找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1603|回复: 0

原创-web渗透测试实战大杂烩

[复制链接]
发表于 2023-11-28 20:23:22 | 显示全部楼层 |阅读模式

& u' F5 m/ u [; B, Y M/ Q :各位同仁,今天晚上主要防止被限号来凑个数字,这篇文章本来是给一个机构做科普的,所以写的有点怎么说,反正土司的人看了会骂哈哈,大家凑合的看,文中哪怕有那么一点半点东西,能给大家带来启发,那么我这个文章就没白发,所以大佬们轻点喷哈哈,嘴下留情哈哈。 1POST注入猜解网站管理员账号密码 通过awvs扫描发现存在注入,直接在avws下的Scans---target下点击你扫描的过目标如图: $ | N; E% w7 J0 L2 u# N

5 o8 v- j) X/ {

' j/ H$ g) c, O+ i, f* G image-1688134638275.png 6 d# d3 L" x! f2 H$ q' u1 k

; Z5 A# \ d" o$ ]7 u$ `, L% Z

4 n, Z" V6 J: G5 u) p$ g( X 然后点vulnerabilities,如图: 4 v8 o' y2 |8 R5 a' _0 g

6 w* U7 A! F8 S C8 M

2 ~$ {7 S# ~! g: K image-1688134671778.png# `) L5 f7 F g* m) i( T

" U# G! g; g2 u8 Y% a5 E% F" B0 I

' B7 f0 {4 h) s8 N4 i) [/ K0 E. P SQL injection会看到HTTPS REQUESTS,如图: v6 L+ D* M# y* p. ^5 t6 H

3 m [: t3 V* X; _% M& D

4 u+ H# d! i, |2 w* W& w image-1688134707928.png 6 s- ^' Z1 c5 Y0 W. A$ ?

( F4 Y Y3 `3 @9 E

9 @) l" c; L6 \ 获取到http的数据包,如下: POST /Product/ProductHandler.ashx HTTP/1.1 Host: www.test.cn Cache-Control: no-cache Accept: text/plain, /; q=0.01 Origin: http://www.test.cn User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.16 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://www.test.cn/ Accept-Language: en-us,en;q=0.5 X-Scanner: Netsparker Accept-Encoding: gzip, deflate Content-Length: 157 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 6 c5 A- v. u+ _. Y$ U# M; ^/ y7 E1 Q

* D9 c+ [. L2 t O1 J0 q

) r; m" M) H& O Type=GetProductList&pageIndex=3&pageSize=5&productType=*&supplierType=1 把以上post包保存到sqlmap根目录下,保存为1.txt,注入参数提前用awvs已经识别,注入参数是productType,注入命令为: sqlmap.py -r 1.txt --level 5 --risk 3 -p productType --dbms=mssql -D cci -T Zy_user -C u_loginname,u_loginpassword –dump sqlmap命令的意思是读取数据库cciZy_user表的用户名密码列名,dump就是保存下来的意思,会保存在./sqlmap/output下,以excel表格的格式保存着下载下来的表的内容。 注入用户名密码加密值如图: H# F; U, R' H9 |1 ~1 f4 j7 X- f

0 N9 X+ U. @! X6 p

4 I" E: J+ Y. A! Q image-1688134982235.png $ W1 ~) e8 Q+ ?* d

% u0 y. o9 v6 [ z' g* X

) }5 w i$ F F; k4 o- d 2、通过对bin目录dll进行反编译解密管理员加密值登录后台 通过前面的sql注入可获取网站后台账号和密码加密值,为了更深入的测试网站后台是否存在其他漏洞,需要黑盒测试模拟黑客攻击进一步测试,故对网站目录bin目录下的dll进行反编译来获取加密密匙,最终成功解密密码。 bin目录下的dll全部加载到Reflector中,然后通过跟踪常用用户密码相关的类函数,得出如下结果:- B- \! W) p ~3 r: I

- g/ Q0 j4 Z3 D2 f6 S8 t) X

0 E) D: n' x2 G image-1688135020220.png ( m0 Y) Z' O ]* {

" O: l$ b4 C3 }. v

3 q1 f3 A; _& j! P" Q3 _ image-1688135035822.png* l b4 _7 N' [5 B

: D) a; g/ s" u K4 O6 m% f

+ v! j5 b. r$ c 得知密钥是fkue且为des加密,接着定位encrypt类函数找出其解密方式如图:4 w, R6 ]- z- i9 N) C* v, z; }

, Y% t- [* J& ^8 _3 t

3 {. R9 W, l" w& G image-1688135070691.png 5 \1 t) ]' E% ~0 T4 k9 r

* Y$ S4 j3 P: c( a1 t4 E/ h) _

$ B4 ~+ f' l( g1 R5 W 解密方式是把fkue使用md5进行加密,然后取32md5加密值的前8位作为加密密钥,如图:- |6 n/ b) k3 {0 w8 K

; r0 p; O; x. X6 `1 F

% |! u% O( S0 k9 V image-1688135098815.png 0 I. H# V% }5 {. {' p

0 T1 c# Y H( l0 E3 T" ^

8 N9 ?3 C7 @; G! v, N# s 通过在线解密网站解密得知加密密钥就是:1110AF03 前面sql注入步骤已经成功获取admin的加密值,如图:4 s1 }" K7 M; d7 V

4 e" M1 q/ {7 ^/ h |* M

& h; b/ ~' {1 X: G& G+ J% L image-1688135130343.png ) S; S' ^. s$ i4 u3 P! g8 E0 ]

# q# v9 P! S$ |0 P. Q5 t) P: V

3 b2 P9 A( q6 T( P+ Z4 A2 F# y 解密admin管理员密码如图:1 q, `9 D$ q6 y$ E ^& R' v

1 ~+ C2 X0 H% h% E6 s2 n& ?: z( U2 |

. i C/ u# m; I( X+ E1 d; B( z7 c) t image-1688135169380.png . x+ X: G: o X( g' o% J4 C

" @% L8 ?+ }; l p2 [% |# _ x

$ P" O* t4 U' a u7 ^ 然后用自己写了个解密工具,解密结果和在线网站一致 ; Y& w; S: F. z% S+ v: r

- K f j) |. ^

0 X+ n1 h0 Y: L6 E( Q image-1688135205242.png# {3 a, U0 d. w9 [, }/ g3 t* B- Q' ^

. B9 X6 ^/ v+ J1 J$ s5 I* G2 r

9 R: K* [! a! ~" F+ D( n6 r 解密后的密码为:123mhg,./,登陆如图: & K- E, e) p! }# z# o

6 h7 d* Q0 R/ M0 z

5 P' l* H8 J! d5 I image-1688135235466.png, s. W- k1 t$ ?; t7 ^: V

2 E( Q2 D, ?, Q2 \5 G: I5 M0 @" Q

' A5 l; w1 G+ b1 r9 \' b' U 3、后台上传绕过漏洞getwebshell如图: 登陆后台后,在添加信息处,会有上传图片的功能,随后使用burpsuite抓包如下图:& H! H6 M `+ u6 |+ ~; F3 T; l

$ c G5 W' P0 m2 z* `" o8 H, h

- p \) \0 {" M0 S c" ` image-1688135263613.png6 C, U O8 C- J( P9 G! B

3 B+ J$ x0 ^ E

* w9 n5 e6 [! f image-1688135280746.png4 S# O2 X' W, Q; |5 k" G9 h

$ k4 n2 H3 F$ s- {" s3 M

3 _9 |, I/ ?) O% r# L) L 绕过上传限制,只需要把包里的filename1.jpg改为1.aspx,即可成功上传webshell,如下图:- i; k+ ~. V% D( T

2 b" t9 k3 z% x6 [

6 O' C3 d" T' u$ g% B% d2 T1 S* r$ k) f image-1688135310923.png - H. P. w9 w6 [. {

; v& b6 X9 R5 L& w4 O

' r3 B9 p0 W# o7 c) O 访问webshell如下图:7 V7 h- U, G% G" r% n, U

# _4 r3 k7 ~) F5 n1 l* c. `+ s/ U

0 u" U4 a' a9 A* r- [ o! [ image-1688135337823.png" a' r* s& q# v% l: v- G( l0 x

+ ?3 s+ P! z# M4 [5 q7 q# T; F5 H

7 v7 M0 p/ ]( v% e1 n 4、前台任意上传漏洞getwebshell 在目标站前台有注册账号功能,注册成功后,同样在上传图片处可直接上传webshell,链接为http://www.test.cn/userRegister.aspx,登录如图: & Y7 F- ?" O ?; T* r; |

' s8 E5 P2 T# {! B/ N$ z. x; L

8 m* W H" v7 G1 s4 @0 j# e image-1688135378253.png. }% T3 N3 K6 F$ `9 E* R

% m. D+ Y; t: S0 t. i3 u& }+ O

6 q& q: [( N( L; y. J/ m6 I2 U 在上传证件或者头像的处可直接上传aspx 后缀的webshell,上传成功后,点右键-属性,可查看上传后的webshell路径为:http://www.test.cn/Admin/upload/demo.aspx 然后登录如图: ) x/ j" i; V8 v2 ~1 ^$ o

4 Q" N% ?/ G% L% ?4 ?& G. i* n

5 ?+ |( q: B# s: p, D+ @2 W image-1688135422642.png; B' t; F" X1 k* x

4 p3 \* {: U x, Y

0 H% A; m/ h. i/ b; p" L: `4 | 通过查看网站路径下的web.config文件得到mssql数据库配置账号为sa的密码并且以windows身份认证配置的系统登录账号密码如图:6 Z: [' U% o+ I6 ?8 d7 y; m

2 d8 _! V* V3 B' \9 g F' M

9 G7 U2 K6 d, c& s image-1688135462339.png6 L$ h" b9 w. }3 C

0 F6 E6 F/ u8 G8 W8 q! c

. `7 G6 ]7 c/ ~! V3 y$ Y 可直接利用mssql sa权限执行系统命令添加管理员账号密码或者直接利用Windows登录密码webshell下利用lcx内网端口转发登陆3389 ! Q- H+ F. A2 r0 n$ d4 W

& q# `- d& ~. U- S. Z4 U( W/ N

( W; E. S/ E/ S1 M 总结:一套程序不应该只考虑其美观与功能强大,是要在满足安全的前提下再同时满足美观与功能。建议各个单位在系统上线之前,条件允许的情况下,首先进行白盒测试,其次进行黑盒测试,再次进行灰盒测试。如果通过白、黑、灰发现安全问题,那么就要再进行一轮这样的测试,直到系统难以被发现安全问题,然后再进行上线。特别是一些政府、企事业单位,数据面涉及基础人口等敏感数据,一旦遭到黑客攻击被泄露,给国家带来的损失是无法挽回的。好了以上就是今天分享的渗透内容,谢谢大家的收看! ) z5 q- w- A, K* C. f

9 Z8 U; K3 z) _

1 A# f& ?7 g, l; t  " q& E# d9 J5 w& h0 C+ ^

* |! A" p, F/ Q5 C; e) `* |# V
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表