|
7 g& c! K: {0 g8 \- c- H3 b 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:3 F3 ~/ S3 O2 [) g( [9 r5 z
1 `9 f' t* |5 s% ~, K* U# v s
" X' b- H# i1 v- p! c
" o" W2 t4 u1 ?! D9 R: D2 B8 e
7 Z% b0 i2 n. l! Z( I
. o9 ^) h! F: e0 x2 Z 然后点vulnerabilities,如图:
! _& N" w8 L6 f9 G8 | M3 N 8 |* f; @1 r9 q* |/ A; a* b
6 B0 L3 l9 J) v) P8 ?
0 t# }9 u& g# [/ p
, A0 h8 E% U3 a6 _& V) g! z( |- Z( [: H9 s( @/ T2 i+ h; {
点SQL injection会看到HTTPS REQUESTS,如图:7 j- Y* B- t: Y Q
& a# w* @7 o7 d- K/ _/ t6 l* B, z4 z" |9 g& |$ S1 I
6 T* ^; |9 u# V4 R
0 R/ N; O$ s7 ?7 g; O% Z: i3 D* [" @
; t* p$ t0 `, x4 }0 D1 v3 u( F 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-83 o# t6 \4 e0 F8 h: o7 c
0 M- W! s3 x' a+ A6 K( \" |
4 _* Q, Y/ @) W1 j. Q
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:+ \" S3 W; s5 Z
& J* Y9 ~7 W5 K- v7 n, \3 e' P
# L2 z0 h0 D5 @& A# } ; j5 j, U6 D4 z/ z0 `, x2 U
4 c" o2 _0 X: Y# w( Y1 {4 ]1 t. J( l% n1 D* G( ^4 D
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
( l# _+ U9 V; m, i( A- w9 V) h* Y
' I0 t6 ^: L2 Q* e% ~4 n) X5 u* R1 w
7 t1 Q" A8 i. x' D" Z
" U q- \/ ]: |9 h. O/ ?+ V( x
7 S$ y, k, U& l7 L$ r k, d0 u8 Y' w) p3 S9 W# M
% E; y2 S* h5 }+ H$ n) ]* W8 h
- M3 g& w4 F! d. ?
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
0 Z% S `' D: ?" S3 h! z ' T! k6 M3 r/ X9 V( d o# p: i2 r
" D8 n3 H: a- d1 x
% ^# u. \' n) T' E" Y
/ {& X9 F2 \1 w) n X. R
/ x! h. U) p3 A4 r( s! R( { 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:7 q7 y% {1 L. J0 k3 y% X D
( _8 H! H! z6 e
6 t* `9 D+ d5 } l# M( V 1 d! {$ @+ X4 E1 ~" F
" }6 c" G! m1 `+ w9 i, V, T7 u$ g0 U3 {; b" g7 P5 u3 I
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
8 i' {9 N. g9 ^' a U: M/ s; u" D0 Y$ Y; z# }
; [3 f4 a/ n+ u4 s
& b- ~" g( R+ P; \$ u% A8 S! z
_9 g6 {7 G1 x2 F& C& j8 z
& {! j. B: j n 解密admin管理员密码如图:
# Q3 K9 r" w W) |, E
. V2 } a+ f& d1 ~- q
- R% `, |+ P! P, p0 [6 F
/ I) F& D2 t4 G0 H; \! s2 S 5 _: w. C7 s- s5 S' S7 D: ^5 }
7 W9 G! R) W1 N
然后用自己写了个解密工具,解密结果和在线网站一致
1 f _7 y/ e6 G. D5 _
7 ~+ B" s) g( Z; }
! P9 S, v3 I, l0 {( M8 x( M
6 I/ ]1 q: t5 a( h% O
; X* {" g- @' {' I
% h( F4 w: U# J7 A; S" z 解密后的密码为:123mhg,./,登陆如图:
0 S1 \4 b. c* E3 e% S
' @' ~* \$ d) m% ?$ G$ X' i1 ~0 V5 Y2 Y0 Y) q3 Y
8 S0 C) t$ o7 J
2 S! `! g( e; h
+ b5 f+ D( i' l) c 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
7 S5 d, N" v" S3 X; ^" ~( H 6 g7 M. d. p( H, a
4 J+ q) D. q( b- Q
, n% ]% W( N: k* h : W. X+ O5 y3 S! w: u
/ X4 C" ~% o0 i8 v4 |3 o- H
' e) `; n- Y* e3 v4 q $ y7 X& P1 H: [6 _2 ]+ O$ u; J
- _: u) X+ c5 f+ L
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:+ n& M% D0 s r3 B, H
" S. u, H" ^& S# q4 Q
% c1 F+ k! E2 k1 |7 ?+ b , s5 ~. S* z% X% c2 O9 e
9 m; y( I6 e4 }; l* {
' `6 }8 Q. i0 a# B( u. O 访问webshell如下图:' f4 P! R& E# O- v( c* j5 h1 k0 x
, g# y+ p- {/ S0 D; J+ g, a/ k2 ]' i2 U, Z& k
7 _( V# w/ z' A/ K+ b c- k
8 ? U) V- A ~/ T( A, u0 O5 ?4 H
6 |4 L" @1 f9 g# P2 `+ d 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:. c7 r, I2 f+ Y/ N3 J8 q8 ]
7 |( ^1 B$ D2 i1 L# @* I1 H5 I
9 T1 z! I7 V% N" y7 S/ o. F+ l6 ~
5 ^- [* E2 N0 P1 c# \2 p b& a9 o 6 A2 c! Q' G {+ ?7 Z
9 ?; |5 _2 j" p$ O9 L! H5 i- h6 U" G9 G 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:( z- h: L3 j5 o) i7 w- L
' N5 Z4 z: J! G$ Z+ h! c# e+ K
6 e) Q# v7 ?/ D m7 ~: O& N
9 `" ^& `" V" A% s6 p' B - E! j* R, \9 z* j
" g7 O8 N# i! n9 v& z
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
- V- l2 ^, U: u5 k3 @7 X) K
" D( f, Y- Z+ A$ [
, D7 @# o* m5 a. j/ ?& M% u
: e/ `6 P9 `& U1 f5 Q
* R2 F8 c+ ?6 K! p5 a% b$ L8 A4 e+ [4 }% G
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。8 `; ?7 }/ G0 x: V( F5 ?
" p2 X9 J- H) o0 N# ^
5 S: y; [/ R9 W4 J 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!" P, v4 ]6 m& x; o5 m Y
- T( n$ U$ {; F% v/ o9 [) U1 L
/ K: B5 t2 k! Q, R! q5 r t
. W' Z: ~2 W! i7 ?2 Z7 U+ z" s 4 x( C& s b$ I; a
|