|
7 v8 m2 @. P5 D3 ^0 H 注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:
M9 F4 X8 h6 Y8 Z - _% t8 ?# S6 R n# ^
, P6 A$ O) A; T; ~* ]  & E& G* C) ^& ^( d& M m
: U1 ~4 e& X+ R, \7 ?4 g& e q
' l8 h& l/ g P9 N6 F( E d
然后点vulnerabilities,如图:
; W3 N& U' Y! \( Z! _! q$ @
9 |- I# I8 S, {5 n% c H0 V& h/ M3 R1 h6 b/ v* S
 n. U. I( F% k) J* J+ I' z8 a: p
4 p% r5 u; U/ c9 \' R! @ [% q
* s B7 ?1 M: n 点SQL injection会看到HTTPS REQUESTS,如图:
% z# f2 |' T9 h. V' R: ]/ M
) W* n: ?$ ^3 Z Z$ [4 N( J8 N3 y, w8 Q# O* i
! o* \7 g; U4 H' u9 [4 f 1 \# o& L4 g _7 M
" K2 Z X6 d9 t+ @( R 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-83 \9 v9 n9 d+ E5 t6 l2 p0 m& I- y
9 L' J4 V0 a. Q0 ]& w+ `
, V8 H8 m; b9 W3 m3 b$ ` Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:
3 J, D3 [! y' w9 s ( j7 f9 D x+ r7 B; s; E# r w! `
# Q+ u# c& B# v$ n+ v# v: d/ l
+ y& P' ^- c# h
+ R$ I7 M* Z1 e8 c# D' d6 w; `. {6 k# x& Z
2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:
/ Y8 ^$ S& E- Y/ r7 q# T Y( B. a& C - Q: ~$ D: d5 H$ b+ D" c+ A [) y
. ^9 r3 e; x) H$ g5 Y; A
 0 o4 o5 ]+ a6 X6 f7 T1 z
8 @+ s3 V& j3 m1 [ \; ~* x, X L* v8 W% ?
" y% K$ w* `0 q8 s: J" s 0 O9 x# t, y& N3 I8 J% z
8 T* t! Z4 ?- Y) e/ ^$ P
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:5 _- f6 Y7 z l
/ O; t9 k0 ` H- q; S! X: P" ]( \* `# H R
 4 z }2 J. O1 H$ {( }" X6 v
) |) z4 e# E5 y1 f6 m# j
5 i3 q$ \5 [; F# Z
解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:% @* U! w( p; P+ m2 t% I
, G3 h5 E# I' B5 F5 z. L$ C( i
! S/ a5 I" J3 J" l 
! Q$ D) w: r, e ! O! Y" Q: D1 V4 r6 y& n
! [& `6 B* ?6 n `* w
通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
, t. ?* Y- `7 R' C- I
7 J' j* W w, G' c: i
8 o; s0 S: A( l* ` 
& d1 I; {5 L% I1 b! g' e8 m
6 U/ ]- |3 w# g4 U
' b6 x m# O! O 解密admin管理员密码如图:" ~; q; X: N1 u. r% H% D; m1 k
! t# f5 b( ^: s4 R+ Z" h8 M: [ {& q; f+ v+ y4 }
 : `. s" E5 n7 y& ~/ n- k. a: {" {- J
$ _' J' I5 ~9 N4 k$ ?
! h9 @/ H: C5 Q4 X8 J) ]
然后用自己写了个解密工具,解密结果和在线网站一致
$ u" L4 ^# S+ }4 P! w! a' W$ x. I
) R9 x7 N2 L: K. j# z
! Z6 M/ w7 M) s9 f; I! G- X( }  ' |* W5 b$ v- W- \% {1 O4 n
( V: V L' }: y3 X% w; c* [4 ?
9 L- S/ L7 x3 b; a H 解密后的密码为:123mhg,./,登陆如图:
1 S7 C6 w' Z4 t) r
- \3 y. a/ q1 h7 B- Q3 e+ D, Y5 `, p- r! E7 @
9 D, ?+ |1 A! s$ G
; Z, Q/ e+ F; e( h; d) V1 W# K4 f) y- W7 S
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:
7 E- O3 J( `% o. H4 F : h4 ^& K9 y9 u* C
& g8 Q( o7 P, P7 X) F  + P4 n& ^- n. S* h G: _
) V3 D5 Z* e/ g$ l4 j
# p5 u8 l o9 V4 z! B, L. R g8 n/ e  P$ B9 t+ ] k# k
% m' l9 K b4 l' c
* A |1 z* n1 q( @ 绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:: N* i5 h/ V8 v B: N( `& o3 P
/ _7 O' k# y* B, R, j$ P
! _6 _: S/ G q) x 
- U3 I3 a4 J2 f, T' ^# E) {- s * ?5 Y/ l4 N" G
3 I6 J: _* V( O9 k 访问webshell如下图:: k" c* y+ z0 M& m2 |: K0 W, n3 J4 g
+ r u' h2 Z. F0 q( b
1 C7 s' K6 Y8 D/ t. E3 \ 
8 L) I d9 X+ I% z+ c& X
( H3 O. h# N8 p# B. C9 X! \" C5 ~ X( x2 |# q9 ?, [
4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:, K m7 u/ {- D4 G# w
4 @, r9 k2 I( g2 a3 Q0 V" X, @7 ]
 - F) X4 ^1 i$ R! |$ E2 e0 `* k
7 `" B) ~( e- q
, L. ?4 |4 v8 D U. j
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
( N4 Q* b! Q; q+ U6 V$ e # n3 } }& y: A
. U' Q9 @0 S5 x( j% l" N 
# Y8 m+ ?' v9 X $ f$ v' _8 m: H( \6 C6 K3 O4 R( P
9 J" }! f0 W- q( T 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:: l4 e- \, a; L) o
# C \& X* \' J9 D8 Y0 G9 j: G
- Y& X4 `; n( c6 p: t/ Y ! k f" ~$ v1 e" _7 I* P
# J! r& w& Z+ y% M 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。3 h( z% d0 g8 ^/ h+ W
7 `+ O% D e' j; z' L
, @1 I% b& i- b6 r
总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!
9 H0 T4 }2 T# U6 T' q1 K2 [
" J9 q/ p7 D; q; f. b$ ]# U
9 ~9 i* O4 a4 l) r5 O* [: h* k 4 C7 r0 W- Q! X6 T2 s2 M9 b
$ O2 d; u: U5 ^& v1 W! ^
| 
发表于 2023-11-28 20:23:22
收藏
支持
反对