|
+ G$ x3 C% \; t* n* P2 V 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
. s9 {4 `$ S# H: a" d8 N & W( `* n/ F- b. X4 P' z5 K
6 G5 A8 O' S9 W1 E% E. y  8 N: f7 n" j- _. G% I+ m
" w$ A; m" A1 V% ^4 S
9 U( e' v; \: m6 {: }. ?& E0 Z 然后点vulnerabilities,如图:
y8 ]8 j. [3 m- g4 g
5 W0 ?4 p% B9 P$ C/ S
9 \# Y) ~* e; x$ ? 
# p9 l- R+ X2 ^$ s6 E+ \8 Q \. b0 Q5 O' {; W1 {
+ r- w0 g* a: j( G
点SQL injection会看到HTTPS REQUESTS,如图:& K5 H0 [- m6 @2 G8 c
P ~/ F$ v- o$ v! f$ }' |9 M* f9 ?/ S; s: Y
 # W' D- M# s I3 q; T! f! [; e
: i% w; N" c: C/ ^6 t1 f. d6 Y+ O5 a# a' G5 N- a
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-85 R" Y, Q- A2 Y' c9 O
& Y6 f+ l- E7 `+ g# Z8 i' L
3 T1 s$ b* P6 s2 i9 b3 q6 [. {: t Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
+ B2 b- f) \" P- r7 c
( r; Y2 ^; h4 x5 V/ u: E' c, e( ?1 V+ H4 S6 G N
+ X& D+ L+ l/ X, D + O: E' e8 T6 V r$ J; S
' F0 S, t+ @/ y4 g |& b
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
. i2 P' W9 q7 G7 I3 y1 J8 a. v7 p 2 l' O {/ }8 H4 O& i; ~
3 D7 V5 I8 W# Y/ I& o
8 ]8 z% b3 D, s& O; ^0 ^ 1 Q" o" c& V H" t8 ~1 x8 b i
0 \6 G( V b' k2 @2 \& w: ]0 U  , j" R1 c' K- @: E3 O! R
+ @9 d1 P' H* ]; _! H
3 {2 p6 u a5 p4 R3 q8 d
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 m& K/ j- v: N0 E. s" U) f
' R+ T) u0 m! p" `; ^
H0 F2 s3 K/ Z6 {3 ^7 y/ G) m" I
# d( J) D) X* L+ u- m% R; H & V" o, \: m2 P9 Q8 u6 l& D
5 |& n" F$ A* ]
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:$ ?! e! Y, C% } r- _6 v
- S- ]* P2 {! u [8 X' N6 z8 B1 C$ A( a& `1 q8 @% v
& V6 s8 A3 V7 s. C5 l- Y% L/ I7 c . a4 I6 ^( f& b/ j1 N* m
4 r) E- x) N, y$ |' c$ H; T; j 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
. C: @2 w/ O2 m& _9 [
* z+ ?( G! G, g0 k% V8 O; [) z/ ?$ E- j
3 q6 I$ t# b4 ` / G# q% Q9 N" Y3 [0 @$ ^5 l
! f2 r/ B. ?" N( [- Q& H
解密admin管理员密码如图:
3 Q' W; Z4 [2 @/ |; x+ T m 2 C: X0 W( R8 k$ N. K
% M1 g' k; E/ x/ U. P* h
$ {6 G- d. f( I x' `" x: n4 k; A/ C
6 G3 q5 u& \- X+ o 然后用自己写了个解密工具,解密结果和在线网站一致# u0 z3 y3 _7 G4 f
2 |0 O6 a9 [! ?1 P7 u) z5 E$ T, ?
4 W; [# g' o& t; {  , k8 j* ~ |. Y- i9 A
% S5 ~& X5 [8 p. n
2 \: z- H+ l/ U* D 解密后的密码为:123mhg,./,登陆如图:; j4 _$ k: [! Z/ P; w
3 L+ P# F8 e( {) e8 V% g# S8 o Z4 o$ d) V7 o6 E
 8 D7 B* i0 |) {6 C. M, m. A
7 p, t' x6 J/ ?8 B7 h' y
9 q. I) k! P, Y4 I. j# ?. ^, w2 R f 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
1 F4 q$ Y& |/ g# @ t( \+ y* g) b8 C
5 u0 v- d. e, M& g: e3 B' h 
% o; l, V( P, t2 x/ {# A! M
; L& B! P9 S3 A( H5 z* K$ i- r( Y1 ^' Q& @3 p
! ~- C4 _6 w8 i8 f' E* M* i' L! b
* J+ t" y! ]0 `! _8 o
3 g$ s0 Z: J+ @8 [' @ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:' p9 @! g3 Q! X, r9 y+ B% Z
0 ^2 O6 x7 n: Z; Z5 |2 x/ {
+ b) n' ^( K3 d3 \1 ^( T8 J2 z
 & d+ I* f; w/ L+ ]
- F! w+ x, h9 j" `4 s1 y9 `3 F/ G# O! `' Q6 m4 _4 c( N
访问webshell如下图:
( S o3 {1 [' i8 l1 [4 ?
! z! t o# z, i6 X6 _7 |; f
# j% G+ n, |; u8 P8 Z' y 
% f5 c* S4 S- s
, l J' i( `6 l# W! M9 e
* ~7 [. k0 c# t5 `( B9 [# ?( I 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:* Y8 O+ x% W- H
/ Q3 S4 x# Z& Y/ q R( U3 Z) q* J
5 ]) {3 G5 M1 M: v  : }8 }9 j( }& N1 v
2 M) s# e, k- D' S0 v8 k
2 @. D( O8 q9 c+ G. i3 V
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:. I1 r. y, R6 d S% d5 c
' f# K( B9 r! T/ C; d. J
8 M8 l; A. M% e2 s
1 T# [& v% W6 J1 s" W \ 6 r& o; ^* z8 K5 K7 a! u9 W$ ^( }
2 v; v# @! z" B# v% f
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
2 e$ |' y5 x' W& v
2 G' y6 i" { B3 N0 z3 y2 r" j6 w' W: n3 O5 d, |6 I& G, b- g
, Y! g0 ]# b% p. V# x$ h
0 p# T( B) g T7 F9 S' e8 k
$ O" M( j5 S! d 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
a2 D, Q6 D; s5 n2 v : Q; m. }/ h; i- R! q3 u
1 H6 q9 I" B$ _) B) o+ z5 e 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
4 ?7 w* V3 x; u0 n0 {0 M / G9 ~5 E5 ]: K2 k
7 X. o5 G' l8 L: V" k" g" |
: t3 h) O; S- C& ] Z9 q# i + h9 g" u v9 U! j" S$ [
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对