找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 原创-web渗透测试实战大杂烩
返回列表 发新帖
查看: 2893|回复: 0
打印 上一主题 下一主题

原创-web渗透测试实战大杂烩

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2023-11-28 20:23:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2 r( \6 x8 `3 x6 Z :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:3 w3 g4 o6 R1 E

6 E! W% X4 u) {( o0 k: s& s; Q

' W+ L4 ^4 Y8 E. _ image-1688134638275.png- ~- Q. }7 F% J2 o' D

; d- F' F; ^1 q) R/ `, c5 Z

+ p7 K1 d1 d. m! ~/ W. s7 j# e 然后点vulnerabilities,如图: 4 H u: n- m- { l. h4 O

7 @% ~8 g% a6 H+ [: ~+ F

6 Z, E0 r* }& n$ e image-1688134671778.png3 u8 O% v3 ~& [" _& F# R2 u

$ T8 L3 Y, Y: {6 c/ v: _0 S

' O- [2 W y' `4 M: Q SQL injection会看到HTTPS REQUESTS,如图: + f3 @5 B/ D- c& F, }

2 H9 r* Z# u0 g r1 f+ L/ M/ X

6 s1 {. [8 J' }8 B6 w0 ? image-1688134707928.png + S: ]5 j+ @5 a9 b1 T

' ]4 N$ z$ t. E* E7 `

& N$ b5 w3 {% G F P( { 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 9 H6 {& d0 n# W: F( S$ X6 U" [

' O- o( t9 i4 m* ~) S

0 M% X$ X- o' c! F$ ]2 T# f( i Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:% c" G: s' d% m) O* ]

& z: f7 i( S$ B. E

7 l0 R! G M. ?) m1 z3 `- y image-1688134982235.png % ?0 p6 T) }. S

% \# I' B I# ~, @* v# z

: H# N3 {% C K: Z: {# {' V 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果: 9 x7 D; R, B8 q3 V A; x

& x5 ^' W1 ? F4 G2 M

( S& H: F3 R$ M5 }# j image-1688135020220.png 1 l* J! N. l) i

* E9 S1 R! L$ D/ u) d% M

8 H: @6 x% m, t6 C: ~! b+ E2 ` image-1688135035822.png8 |7 e6 f! @. g# l c

% D& k" {8 _6 h* [. @

% y* y4 ^5 e b( m 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:* p9 |3 E6 U4 }* ]! ~. k* i9 o

5 v3 B; ~$ ~: M8 X1 l9 a

7 Y! b" S# q# C, F, ~. s image-1688135070691.png; E9 ]+ ]; h% N: a) J9 a+ D

8 \0 {* S" e2 N/ t' x

$ d7 S u" A) ^3 X% \% f# w* | 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:" s0 r3 g- s- U I# c: W. X

2 p* H# N1 u7 A; t( ?0 V2 y# Y

) A/ z9 [4 s; h* H image-1688135098815.png : q, B; _( ^& C, v* X; I. R" ^) m$ a% q

+ |+ p& A* H b9 H) T

6 A' G* ]0 a! L4 ^ 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:3 g& n) H0 r. U

4 E/ [# Y4 `; M3 J

C# p+ x; F1 {. s3 z/ n image-1688135130343.png8 t/ [4 @( m5 m+ e0 c

* o! _5 Z P ~. G% H1 M9 ?

; @: p& F2 ~" u 解密admin管理员密码如图:8 n) e2 @; E P( Y. Z

6 W- _" ^. B4 O5 T- t

% t3 |+ u+ Z! \7 E: V1 V- B& W0 _ image-1688135169380.png # }) _* v0 X/ |8 H/ K

9 \% R; r% N0 s

3 I& [- ~) E+ w2 R 然后用自己写了个解密工具,解密结果和在线网站一致 2 t) x1 s1 T: S2 J. S* O. l- K

/ J; Z$ T+ z0 Z. h

% W8 K( x% Z" a, [6 S1 }% m7 W image-1688135205242.png 7 s& P& l) g, ?' l+ f

' w/ f& K: s6 l- ?% v

' I$ C" ~( ^* L! E8 | 解密后的密码为:123mhg,./,登陆如图: 0 f7 P. [2 g9 Y, y8 h, b( b' g

4 ]; e% I2 y w9 N/ Z

. ^2 D' u8 J A( O [+ D- y image-1688135235466.png ) M- K1 Y( R( K4 E" l2 x

K0 l# u) m( i: `5 R

3 v! h" p, Y% D4 S9 ]9 I9 f* C0 a5 d* K 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:, H% }- u8 b- R0 |, J

6 N6 ^( g7 u- A

" e7 {/ ^ `; E* w: J/ \- b7 z8 f image-1688135263613.png8 { S0 p6 m' \! z: z) \

% C- Q4 D6 v& W

! t7 f0 K& Q8 f3 X2 |& D" F% j' C image-1688135280746.png6 K4 K" s' q! B% v3 Z u3 [

: B# S5 n: t" S) j9 p

' {3 H6 l) g# H 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图: ! g' a6 j* ^6 U6 d R9 r

& K& w, E; u. ?3 c9 i

% Q% p. u5 K7 i2 g image-1688135310923.png: Y5 E# z) f5 G

+ ~9 s/ N8 E/ k+ Q1 h0 l- F

& u0 J0 Y9 o$ L# X* u8 z m 访问webshell如下图: B0 g o/ i+ m, j

1 f5 ~. o$ a4 [- w# E5 [# M* K

& l- t& {+ A# L( n( _: b- i3 \ image-1688135337823.png0 o* v* s- d! y0 g* N

: L. W2 [9 ^/ a+ t

0 I4 I% h% M) I" T& a1 \& x 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: # b8 E- q* M9 x/ |6 k

! \! x: S$ e5 p5 b* M1 R+ _

" M, `. }; D6 I+ y! i' i image-1688135378253.png ! v1 I4 G1 K9 C! a, U

$ U+ Q% O$ j1 ?8 |$ T0 v

0 A7 c8 S0 Y) W/ q$ w 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: 5 F2 _. e* Y. d4 |

; |$ g- H, Y7 _: y; w- ?( R

% o) W5 T; u1 T* T3 N4 C2 i& D image-1688135422642.png ' H; J1 v Q d; Y+ A% V z! S# ^

4 B* G4 a5 e1 K0 F) V8 c2 O

8 ~7 ?; x4 `- E, E 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:/ Y; B9 z4 P( \/ d9 F

9 p. R _5 y2 z5 ?+ J. w+ Q. @; w& w

8 G+ f/ w5 G, f- m image-1688135462339.png ; s! w9 [+ v0 P4 E }. u2 w

+ i3 ?( l- ?$ n

( M8 g( N; N3 H! @5 F- K 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 * i% q% v, K1 Y6 W; N9 H. ~& X5 \

5 I7 r0 s# u; i; W6 D3 h

" K' R5 E0 G* I% i$ m 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!# a v9 \: `1 S4 d

2 S+ x. j7 }% C# \- v9 f

$ A8 @1 K' }9 B5 t6 G( A   7 b, P5 @& _8 g# r" z

: L% l! Z6 {! t O* ?1 Z
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表