|
5 z# N# D* m$ g$ ^
注:各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1、POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图:0 C; P4 V$ [1 Y. h
0 {6 b9 u+ ]' e' I0 I! F& B- O
& S0 g* r( v0 D) x$ B& k1 y( B 
1 {. V( j- l8 h; } : S9 v5 g' h$ V. [2 c& p2 c! h
4 q, R1 R& a. m* b6 a4 Y8 g 然后点vulnerabilities,如图:2 H' J( P& z' t
) o w# _. |" \* a y
8 g: T# }0 |3 R l" i  , J5 Z) p4 V. r7 t) j! U# P
7 _& C3 ^& y, L0 M W: E+ v
$ J0 f9 ]; D B& X, f
点SQL injection会看到HTTPS REQUESTS,如图:
% A2 ~' c+ L5 E5 G
q) U% A4 @# |2 e4 r) \
7 \$ S. p+ H1 ~  / J' o. Y) L' T4 q
! }8 N+ H/ V/ y F$ G2 G1 @2 w3 w
* ~; _' [* U9 n' v: Z9 Z* `: S 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
) J) X& C& f% Q& e1 e' A4 n
$ [$ e; F, v& [' E3 e) f0 A0 b5 ~ y; Q1 C; k/ \
Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump 此sqlmap命令的意思是读取数据库cci下Zy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图:/ |3 W8 _# `& l( S0 Q+ i) U, V. F+ X% l
6 A% k) `8 ?% I" r1 J8 G# D+ [7 E: X3 A" e& r
 3 A3 Q5 h" c) P& X
+ v5 q( o1 E; g& {
; |$ a- R' p) w1 i( w$ x6 S# |, i 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 把bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:: m: E4 W: L4 F; L3 R
7 n& Y5 ], f" b
4 i4 Z+ x/ T# B* `  1 z3 _. _: b% y% v0 d
/ h2 f& r* u' q) p4 }' _* G
5 i( J! A6 |) }7 w' X2 h" P 
7 B0 c/ _. X- S6 P
6 j% c% i( n+ q5 V$ l8 P% B4 U& K3 C$ P
得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:
9 k9 U8 I9 c, s
l! z; q7 R7 }8 P& E% r9 g% d" i/ h. g4 Y* d0 |4 c
 ) G6 @' N7 u j/ v% V& K4 P" X5 U
1 s& X/ k' w. q3 Y8 i- M
9 \/ h5 \' S$ U$ o M 解密方式是把fkue使用md5进行加密,然后取32位md5加密值的前8位作为加密密钥,如图:: p/ L' H* W) X3 H
f! B T: C0 v5 d
' p6 R }. W0 q 
& e9 q5 [1 `1 I3 w" P 4 Q. u$ |+ W& E& P* E9 k
" @7 @% @& o( h2 ? 通过在线解密网站解密得知加密密钥就是:1110AF03。 前面sql注入步骤已经成功获取admin的加密值,如图:
# ]! b6 {$ B" N) h: `0 `3 N- ~& e 5 e6 E K% g; H
, s8 h( c9 g1 G8 P
- q0 d; m% s! F0 w) ?
* V7 Y+ |! R8 o& d# z, G! Y2 i$ a1 j {5 {4 |; y
解密admin管理员密码如图:
/ ^3 j+ y# K, d0 G( O- ^ . z% t# b( n6 T5 u5 o- B
7 W. C. C: M6 r$ y" X( ^ n8 d
- Q: B1 z0 u/ B+ W7 Y3 C 3 P4 y2 x1 \9 q% z
; J: q0 J6 F s* z# f* }
然后用自己写了个解密工具,解密结果和在线网站一致
5 U2 A& K L+ _' W' E; x8 n2 @ + q& v# i1 B3 x8 F
! z6 H: h, f. V- E# v6 p; A  , [0 \( V, a5 y
% x3 a3 v V( I* S
$ q2 C" r: {4 G+ S3 D3 i1 p+ N 解密后的密码为:123mhg,./,登陆如图:$ ~6 D0 \9 j( L$ j! B3 n
9 a0 W- N3 t" q. |. D2 ~4 E
) y! j' M% b2 F" Y# G 
) q3 l* _) G7 h1 H4 s! V* G
3 S* S# i7 r- u4 T \5 b% g( l$ L4 w. @% ~, X
3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:* K% ?6 f7 v. R" m' x
" W6 X2 `' \! l& n& \) a8 S* k3 B: S
( H1 \( h0 l+ J' C1 X$ f/ n
% [5 B( z% v! E4 {1 ]* e2 X( ]8 `- a& C1 U
' k( _% k1 @1 j1 h }6 ] : J. ~* \$ X* A" [ V- D5 t
X& }3 G# x4 ?9 g. O
绕过上传限制,只需要把包里的filename的1.jpg改为1.aspx,即可成功上传webshell,如下图:* a- A6 y; [2 v2 j2 ^4 T8 |( j, G
( g! _0 c/ S, t5 J
" O/ v) D( b8 I/ O+ M 
% m) P& i) g c4 i4 |( r( l; G1 D
) \/ J: k7 r% k6 O) w0 X2 d; J" Z! B P' C. ?
访问webshell如下图:
: C% ~: R6 M- F3 x: `* _ ! C% m0 J/ @& P. {# `5 P& ]
; A% h0 K7 `) ]' o2 t& Q8 q  / G. n) t9 {1 m3 r1 H& {# n9 T
# Y+ z! d8 T$ y+ t' w9 c& S
( W3 a8 p$ J6 u! s% e# @& L 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图:) \9 o5 ~( K$ [( N0 V
6 d3 e/ I( t5 f4 E* ~2 L
. Z9 q( X' W; u' Z7 L9 u% N
% M, l: R) Z, R! @0 G - F/ W- m# L5 b
# L* t+ l! q! a
在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图:
5 e' o7 y+ j( h5 J* `
0 n0 w( ~- ?' X0 X. k0 |$ |0 ~6 z0 @" S8 c
 ^, t7 ?% B4 N! p" f! x
9 S$ |# l, F0 b8 n i
) w7 S/ y( N& O9 ?" o
通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:
9 J7 c+ A0 W' l8 W
2 y; h# B$ [: Y& @5 r S5 O
. q6 e0 f7 P) F/ |. s( c9 K 
+ q: O8 M! m/ j3 L `6 ~0 a9 D & m% P( b; z( D" T& d9 `& K
# a) m0 ~3 x' J% V
可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389。! F! Y2 ?! p( O2 j% t u
6 p* m+ X2 V6 }8 p/ v
5 v) X& t& w0 n) U! @# R 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看!4 i ~9 K& M" ^! L) T4 Q1 {' v
% }! c4 F5 v# c$ U( @! Y d P5 S% f
/ y% Y. Z+ a' j& u " p5 ?6 f" a0 G- H4 N c
2 A) F. `& H3 Q" W; l' |2 B
| 
发表于 2023-11-28 20:23:22