: G0 f4 M$ x* P z/ i- ^: O0 T 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:- X7 x. Z# ^' {% O0 s
' ~0 [2 v- J8 ?3 Z! j( Q* U7 Y6 F$ B6 X- E/ o) d: a
$ L' s" a% m# F
: I0 J8 k4 l4 W9 k) b% O0 ^7 G: {6 i2 U& {
然后点vulnerabilities,如图:) [# h+ ` @" [' ^1 a1 t
+ R8 Q4 E; ^+ ]9 h
6 C' [% x, f% y# q& ?% ]# S& T
4 }/ E& `$ p/ n: A9 m- D
1 U, n% K' P+ C. U: R, v) T Z
" ]# e9 V+ y3 x. I7 a$ r- X/ } 点SQL injection会看到HTTPS REQUESTS,如图:& Y$ L) j$ I6 g
r1 M0 R& D" P7 K P5 d2 Z+ J1 _
& g! C! r3 J1 l* V3 u0 G
0 V! x7 x9 e1 U B' X! c( ^% z * J! U# M4 l' ?6 I; ^9 Q. d
/ |: h8 o( b8 O. z4 P0 l) }' V2 N/ ?
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
0 A( j+ F+ B( }9 w 6 y3 V% c) H7 f
3 {' F+ I0 a5 O& w: d2 H- N& O( e Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:8 v5 Y* n& l/ Y* `
) O) E. D* ~* W. o) Q3 [! Y
) x7 `8 S# R, c9 B/ T % v6 I& A" t1 R$ y5 W* H
- n3 ^0 R9 [$ l" ~6 ~* k: \+ ]& s9 w ^/ d" L
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
4 E T. ^% ~8 K4 F8 q! `; S, e) M) j
. [ B& w/ ?6 l3 T( h( i
4 o6 W# }' y/ P$ i : ]' ^* c4 w+ T9 E; d: n2 s8 h
5 q+ o7 l3 n7 W, a
# I$ h5 S1 t/ m7 j3 u
$ f( ?) `: j6 m" z
! F3 u5 v4 f8 }; W4 D+ ?1 @/ m; n7 V/ o8 L ?! n6 k5 M! o4 A# Z' R6 c
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
, S6 T7 J4 U8 K- K: { ) v( e2 m; {( i! y
1 T. S; E9 ?9 E$ O1 q
4 @ c% s6 H( u9 B4 ?: H
* O0 I1 p/ v/ ?2 i2 Y i6 f; b2 D% J8 k
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
, Z2 \1 }$ Q4 A9 m8 [
8 P- ~ C. a f( `* S6 N
; ?) R" u& m- f8 ?; @ 5 X' w3 `: I6 @6 @$ J& m
+ e5 F6 w- j: \
- K" b& p3 f0 X" F
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
3 ^+ A$ t# t7 r9 X, {1 Q* w
* ^. L' I( j. x" b" B) Y5 {# p% W' w% G- D9 |
8 K" D3 V3 X G & ]* k1 @& f' ^+ n
0 O) w+ o M/ r; g/ C k
解密admin管理员密码如图:
, q1 V( \2 |8 Q# A# y
8 i, f! h$ d2 a4 t: C, y" P
7 T) f3 ~; c, ^9 \4 w+ ? * U1 p7 o( P7 j6 ~7 R
% X% Z* s. i$ X+ H! D0 S R8 H
" c7 C5 K2 z4 ~: D1 t) O 然后用自己写了个解密工具,解密结果和在线网站一致
7 B% P* r3 g" ^) t: j1 Z3 K
% [5 y" j0 o; t
9 A, A. \0 `+ T! P
4 q! J0 ~9 ` o6 \ ( @/ k* r& W( C1 ~
' M2 U; O6 _0 X, D% j 解密后的密码为:123mhg,./,登陆如图:
; U* W8 j8 U7 |" y% C 2 k) o( ?* Q, i* f0 ~
7 |/ L O; {0 r' Q* f0 V* B6 y% U6 y / x/ u4 v6 f9 v0 l
8 J1 I8 n( z4 k4 [
2 Z$ Y, |# S. u. H" W# [/ j 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" G1 V' B" q A! |2 ]* B' U
+ A; |4 [" G9 g' G
$ q, Z' Z5 b4 w0 ]2 d
3 f) F# u3 b! y$ c; p& W $ k4 V1 P* O6 ~ y6 k. X6 K
% X( j1 C- C% |0 J" e, T( s1 e! F . z# n- a: _6 z6 ~& b. A* d, D
U) e! L5 X' C( P) a5 e
- f% t9 O1 r% a1 a5 s" {; q* f 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:6 w8 [- w, s2 E+ }% t- b" e0 i
& B7 S: t+ c) s6 K# o! @: L
1 Y# x" d+ J8 X3 y5 z H
V5 t. v; R6 \5 m( {9 W
N( ~" W; x1 K% U9 a
$ S# a$ i$ Z% E# ~ 访问webshell如下图:
. V/ F1 p2 s( D% |/ l ( S5 Z+ X' d7 K
6 a# J+ w- ^7 H2 X- v
% }* j% y2 {! }' k4 p
$ d% R0 B. A$ w9 x" q
9 {( p: I, Z1 k) }0 W 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:; M8 [- F6 K$ V
1 D/ w$ c5 i7 x% r8 v& X
. j5 r( F4 L- C: u
5 x; W. j" d) i+ A 8 V, c& L. }) C
9 r, O: i( s# Z( e+ ]) O w7 ?: T
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
. _% t8 C; W) j, d6 A( P1 R " h! X' U! g1 D
0 t0 m$ G( Q( n2 [; D: i
; x- K/ w% P( `% {8 I+ V
* x" M. X& k( d2 _
# L$ D3 R, N$ v" R: w! H7 P8 M 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:1 R# g! Q) C. E/ j
8 X; q4 T: F) v3 c' O
+ x! l: L8 K" r, I) Y, i; z. \/ F
4 A% z4 n s0 u% P
) p$ X1 w2 ~8 H1 \: E3 g) Z
8 m9 G7 C- i, a$ l3 G* ]- p5 }" B! H 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
4 R/ ]2 n5 o: k' z" m r O3 z + A) _/ |# u- s. @! ~/ k
5 p5 }% l- [+ [- W8 u
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
- K6 a* F3 u, x) P% ]* G$ a- G7 L% p 4 g& W3 D, K8 O! p2 a3 p3 y5 T
2 p/ Y) e9 j6 Y : M, u. E2 G2 J4 G. e" H
! h$ t+ [" v5 y/ u* y& P( ~
|