|
" Y T6 U3 o4 I) q- R
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
: d/ p- A5 v4 U9 g4 c) s
j5 Z6 o9 C0 @8 P: ^5 d$ S" a. R/ j2 G& i
 % Q; g' k0 x( a' F$ u4 J
" j7 ~0 t4 Y0 M7 s$ J
# a- O: G- ]# A! @4 H$ W- U, g 然后点vulnerabilities,如图:
; B4 r1 n a) S# S3 i. o
& V5 `7 O% X' L) d
0 {7 X0 e$ P7 ?/ l 
( N$ ^# N2 U/ b/ ^) G) }
: q* }, _9 Y% \& m, _
/ S, Q, o0 l8 X. p: n0 N2 L' C: y 点SQL injection会看到HTTPS REQUESTS,如图:
0 O* E- \# T7 J. U! V. c; e+ W8 f
1 D% p8 X& \6 b' k
+ `/ A2 |% V/ J0 [8 I  6 }/ U: ` s" ^/ Y1 ^
$ Q- v5 g1 l H1 c) M4 R
* i! M& Y$ p7 r7 h; z% w
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8$ c. I9 [' A; r5 x3 r4 u
; d& I" V; u% y) p
( ^) ]2 h) A$ b Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:* c J% ~; G/ Z9 ~+ y2 m
6 G2 t* [. n/ F) ^& P
4 M5 U; Q% g8 n
$ q; Y$ U0 ^/ m! c2 b , @" G% I Z) r) R
1 s- [4 o9 F& X/ A7 h7 p
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
' o* i, f r. \ 8 q5 I5 m! C7 U! ?
$ C+ q8 v- q# I
 4 w0 G; e& Z2 m! S
$ j# j- D: }. C" a/ [2 P+ }* f( \. n$ B# Q- @% s1 G
 / ?6 O% ~$ z7 e* C1 y8 V
; w+ |; p* H# t) l
# I. E- t+ U' H( e. } 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
/ u0 Q F7 E5 ~* G& G3 y
" |6 w# G9 e3 A$ O9 m7 v! y& ]- L) S- z3 ]7 q+ ?1 S
 % Q0 p6 Z+ u. @# u8 k: j8 W+ ~2 b% L
& {3 ]% {+ k7 B2 Y g C2 }6 f y% T$ \1 u2 e1 D1 K/ a
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:$ e( e6 A, K0 S6 \8 y
$ c% P* l: B5 I5 y! u; w
+ B5 [6 D* B0 a" W3 l! m) c' f: K  ) k, S5 x6 C; m+ ~8 }: c
X7 q- Y G, {5 ~5 t: W2 v" p
* e2 ]- @+ K) r2 ]5 {
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:4 Q1 B; a3 Q7 W/ {
0 V, l! z8 u; U! o4 d3 {. r! Q( j. \; M% W+ v: k, _- b, o* B
 3 O4 `: S$ t$ [2 `7 q, v
5 O0 c! Q" E# ]+ ]' O
* @3 M- f" T% M
解密admin管理员密码如图:
8 B! b1 N7 F4 F/ B. a- y3 `8 m$ V+ O 2 V+ o# n" G3 {2 _: U
# Q" A: W6 ~+ A
 ' G% b6 ?, ~5 p1 ^
% A u. l8 ?1 Z7 h
; _* T- f! ^, v6 t. q
然后用自己写了个解密工具,解密结果和在线网站一致
' i- V6 i. s! G; ^8 A" q
1 ?$ X9 }1 N4 \ S" g6 N- q. X: u1 k, P5 m
 ) F& p5 j9 Z* {. p# v( t/ w
$ w; ~& i. R8 f: {- i
/ t- q5 h- M% M: K/ b
解密后的密码为:123mhg,./,登陆如图:0 {8 J# t+ Q/ i3 h
0 `3 _$ H9 W0 c: W
" J$ [. I& \- F& E7 H 
! F; x: w G9 u6 b# y w! d; [ a 9 F/ k; k7 X) Z3 o4 I# `3 H# A
) n0 I& K. S) S! ~7 y4 a
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
0 }# n' Z/ @3 v% [7 E
+ {- i( U- R, t5 s1 @% ?) `0 E' C T; \
 + ]; ?+ C$ F3 u) n1 n2 F8 [
4 ~7 A+ X$ v/ k {2 r: v6 I8 V W8 B9 f& k1 y
 2 U8 k- Q; D& U- T0 I
/ E# [9 X" @# q# }
: l' }) [3 {' D& K! m L 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
, v" @, m8 w' C ~" c5 {9 D / M$ i3 M {7 w% a$ w, ?- c3 u
' d! i) N. e, f% A+ G' o" R9 L& H  ! b; `5 ?5 }) F& U+ b
. N: T* L9 S7 A2 j0 V$ B7 I
5 _8 {- j D! r0 {
访问webshell如下图:9 M& K! j0 @# {$ u4 F
* \0 b& }$ @) c# R) _! ^1 r
# `6 T9 ~2 Q/ c$ G9 s- z2 ~3 c; A" O" N  / d# u: N7 q2 i" w6 e5 W9 M# A* b
+ W6 m0 V+ ?( S& S$ Z9 i/ g' |7 C3 [+ d4 R1 A% y# K
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
& ?1 G: T5 k6 z; r- V8 |
0 R- ?2 X5 O7 r h2 \
2 }) t9 G: A# [; ? x z, v+ w  [+ D$ B) i- m7 J8 N- [/ a
( U+ g9 C* J% G$ [+ \' V
" S* m1 ^7 }# i9 F1 A) k% q 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:6 a; z/ w. @( y' T8 A. F
( R. d3 `' @* ^+ ^8 m' L
5 B$ r$ V+ Q, [5 I+ }. \" Q. ?+ y 
) e" @: ?* Q3 |) c3 Y* k2 C
" e7 _+ d) X# |1 ^; i8 o6 t. C
; r8 K5 V+ k0 b5 C2 u& v [ 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:/ W' s9 E0 ~1 L9 ?- g& N
' `# g/ v7 m. o# l
3 H6 ?1 J: o( y5 N" |1 w  7 j9 X; Q( r" o7 n
* _7 y% V [. h2 R# B
/ u; A8 H1 q9 d8 P
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
" c# _* X$ r: y% I; ]- N
" q- d. j) n7 w0 ]8 W! D) b* O, s4 M0 X$ u$ }% z
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!! o4 H5 C2 P4 u1 x+ K: I% t& @9 u
# @6 t* ]& T0 D
0 v8 }$ g: a* m4 S
) F3 U! @2 T4 \/ s3 o# A) O
' J% L e2 L: F. }5 H$ m; g | 
发表于 2023-11-28 20:23:22
收藏
支持
反对