* |2 E8 k D0 ?
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
6 m, U' u1 S% J" b * Z5 f4 V. e: e& C8 M
1 i0 e* n7 w/ R) }1 h
7 `: U3 [. J# A) i' t- y+ { , h3 m. [6 g/ k0 f' ~+ p- Z
( J1 s, Q2 T1 K. I
然后点vulnerabilities,如图:9 d# U- V: S, w' S
4 N$ y( {: t" z n! `
8 H( t5 e& j* O4 E: h/ g9 G3 G3 ]
3 P( B2 v- [. K/ ]. I & H5 \- A1 _) p
, W( P/ n+ L# s8 L. {
点SQL injection会看到HTTPS REQUESTS,如图:
2 M# k5 Y9 G r7 M( V 6 }: Y; r$ [! o& L
0 Y2 y7 L! J" O9 M" s( l; K; Q , I2 h3 ]& t3 @2 O7 ?3 N
! T% G. G! Z! L) e, V- t
" U ~8 O7 Q$ A; h2 q u5 P7 c' n 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8; S' A/ ?/ \, V% P$ ]+ d
2 Q* u a) V0 P$ S* v) k
6 c* |" F9 b' I5 K9 \5 W. h1 x. p3 S+ n
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
: R: ]+ p$ u( q# a" u0 `
/ J8 `) R: R, C4 O' l3 T7 C
& @0 l) t8 i# i6 d* L+ B ( {3 e* A& w5 }# c `# q5 D" r
9 n* A; L& F" C- }) j E$ w1 y
: ]# Y8 _, `/ r4 D. f
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
3 ]' k9 i4 n% E$ H 7 ?; Y b. A% K! g8 c, [2 s
$ O" [. [! R9 C& B
3 k+ U! z8 @; ~) R
7 p/ f( ~4 C: _" J: s* u4 ?: B! d- D, L- ` j I
) a* q+ i8 ] V9 t. o: [6 l7 ?; \
& C3 t S4 |; R ~
/ k9 H5 W& f% ~4 ?( }+ S# C 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
6 D# O/ j7 b4 \( {3 d2 H( K% v * P" J" W$ h5 l" K7 w; ^! A5 G. {, T
. h; ^! U- ]$ R) e
( l8 ?" Y% i5 \. b7 u
4 d9 J5 o3 \ R& M8 R9 n0 j# O
& {1 I4 _0 V7 r
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
2 q9 u8 }9 d/ p! C
4 d6 T7 c) ^1 Q3 m: d+ A. G( V' A) {% q1 O8 m: m
2 \7 I* X! T. R9 I3 ?
! t4 U& Z* ]$ x3 \% t/ I* H
: V# P& C$ h# y( h+ z. ^ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
/ z+ R# _) {4 `6 ]9 v/ F
8 ^2 a c% T0 q( G. e
$ o8 c( W( Z) H. O! {$ V* P 5 L' ]: L+ _/ Y$ A3 n# Y! C/ p
, G: A9 G& X; r1 A8 n; D
" r9 s) N3 y2 G6 ~ 解密admin管理员密码如图:1 Q8 Y. D- J2 E* H
$ U% F& v, M5 B- a4 h9 p$ E, c7 }2 q e" ~; s; ^5 f7 f( n
/ H+ V* `. ?& E7 k * [" Y! R5 j! v7 B z! T1 s& {2 T! l
! f7 o! v% ?8 U 然后用自己写了个解密工具,解密结果和在线网站一致
: C! y& r4 c) L! S+ V' p - `9 S6 E0 e Z2 J
4 Y, v# f/ h% o. Y
8 x' B, f. M, W9 z! d* n ; P ]) z; ]9 p6 V
8 L. v8 ], u7 o. H) _ 解密后的密码为:123mhg,./,登陆如图:+ Q6 |8 w& R5 [: t; F; P7 }- P
0 W6 a% K2 V5 |' G6 [' J: v
, d' w }8 j& I7 [; D0 J 0 v, t- t) a% [1 F/ ]
4 F! Z* k- B6 E9 r2 X( K M. G' K
5 G0 S5 D; A) d' y6 X 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
5 m$ T4 |1 o! J: N) w$ B* m
# ?! k, L' y: r( _# _/ ?# S6 Y" |5 b; p8 G0 t
# d, z3 V" _& G
5 m& @( l+ Y) ^0 U) z
+ ]% S8 C- i( }& b
" u$ B: _3 U. H0 b( @ & Q( ?' G( a1 n4 q$ C
3 B4 `" P" E) @) T. S) u2 ] d 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:
. ?% t/ D+ @8 u! {* @4 R " R% d# P" p$ Z$ G
+ Z6 L8 ^* K' K; B& f( t3 l
' J9 |" ^9 |% h, t4 q 1 N c: Z! ]- x% M) I! b, p! Z
+ I) O9 Y, t1 B4 _1 K3 {& R
访问webshell如下图:
" V7 Q% o; @4 M2 X% @3 ~; x # |0 ?" o5 t F( N, [2 n
% Q7 b! P: r/ d! e( b4 y8 f6 q! E
$ \8 ?5 `* ]" u* ]$ L+ J0 n6 `2 g+ f 7 I5 A9 g4 r5 S/ _' a: [
/ B2 T% I" m$ i1 { 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:
7 K2 I' D4 v8 \4 s) ~& {7 R - O0 w; B2 @/ E, @. m& Q7 H- u
* p$ c& m- ~" \, ~# Z, Z( p5 y 7 ]$ k; w1 J* ^3 I! ?8 s& t
8 x! L2 h3 m* t, }
. a, Y. {& C. c4 B* ]
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
8 \- `* T" B" C0 W0 E. ]
' m) l+ m) C" x2 d, [: t1 D! D0 }
. n3 M& n: Z- D2 Q/ u 9 J! T. m2 c/ y! N
r# N8 p! P, l6 u" H2 J0 T$ O7 b( Y+ o- b
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
' a5 v, p8 w+ S
) l7 X9 d( L# e; r
) F; a2 P9 ?' _% ]
( w, l! R. I( r, o7 x6 i; l 7 k. I5 V" K+ T, D: s) c- }7 B! ?
; W0 e% G6 e2 |5 @4 Z L5 R- q0 O
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
. t% C! B$ Q9 e! T1 j! b5 ]
2 ^* C( w$ r3 U# M {6 D m4 L9 ] Y# M/ b) x
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
' h; v% P. I: b% @3 q! _8 h: V ; r: d$ I) p V) }. B l
9 N8 r0 h! S+ Q
% F B* N. G' N/ w) p 5 H/ N& X" X: B- l& m
|