|
# [4 _) A$ x4 n" |7 b 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: W2 |. ^4 L: H5 Q& l" N3 C6 C
, p! f; T" P" O' {% y8 t+ o
' T7 y0 O* [" i7 j' _* z7 F* |
 " p. B; [+ K% d+ }1 `* N; p
9 B$ r7 P* R6 k$ J. Y7 Q; w
% z$ K, d/ U/ V: P) d F
然后点vulnerabilities,如图:
2 D: C& |6 I, M& U3 s9 \ , N& F0 B- b6 X- |' a0 w- f
4 G# V+ L { O0 O( o8 u; u
 ( _' A8 Q) F8 P! ?6 `
6 K% v2 x: ^9 L W( E
! P: n) |+ N! ?4 q4 m0 c
点SQL injection会看到HTTPS REQUESTS,如图: b& G1 I' F$ N9 n/ E2 P
+ R! x& N. L2 x8 a5 ^' u
W9 B4 G5 s9 o: Q# @* l  : H w, e; y$ E, L
: e3 N0 V8 j1 s0 k* C
+ T4 f+ _$ W5 g0 M8 { r 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
7 P# }$ L1 p! U7 F8 I; s+ {) C7 u - L) D$ K( |& _% c% J% l
! f P8 k# B! s$ J% v Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
4 _, C! @0 ^% m( [$ V9 \* M ' C. h9 Y$ Q9 H( r; c; H( k, u+ P
8 ]: L7 m/ D q ]* \9 C6 Y& h 
( }9 N, \. t4 b. `1 q! H ! P% j7 j. Q$ S# e" O5 o) x
, ~7 Q( I1 E8 F3 k2 O N: l+ ~" \ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
c# d2 L6 Z6 N( O
9 |9 n% e F. e+ k) T/ [; s; b
0 ]! O/ Z. k# P' b  9 l K: x+ e. m
2 g' |) x7 S. Z
9 Z: K+ n8 H# A+ U  7 h# c3 A/ R: a8 f' ^7 P& b. n
3 B: }9 q; j( f! ?8 `- c; E9 D
4 q, J, k+ f. e
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:! v0 @' G* ^$ `% |# @6 I- C/ _
8 }* ^ {" i. @# a# D+ f
0 `9 q3 S9 E- M( s. e  ! X. P- C6 O2 |; w; r" y( }/ l: Y" `
6 g6 e' J" _. o$ Z, s
6 j2 L: H1 J4 c5 ^: K V- N 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图: t! n, P% r' v% h& h
. k# ?) }6 m" z, I" n5 K" E# l. }
* P% m7 z: x. l5 } 
6 T3 w; j1 Q0 d
/ f# ]9 [4 M6 K9 b' b6 n9 f6 ~1 {1 X3 ^
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
2 t4 x7 G8 [' X8 J! j! ]
2 A8 l% I' J' _, _ t; f2 |. |8 d# Y3 m: e3 V: w: ]
 / X8 h1 {: w; U# Z m
6 s1 m! i4 C6 _( s' F
9 k- ?5 a* j- H w 解密admin管理员密码如图:
* b/ f5 J" X" U9 a9 ?% Z4 a4 b9 H + K% v" Y) Q Y* T+ G
1 w/ z5 y9 R# ? r* R! @1 O1 }/ R 
9 v, `7 J* K8 h2 V7 S
: u. M4 n7 }" p! D: X# s0 `/ t) ^/ ]* P5 }1 h2 t2 o) R3 \
然后用自己写了个解密工具,解密结果和在线网站一致5 v" D& d* n2 A# Y- Y, O5 |
6 [0 B c* H# @/ z- D# ^; l
* N3 K# n# u- y2 \
 ' H$ D3 }( k6 u* o
6 Q1 B; h% r* _+ W
2 C+ K2 B) q) N1 v) p& | 解密后的密码为:123mhg,./,登陆如图:
$ {+ `; k0 L/ r8 O, f: h; _ 8 Q( `) r" N$ g6 i* ?
( I- u! @, \' C8 e" S; \! j
 9 v4 y; f! q; r7 }
5 m% B. O+ ]: T) k6 i2 m. E: k- H4 d5 N3 u* n/ {: J# n9 L$ @
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:4 K. j% w# G# n/ d. p' H/ A
; @; n6 c* d2 W% D4 J$ I$ m, [" }) R% m4 h' j8 }
 % O9 f3 i, l' S
2 R9 y3 t6 h. U# y* j6 C1 i1 q/ ^6 m8 {6 h, d) y" Z# \
, H5 G( v8 |. m. n( Z
/ {: |9 w5 V( c- u; e2 z* F ~3 L6 x5 B8 D: L) t
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
7 Q4 Y) y; u0 P' B
8 @' x; h2 e# H; M0 M# l' j$ U: p& X) v3 }8 Q* _! L3 ]9 }: l' V
2 [' N. v' D& I/ Q! Y4 S9 H
* r; K8 |. U( B: U# l' c$ ^9 p& A! L; k3 O% ^2 d
访问webshell如下图:
. X \/ U% W) J1 l3 j; k" q5 y7 j 2 ]- c, V. S, V6 _& ]- ^% j: o
8 p0 p% T7 @$ ]- e% |9 y
7 p: S, m, f- ` 3 H4 w) O, d$ |
" i' W9 f7 \9 B2 e t, ^# A 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:: K) C0 P% u) c# e# p! `% z
- m# r |: K8 o( q
. h; l+ I2 s3 x. v9 w  7 W* j- l' T/ |/ I- }& d
: H* O2 z9 N: j7 P" x$ `* j
6 o7 d- I* h, P8 u# j5 K 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:3 B/ k$ Y6 X' K1 e& z# k7 c g
0 A# a. r5 ]6 k
3 R$ r, ], l5 a' K/ t {  ; d2 D3 D# p' e. j; }- C
3 B; r+ R4 j z# h. M
( g& p: g: `2 Y. E/ F' \# T+ w 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
& C0 ]5 L& x# B" _" C/ j' ?: B7 u ; y( j/ _/ V- m4 M4 ^/ J( s7 z
" v" R# V7 h6 M3 ? 
. t( u& S' k5 ~; l 3 U' ~ h! l$ ^& g7 \4 b% m. Q
% X4 \9 k) v/ H6 E5 k. L' q 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。1 S N9 O+ ~6 x5 M
# V5 R* J1 ?) F$ ^* \
. P" W, M7 E* P
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
$ ]' ~" I. U" f, Z
; y9 u. u2 v% S* G# N: N! r
6 D5 m( j' m$ E5 r% h
$ |' P3 t. L% k7 O! \ * F! [& k1 e: o. A! H
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对