找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1993|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! R+ a: V) A+ A X6 P: A* z; z :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: : }. C' A5 g# ]

7 J6 Q2 K- N) U1 H( ?: a- _

0 d" S& I+ y9 z! G4 T: G9 ^ image-1688134638275.png2 S8 F; u" O& a. Y: @! I

" }2 \2 ?7 U* s$ g l# n

: B6 `; u, [4 Y! j; E 然后点vulnerabilities,如图: 2 r% |3 G6 H& [

6 ^- t; P$ b2 }& V4 s3 E8 M

7 A, i4 n+ x4 ^. A; S0 n. h image-1688134671778.png4 d* `; l6 ]8 w1 A

- Y! R) l# r$ s! o( `8 d

/ C. h( p S# n( ?. i8 c SQL injection会看到HTTPS REQUESTS,如图:- E' W* V% B* S& T# d

9 h% o. Q1 P# M& ]+ c

' I; s7 p) l8 k; _ image-1688134707928.png" d/ f) g6 C6 c

+ U# e; `; M# T) t7 n

" j" v& J5 O% I q$ l6 K 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-88 F' {8 |' Y9 @9 O5 w

$ V3 \ J' j) s: t, |4 q+ f5 E

& B- N' z, I, ?6 W/ d% } Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:; T$ l/ _5 t+ B# W: q Q9 y

4 _/ O0 c# p* Y1 m! @5 X

# I# l, r& y. q+ o8 {. @7 e image-1688134982235.png1 o6 w5 y- x7 k9 w4 j6 ~, Y

% }9 N4 u& e4 B

, i& |6 o4 i# H2 c+ x% {: X 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:) b7 D! ?0 N+ h3 ~$ b

. u, `3 M6 \) ^ A' ]* [# O' h

$ U5 `! O, |6 w3 M image-1688135020220.png ) @ P* X* ~8 a( w& x

8 w3 f1 A% R& A4 A3 r

/ E- o8 d6 @$ | image-1688135035822.png( T' ^2 n$ a( D! |9 p, g# R

: A6 N; B3 o; X! b- I9 c% J8 A

% K# f$ _0 ]# G8 ~ 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图: % _* Y# z: p" G

: `0 {9 R l! K& i. @$ m

) Z1 @' ]' H1 O- \; G" @( A image-1688135070691.png2 O9 a3 {4 M1 r Z) U! h

# o- d. U, V9 Q" E

$ U5 _' s/ L `6 C3 @ 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图: # C1 T+ o) d6 p0 c" Q3 q

9 l) K7 h/ H3 u, G& j- U

! G3 n/ m) z5 O7 D image-1688135098815.png, y& l) Q- [! t' J1 v7 B$ ^. z2 H

& a0 U: p7 ~: h

6 k9 q+ \& n5 ]5 S2 K: w$ n9 L6 F 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:3 r; \! b4 m, q3 Y# h" G

8 N! P" {; x. R- \

+ w% \" ]/ r# I image-1688135130343.png. z. w- K; g' S% _7 p: u9 H8 R7 y

% B& k1 O+ B9 U. R, E

f! o/ `8 Y& V' o+ s 解密admin管理员密码如图:* {/ D, ] a0 m

: d' B1 ~9 M' q& a7 b9 ~* w

4 g1 Q1 y- g- _( m, t image-1688135169380.png . B" u/ N2 r3 w q: z9 b+ ~- n0 K: l

9 o: `$ Q) X5 @5 {

. y2 n1 h/ L, ~0 Q 然后用自己写了个解密工具,解密结果和在线网站一致& G o8 V% i- A0 l

5 t5 r1 y2 N2 w$ Y, z

, D% f; h) F8 c6 e: ^ image-1688135205242.png) K& W0 O. J5 ?+ u

2 f1 N7 S8 \0 W [/ j. ^: c0 ?, Z/ L

9 U7 f" D& p) b" T7 U' p: b 解密后的密码为:123mhg,./,登陆如图: ! c' k* _, ^4 p6 O

: ^& f' ^$ D& g D8 s4 f0 G

' [, d* R v. V; l4 F image-1688135235466.png ' ?6 F( T& Y! A. X/ k. T& @2 a J

) P& ~7 k6 D. J; q: v7 A

) V+ D( P& w( Y5 c$ g; A 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图: 9 v D. t6 u- `. G; A. ]2 u" p9 [

0 U! h% K- ^8 S; k: V( p6 d# Y

q$ g+ z$ i( {1 f- S! T6 h8 [2 | image-1688135263613.png Q+ g, p% t) o; Q

4 u0 k3 u7 T( n2 M8 ?1 V6 v

+ D2 F9 Q- e; L$ }5 [* Z( Z image-1688135280746.png8 F o8 r, I* P

4 Z( w8 i: o3 p9 }$ ^

0 i& O0 S: k2 Z. i& \ 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:% E0 Z5 y0 e# e; `2 K

1 m1 d/ W) O6 @0 b: S7 H+ O

+ g5 P/ S k& A/ O) o' Z image-1688135310923.png: j4 _0 H8 d, ~9 V# L8 ^

) l# Z+ `( i2 U; t

' @5 h6 B/ P j% m9 }# | 访问webshell如下图: i# D2 ^& X; r+ K! K

5 |% \4 L, i0 }; q2 M) J

5 ^& b' i. E0 I+ |( s1 { image-1688135337823.png5 ]9 O: i6 J* o. M( {' Z

- `0 g6 ~, m& [- g2 B+ E" K

0 K1 y1 E$ E2 ^: `* r9 Y 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: * J8 U6 l0 O0 T0 P" C+ T# U* A

& l$ @, i0 [5 J0 C

! H/ W2 C7 l9 G* N7 F% Q image-1688135378253.png 5 q) f+ }) c$ V3 |( Q- d

" @8 J) O% O) L1 r( a

, M, x1 {2 g% i0 f7 ^ 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:+ H8 l7 P5 X& [$ w" q

( x; G- Y) b4 a- g

; K4 N9 d/ `" n image-1688135422642.png+ z$ v+ \( ~% l& P( m

8 _5 h, u$ P. F" f5 X" a5 g- J, Z

+ k, I# G" t+ ?6 r8 w 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图: 6 i; Y( v! T5 c

% v: R T' s" V0 V; E/ ]$ Y8 c

% ]% W# h# ~4 y- |: x, _4 K image-1688135462339.png* L3 c9 \3 C9 `; [: F

7 ~, e- v2 i; \" f

5 h( e. \, n% `2 S% P4 a 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 + C; m" A7 ]% p! w

5 p. s* J# Q# a

8 v- _7 o6 ]5 z- a0 G 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!; k1 u+ V7 J9 m2 n: A

6 R" ^8 o2 K4 b! O) n% i. F

2 ~* o1 W4 T$ c$ N3 z" V: Z8 t  0 a, N+ c3 y! i4 V% q. `

( u7 l* _/ z% e: m5 A$ g1 K
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表