|
: H* @+ A, H/ R6 f! v 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:$ V+ s6 X# W# ]- D: J2 J. l3 A
/ v6 K5 J6 Z2 x: f
( B8 y8 A9 {8 J, r7 C" \2 @  " W! {( d6 z7 U9 x" I' I2 R
2 F: C5 I7 @( w7 L; U
4 v( p" s9 q$ [/ D 然后点vulnerabilities,如图:
+ J# _+ d2 ?7 ?( |/ H
# l7 c3 ]" S1 A# H0 ? C I2 G0 B8 C. r9 t" y& T; U8 x+ C
4 a2 X* V1 G, o, J
& o" Q7 t% u/ C2 C* I/ Z3 H( L3 s" c1 \% j9 n; Q4 R1 p
点SQL injection会看到HTTPS REQUESTS,如图:
) M' m% }# H: d : B* @8 R; O/ c: V$ X+ j
1 I' m7 t- \) ~5 A- v6 H1 z* `0 l
- `, j$ D# B( e. t$ J9 ~
6 L/ n; w( o$ _5 N8 B9 X. V% r5 ?" g3 }. Y
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8/ x5 D; D- U$ w/ L+ y5 y
6 R* W; E5 T! |% E8 f* m* K& x- K) W! H" R4 a
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:! k$ O" h% l; t1 ~
7 k7 }' Y! f8 n5 v# y' X' S( s0 G5 N& K: o. w! M
2 R% v0 P) U0 ^" s
) o' Q K- @6 Q3 u6 k& Y% ?2 {
7 M. }4 v/ d! G8 @" \ 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
[3 Q1 w2 y- @+ |8 X2 V( a
3 a* n' G$ \6 } ]" v0 K
! F4 f! f9 \. i  : U0 _: ^+ @" f. f& H! X0 ~
1 c/ C9 Y9 G4 r) m6 c
- R3 Z. q3 j( B0 ~/ K1 ~. ], _  , y0 a5 {" _- O: J$ Z# s* }
4 }( ?7 K( p9 b2 Q6 b
6 F# M. O5 k* ]: }) H# G 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:3 l3 I8 Y3 j2 {1 y8 ?
3 E+ o! K" D- Z- `1 P2 P; Z: V8 \7 x) O: t
( X6 ?5 {) A, r: M6 H) S- p
5 M, S* t+ ^- c$ v8 b1 N. i6 t0 K' W% N* e/ g* z
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:' m# w- j/ T" h" A9 F/ P0 c
: p, F0 h2 |7 [. g c
( Y/ w1 [; t+ e9 J, u0 E, U  - a9 _, [2 @$ z
3 o( R- `3 s% m) f( T/ J: x: c- x# f# c P; H
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:. o& t3 U: q/ J$ S4 H6 m
3 f9 I7 U& V! v
; t9 U, |* y; C  " l; k- i( W- i/ j3 u$ Y! p. n# ?% Z! u/ [
) l6 @& m% D, p' \
% k) m* c! }, |. k- K" ]) T1 `2 Y 解密admin管理员密码如图:* [* n! f$ @* t4 v0 c
, p5 q( j$ f1 W% l6 D5 P: D4 L7 x# U6 Z, W# u$ r
 $ Z+ U4 q+ S. h) | a( @
- ?' C! W% U$ ^- R' W5 e/ T
. Z* [* S$ E; a
然后用自己写了个解密工具,解密结果和在线网站一致
7 G0 h* b3 i9 {$ b- s+ M 2 T4 o# O! |) e* Y8 ~! q9 o1 J3 \
* ]; s0 @! i8 L7 D4 O
/ l! i, K( X3 G+ m; t
" f5 c$ N) x0 s& Z3 H
. {+ _) t, a; h, O# g( u* O 解密后的密码为:123mhg,./,登陆如图:
$ q+ A" E V9 D8 J ; B/ p$ [. m% C4 r Y, x
' B' A7 q* w. K2 [/ S+ ?  : l6 Y: L" F% z0 A( W8 r
/ H# q, X& h/ j% p% ~, R2 S" G4 b* A3 Q3 c. m
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
8 [0 q6 z" }* t2 e" u5 i' A* k
9 t3 T; |: P1 s% C5 Q, [6 @0 r' \; s- v1 C5 X3 p. m
+ }; R, M# ^! z% ]+ o$ k: p
9 @& C3 w5 w3 q- I$ T! u
! N" F3 D$ l9 S0 S$ l' q- z 
" R8 O9 C4 q' U1 f1 R( a7 E , C" ]' g8 [+ c4 M/ x/ A s% ?, g
) Y) b7 u0 c* j2 _7 m 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:% A8 i7 P9 x ~
* A3 _; {! K/ h& v- r0 e5 R8 ?6 a
0 \" F" H* S5 ?; |! \! _8 y 
+ R* g) H8 _3 d 4 O: s+ h; M3 u$ p( _
5 S+ K0 E1 y+ y3 Z9 o; m8 G 访问webshell如下图:
9 \, y$ p2 N% G% z
1 V0 O/ N7 M h" l" x- M% s3 w$ g- ~: A
4 l# U& L) ` T4 w
& w d7 h. I1 q3 G. C- c) w0 v% ^8 Y4 k v$ O' z: [6 N
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:6 |, L! g( w; L5 e: |3 x9 H
* T9 N& j1 D. Z' Z6 K L/ l
3 c5 D5 V8 r' \! @" v  * c0 _" }& y0 `6 l6 ^ f
* a2 p# s6 S- j0 T5 I, H9 \6 |
8 o5 r4 d- t7 H6 T1 x4 h' g 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
7 U) Y/ l( E. `3 V' V# n " A: W/ Z6 [9 Q5 N& F, h
' D% `% ^' [) E0 j+ } u
 / \: A7 \' Q) B5 S0 \" f8 ?
1 ~; X( z+ a% ?) c
- ~5 i" h2 O# B8 A, }
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
% O3 C1 C1 K0 H3 Q( G
+ R5 e, q7 |0 [6 F' d g8 A5 ?) }9 U( Z) h$ `
 9 g1 ]* e- _+ ]/ W) X( j# I
; C8 t* O# H3 k) y, F# U
4 | v" ~: \ o5 d. K$ u: ~ 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。. m! G8 v9 d T; y$ [! _$ g- `
+ T7 z7 K) U6 `* j+ m* y
2 D. M$ z- d5 f$ T# l& y) ] 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
' L0 l9 O: p" \- Z# d$ B 2 z: w% I( l g" X9 t
9 a! y0 S" y/ l, H: }
( g1 B- q. Y# Y( ]" V: K) H) P4 Q0 q- v
# `9 M% W0 C% Y. K/ Q$ x, D9 p6 i | 
发表于 2023-11-28 20:23:22
收藏
支持
反对