4 a9 F K, J9 w2 A
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:, `6 N) n. z, l4 i
3 T# z- c0 V& d" t
2 N, S8 ]! C U
; K% ?# D* Y+ A0 Z1 b
6 r. n) g6 G, k2 B1 P' D4 G5 k: w$ ^& j9 ~0 N$ b. J7 ?
然后点vulnerabilities,如图:: ~0 Q+ T1 p0 U# z$ W
1 R: x8 r% G. v* U
2 Y1 |% G* V! l0 b9 [2 V
3 R9 `5 B8 S. I7 E
+ L2 D! M* }) n# i" A5 H) C4 a" X- d/ L9 O
点SQL injection会看到HTTPS REQUESTS,如图:
9 F6 i7 W4 F' `3 B% X # h- q+ _, v* ]+ f1 `5 R
% ^5 g! H' Q; l
2 _* Z! H$ x9 `
. M8 L6 r) S, V4 s! K. t( h# Q" l# A# M9 h( K
获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8( ?. E E3 I4 e
9 s+ O0 q: d: P f0 O* @
, ~( H6 {" V) F& ^
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
5 n5 L/ \# W+ Z! q: A$ f( j ( u" R0 a" ]: F+ c2 `4 ^, M- }
/ ]5 j" y9 |* J4 o- P/ D0 Z0 L
2 K$ O; r, z; @' k
& P9 f. z* m/ k+ w9 f: Q; e1 Y* n- Z8 E, x! K9 V: j9 q
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:" `1 a; C( P0 Q6 B+ N
( H( @+ g7 t( k7 r1 g) |5 ^! f
* }" u) E4 t* z! @7 ~3 R) Z% i7 G8 c : W# _( D- h* L" x
) o$ m- O! w. p3 @! l) P4 }
0 A$ I. g# C0 J4 {6 ~4 ?" u% o
# a! q$ d9 P" K. o
( D! @/ `$ t7 d0 A; h9 p7 V5 ~+ y6 K ~4 t v
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:: R2 n% p; H) Q7 J# h
* Z8 X, q x r+ h# l0 @7 s' |) K, P) a# R: x7 O' B" L/ U
- \3 V% j0 |- x3 y1 O4 A
8 @- L6 `! D6 y, o5 f
0 _' P O! n+ X+ x D2 I+ J 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:
9 ^' h* Z# a" B& k8 y3 G
6 s+ @* Q+ w) Q
: ?- Q0 D9 G" V7 {, o . h5 Y6 V3 N1 |4 l+ v& [3 W% M
/ P( B O7 b8 {6 L' W0 ~/ Q1 |3 N/ ~
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
7 q$ Z9 q+ i, i- P ' M/ x* s' j8 c
. {9 ^6 M( h4 e' Z9 i" l
- ~/ Q+ }9 u7 k/ y5 T# H% ~
6 ?2 J# e! n. n" ?+ N5 S. @
9 ~% E0 o' r4 c y 解密admin管理员密码如图:0 K( X" Q9 h( Q# l0 N" p* I# N
- K+ E: Q+ A; V/ I
- l% e) G& Q9 K) d' {
- C; z* M f( f7 B% C; O / @. O1 Z/ A+ x# [* q% I1 h1 V$ f
! O. o" M6 s8 i R x! z) j
然后用自己写了个解密工具,解密结果和在线网站一致
$ F8 Z5 F1 K: a0 t
9 [. l; l7 x$ s' }4 M! P$ a4 `! O f0 I K4 ^" ^
+ H8 p- O- w# ?# F; Z) X b% P
5 w; k/ S- ^$ _0 t6 c; D
; ?# v( v l9 A7 f0 Q" v; l, R 解密后的密码为:123mhg,./,登陆如图:3 M& x9 [" X/ c/ i
+ Z4 e" h. `6 s' [
# Z7 H0 q$ `. U8 N; A# J
2 J6 t0 N' D6 d! X* x- q
8 g+ f+ [8 [+ Y- m# N: H8 ~; F) F6 u9 O [+ O% W
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
' s+ |: c) S( F . g. e, O& W. \; k2 X0 Y) V J, G
5 `' _, U/ p) r
! W1 ?5 [. e/ F; O2 d; V0 o+ t
( R( x) g# G$ t1 T8 l: v
0 a4 I8 X( Q& C! o: V' L2 K- X
5 j& ~" o6 n* p3 ]+ X, K
( E6 x2 `% _- N9 f- d$ L
9 G3 |! T& W! u$ ^! y 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:0 w4 B7 P% @/ k+ f2 q; O0 O
2 H8 a' `+ K$ z0 c" T/ b
/ T2 t& h: u5 a2 [
0 r& a! B' `' e+ Q7 `
* G8 R0 t; _3 z; G* {
& C7 m$ K" _3 n3 r 访问webshell如下图:8 ]6 T$ N8 n; y6 C1 s. R3 H
7 l; v& H$ d" ~/ X r7 @7 }" R9 q2 a1 f2 _. K
6 m; H) P0 w9 e. L
& C( X/ Y# }1 D' y; e& c6 M
- o0 U) }6 b# R! @7 t- ]& i. N. S- D 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:- }, |2 u! Q7 `. e/ m$ `
+ M: M8 r2 h* F# a+ c
( ]7 V+ }- t& m( J4 i 6 z& s# o% r) t3 Z! N9 U
) W2 Q7 `2 T" K4 l( b( s/ j
& ?% [ U; x+ N 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
1 O# v9 @1 w9 g4 ] h
3 }# H6 A* |2 X4 |. q$ o2 W3 T4 Q- @1 K, C7 x1 ^
' Y, ~# {- _: x: ]5 ?
& W6 H3 G! N$ P# W$ Y) W3 `
7 w. U4 r: _ a# s' R 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:8 o5 q2 _+ ^$ m& l7 D" ^' ?% u
! m/ \: b- ^- R$ g2 ?) x6 A' ]( M7 ?, A" w
, W& X7 Z) x% {' }% D
3 t8 n( N5 @8 P+ U+ B/ G1 d7 R/ j; w/ W p
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。5 V; F9 D* G# F9 j+ k
$ ~1 n) [: z2 O$ ~8 `. x0 g! [" n; Q/ t, G6 f( j
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!$ @" ?9 a. T5 r' g. |
' t# s# \9 Q$ [
. Z! [) J" s: j0 a" j, ]
9 u+ P7 j# A) g
( q6 S7 i( i3 H% W, D9 D |