|
1 Q$ P2 E- J% I8 M9 j 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
8 ^+ B8 n2 t, W, I: R0 o1 |' u
3 N5 w3 V9 ^9 z% a6 K, H
- @. K o" n& f
( K2 }7 ?7 }% w# s" N4 {5 } ( s" {& C$ m( E# ~! Y/ o% D
1 {* @4 K( @6 f Y* z
然后点vulnerabilities,如图:% y8 @' Z2 o9 k" r* t% i
) _9 O" n! |$ c' e' F5 P5 F
" b+ U6 g( ^- o 7 Y: h: L `" i& Q) @! V2 |
! o9 H9 m! G7 [) @( a
% M! J. {$ W7 h/ h( O8 @) _ 点SQL injection会看到HTTPS REQUESTS,如图:6 W. L, n; E' _2 Y
: A3 F9 y& k3 K w3 q9 A
`# Y4 E2 j" ]% f0 A" r
i: z- P% e: e8 f. m
@( t/ ]6 J9 O' ]0 C1 ^6 P
) V, |- Z# u$ d6 b 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8) r0 H9 Y5 S% E4 z9 z4 W
4 g6 {3 k4 g }' n; M+ ]6 _
7 M h' S; b( J4 t+ [; X Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:1 J8 p7 t, Q- M$ B
6 {$ f5 q% w2 K! T
3 I! ^( m F: p: B/ N% p' Y I5 ? ' d6 D o4 \$ \+ n: i U; K
" c3 o5 \5 Q) T3 o6 u" S
7 t3 d8 ?, i* j' Y! A 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:7 f6 a$ O% Y$ |, `2 T' j" j; m9 W
, G; \# L l8 D6 j e I
( k* _; b( A' R& G& ^1 k# w * |5 ~3 F8 P3 ?
* q7 P# D: E- n' b
. S9 I. ^+ ^( _& E: D& y$ L& ^ ( o6 i6 ~7 |( T0 [
% z$ J' A, `; X/ f( y, W; m
P( K# q" C$ j
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:2 A5 a7 l# S' C/ p4 o- D: r
1 a1 ]6 X# p* N+ q! G+ J8 M F' u' V) C0 ~
q" G. u0 }3 |4 E, j- n7 T 6 s) J Z3 |+ f
2 B1 T! e5 v0 b/ R2 f2 C T4 u$ G/ |. a5 X 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:7 @ r g* S7 i6 _% F
* @ x0 _; Y* K0 L, a2 K3 R/ j0 J p* ~- h* e" y" C. Y$ ^
, s" ^& F D( I& x; z+ Q, Z
) E3 t! k' j; y5 `6 w% z" N/ g
+ ?# e/ f" }9 `! l& R6 _ 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:/ C# j0 A' R( E/ P. s5 M
( H- \, Q; {. W% G5 \$ D
4 @7 p- h7 ?' C, @ ! _9 Z4 [# J; f8 s6 z
- {& A* V$ e7 g$ w* x0 [1 c, q1 K' S' I; w* \: z- a4 ^
解密admin管理员密码如图:* A! X5 d9 w% Q4 `4 n3 _. Y
0 F9 T8 X1 m- [
4 W g8 ?2 ^' m& Y+ x. u 4 H" O8 y. A+ z3 T: C7 E6 x
" I3 ^! ]5 y* d. w7 M X! x
3 D7 m; q$ ^$ O! `! L 然后用自己写了个解密工具,解密结果和在线网站一致
2 r* e" \3 x3 a& j * H7 D% l; t1 U b
5 c/ v% l6 h2 V. v$ W! Z
# k5 t* n9 w& C5 W4 q! n
) x$ ]* v, j; \& l
8 x* k! _1 w2 d5 D" S, O 解密后的密码为:123mhg,./,登陆如图:$ v! R$ |: U; \* }1 O3 y
$ E: z' y% ]/ x& ?4 W- |
% I0 B# W& x# n - D3 P o" {5 g. S
" w/ g1 _7 X$ {& W
( {+ H. d$ x t( i" p 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:" [2 j" i" ?; T& D+ ^# d
- ~; f0 i! `/ d- Y! h+ @. a# p6 \. J- W0 E: f/ G$ o6 y
# A2 H" d! d3 d/ H5 N- B) n1 r2 X
9 S, j9 t0 ?6 t0 ]6 d
& g4 S% P( w( y 4 e, I' U. x5 A+ M: I* o/ @
, p0 y3 R% Z$ L- |; Q
6 O0 } T% {& E' M% |8 e 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:0 O; e/ n0 m' K1 S
+ z3 |, h+ n2 b) h7 C3 K6 X l1 w' c
/ o7 {. Z8 j) P- w
- p: Y- f' J, H3 n# X/ g q3 T+ L" \0 h* p) ^8 X
访问webshell如下图:
* \% f; R, {! I3 B+ {2 R ; t3 E/ o! ~+ l
7 r+ f1 o8 Y _" t! @9 h6 w
& G/ A$ n) Y" X# h8 c
7 t: \2 ^9 N1 Z5 v. k9 v. L% C, a1 ~- {9 a$ P
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:- [! v, a1 @' R5 n
1 R2 C4 n0 H3 o: g1 E& \
) T1 J s3 ^0 o% ]9 T6 Y3 @ ) K5 M5 W$ h9 v8 N$ X
6 }& Y5 O- R$ u+ p8 I. I. R
% P2 k7 c" c) U' U 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:: g" _1 q5 l: }4 _) S% e# J
! [" v$ R/ m7 @7 r" r& K
# O" \$ b! Y: k+ k0 U8 d2 }
7 \/ ~- s! S: K$ B; t0 s5 A
$ a- v; v) r+ U4 E. b% ?( R, Z6 d3 @: O7 s- A7 b5 S( m
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:5 l6 R$ g% O) [# j4 C H
. F) ~( _: x: s& p" f9 q: b1 ~, c3 r4 x* H+ U+ T) Q/ G* W5 _+ S0 O$ l h2 V
( i" q1 C% ?! Z' Y
& m7 t. U! N: q q8 M3 M7 g
3 \' W: s( R7 O9 k6 Z4 P1 B 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。
9 j; ]' f4 n6 c$ Q P
* X4 K9 ~9 G8 D, I! m3 o! F6 B
! Y/ I% a$ U. `" {& z" ~ 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!# I3 K, n6 C8 Y9 _2 q7 x2 _3 f! v( H
& c/ `6 d; Q) I( V9 f# C0 W
: J; _/ Z$ Q' j4 h
0 v. w- f% _! X4 i3 x 5 ] P+ d9 R2 p5 G
|