|
! R+ a: V) A+ A X6 P: A* z; z
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
: }. C' A5 g# ] 7 J6 Q2 K- N) U1 H( ?: a- _
0 d" S& I+ y9 z! G4 T: G9 ^
 2 S8 F; u" O& a. Y: @! I
" }2 \2 ?7 U* s$ g l# n
: B6 `; u, [4 Y! j; E
然后点vulnerabilities,如图:
2 r% |3 G6 H& [ 6 ^- t; P$ b2 }& V4 s3 E8 M
7 A, i4 n+ x4 ^. A; S0 n. h
 4 d* `; l6 ]8 w1 A
- Y! R) l# r$ s! o( `8 d/ C. h( p S# n( ?. i8 c
点SQL injection会看到HTTPS REQUESTS,如图:- E' W* V% B* S& T# d
9 h% o. Q1 P# M& ]+ c
' I; s7 p) l8 k; _
 " d/ f) g6 C6 c
+ U# e; `; M# T) t7 n" j" v& J5 O% I q$ l6 K
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-88 F' {8 |' Y9 @9 O5 w
$ V3 \ J' j) s: t, |4 q+ f5 E
& B- N' z, I, ?6 W/ d% }
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:; T$ l/ _5 t+ B# W: q Q9 y
4 _/ O0 c# p* Y1 m! @5 X# I# l, r& y. q+ o8 {. @7 e
 1 o6 w5 y- x7 k9 w4 j6 ~, Y
% }9 N4 u& e4 B
, i& |6 o4 i# H2 c+ x% {: X
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:) b7 D! ?0 N+ h3 ~$ b
. u, `3 M6 \) ^ A' ]* [# O' h
$ U5 `! O, |6 w3 M 
) @ P* X* ~8 a( w& x 8 w3 f1 A% R& A4 A3 r
/ E- o8 d6 @$ |  ( T' ^2 n$ a( D! |9 p, g# R
: A6 N; B3 o; X! b- I9 c% J8 A
% K# f$ _0 ]# G8 ~ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
% _* Y# z: p" G : `0 {9 R l! K& i. @$ m
) Z1 @' ]' H1 O- \; G" @( A
 2 O9 a3 {4 M1 r Z) U! h
# o- d. U, V9 Q" E
$ U5 _' s/ L `6 C3 @ 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
# C1 T+ o) d6 p0 c" Q3 q 9 l) K7 h/ H3 u, G& j- U
! G3 n/ m) z5 O7 D
 , y& l) Q- [! t' J1 v7 B$ ^. z2 H
& a0 U: p7 ~: h6 k9 q+ \& n5 ]5 S2 K: w$ n9 L6 F
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:3 r; \! b4 m, q3 Y# h" G
8 N! P" {; x. R- \+ w% \" ]/ r# I
 . z. w- K; g' S% _7 p: u9 H8 R7 y
% B& k1 O+ B9 U. R, E
f! o/ `8 Y& V' o+ s
解密admin管理员密码如图:* {/ D, ] a0 m
: d' B1 ~9 M' q& a7 b9 ~* w
4 g1 Q1 y- g- _( m, t 
. B" u/ N2 r3 w q: z9 b+ ~- n0 K: l
9 o: `$ Q) X5 @5 {. y2 n1 h/ L, ~0 Q
然后用自己写了个解密工具,解密结果和在线网站一致& G o8 V% i- A0 l
5 t5 r1 y2 N2 w$ Y, z, D% f; h) F8 c6 e: ^
 ) K& W0 O. J5 ?+ u
2 f1 N7 S8 \0 W [/ j. ^: c0 ?, Z/ L9 U7 f" D& p) b" T7 U' p: b
解密后的密码为:123mhg,./,登陆如图:
! c' k* _, ^4 p6 O : ^& f' ^$ D& g D8 s4 f0 G
' [, d* R v. V; l4 F
' ?6 F( T& Y! A. X/ k. T& @2 a J
) P& ~7 k6 D. J; q: v7 A) V+ D( P& w( Y5 c$ g; A
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
9 v D. t6 u- `. G; A. ]2 u" p9 [
0 U! h% K- ^8 S; k: V( p6 d# Y
q$ g+ z$ i( {1 f- S! T6 h8 [2 | 
Q+ g, p% t) o; Q
4 u0 k3 u7 T( n2 M8 ?1 V6 v
+ D2 F9 Q- e; L$ }5 [* Z( Z  8 F o8 r, I* P
4 Z( w8 i: o3 p9 }$ ^0 i& O0 S: k2 Z. i& \
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:% E0 Z5 y0 e# e; `2 K
1 m1 d/ W) O6 @0 b: S7 H+ O
+ g5 P/ S k& A/ O) o' Z  : j4 _0 H8 d, ~9 V# L8 ^
) l# Z+ `( i2 U; t
' @5 h6 B/ P j% m9 }# | 访问webshell如下图:
i# D2 ^& X; r+ K! K
5 |% \4 L, i0 }; q2 M) J
5 ^& b' i. E0 I+ |( s1 {  5 ]9 O: i6 J* o. M( {' Z
- `0 g6 ~, m& [- g2 B+ E" K
0 K1 y1 E$ E2 ^: `* r9 Y 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
* J8 U6 l0 O0 T0 P" C+ T# U* A
& l$ @, i0 [5 J0 C
! H/ W2 C7 l9 G* N7 F% Q 
5 q) f+ }) c$ V3 |( Q- d
" @8 J) O% O) L1 r( a, M, x1 {2 g% i0 f7 ^
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ H8 l7 P5 X& [$ w" q
( x; G- Y) b4 a- g; K4 N9 d/ `" n
 + z$ v+ \( ~% l& P( m
8 _5 h, u$ P. F" f5 X" a5 g- J, Z
+ k, I# G" t+ ?6 r8 w
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
6 i; Y( v! T5 c % v: R T' s" V0 V; E/ ]$ Y8 c
% ]% W# h# ~4 y- |: x, _4 K
 * L3 c9 \3 C9 `; [: F
7 ~, e- v2 i; \" f5 h( e. \, n% `2 S% P4 a
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
+ C; m" A7 ]% p! w 5 p. s* J# Q# a
8 v- _7 o6 ]5 z- a0 G 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!; k1 u+ V7 J9 m2 n: A
6 R" ^8 o2 K4 b! O) n% i. F
2 ~* o1 W4 T$ c$ N3 z" V: Z8 t 0 a, N+ c3 y! i4 V% q. `
( u7 l* _/ z% e: m5 A$ g1 K | 
发表于 2023-11-28 20:23:22
收藏
支持
反对