涉及基础人口等敏感数据，一旦遭到黑客攻击被泄露，给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容，谢谢大家的收看！ % P0 |) y1 d- R8 Y$ S0 B! M' [" P9 n

  ; P9 e# S7 u/ J& h0 q. t