c/s

c/s
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
关于C/S架构系统的安全监测 smart_annt2017-08-10现金奖励共319327人围观 ，发现 37 个不明物体 系统安全
*本文原创作者：smart_annt，本文属FreeBuf原创奖励计划，未经许可禁止转载

由于工作需求，需要对一大批C/S架构的系统进行测试，所以这几天一直在摸索怎么个套路法，踩过的坑就不发了，直接奔我个人的套路：

C/S架构的系统，说最直白一点就是一堆.exe的系统，他们大部分没有web端，这就给我们这种web狗带来了难题了，怎么测试呢，网上没有详细资料，我这里也是个人的摸索经验。

1.走http协议的，这里就不说了，因为都走的是http协议了，跟有没有web端已经无所谓了，直接挂上全局代理，用burp抓包进行分析吧。和测试web的一个套路

2.不走http协议的，如我下面举的例子，走的是MSSQL的TDS协议。下面直接以例子来说明：

为了更大众一点，我每步都说详细点。。毕竟我差不多每步都走过坑。。。

进入系统之前，我们先打开wireshark进行配置：

这里有两种刷选流量的方法：

1.知道数据库服务器的IP：

知道数据库服务器的IP

选好网卡和添加好数据库服务器的IP，点击start，OK。

2.直接刷选协议：

直接刷选协议

写上需要刷选的协议tds.window，然后apply提交，OK

以上两种选择一种即可，然后我们打开系统：

打开系统

因为之前注册表已经保存了数据库的账号和密码了，我这里直接打开，他就默认去连接了，我们来看看抓到的东西：

看看抓到的东西

查看数据流：（红色的是服务器，蓝色的是客户端也就是我这台本机了）

查看数据流查看数据流

这就是MSSQL的登录过程，箭头所指出就是当前登录的数据库账号，然后密码呢，就是最后一大堆乱码了，想解密？？不存在的，反正我没有找到MSSQL2008的密码对应表。（哪个大佬有的话可否私聊发我一份呀。。）

前面那一堆只是让你摸清一下怎么个流程，大致说一下就是从MSSQL2003之后，登录过程都是经过加密了的，除了登录过程之外，其他以后的所有操作都是明文！！！！没错，都是SQL语句在进行的交互。

下面进行我们web狗可以干的一些事：

开始前，我们先把抓包重置一下（这里注意一下，以后的你在进行每一个步骤之前都应该重置一下，这样就只会抓到你当前操作的包了）

抓包重置一下

然后来到我要测试的系统：

我要测试的系统

随便输入一个密码进行抓包：

随便输入一个密码进行抓包

输入一个不存在的用户名：

输入一个不存在的用户名

提示信息不同，OK，这里就有用户名枚举漏洞了，哈哈，对吧，中危漏洞，写上写上。

然后我们在来看看抓到的包：

同样的，追踪数据流：

追踪数据流

注意我箭头方向，服务器在查询用户名，好的，我们继续往下看：

服务器在查询用户名

所有的服务器保存的账号和密码居然全部返回了过来，猜测是进行密码校验的时候数据库服务器会把所有账号过一遍，不过不用管，记下来，信息泄露，高危！！！！

然后咱们随便拿一个账号进行登录：

登录成功：

登录成功

好的，进入了系统之后呢，（PS：弄不到账号的号可以直接找厂商要一个，反正要进入系统）

同样的套路，我们先把wireshark重置。

到了这里，分为两步走了：

1.白盒测试，或者说你有数据库账号的：

2.黑盒测试，你没有数据库账号的：

我说的是数据库账号，不是上面登录的用户账号。

首先说第二个：

没有数据库账号的话，直接给你说两个字：乱点！！！

没错，就是乱点，针对的地方有所有有搜索框的地方，所有的新增的东西的地方，这些都有可能存在SQL注入和XSS。

举个例子：

SQL注入，高危

SQL注入，高危！！！

这里的搜索处就存在SQL注入了，

然后这里有个新增用户的地方，咱们试试XSS：

XSS

设置完之后，它肯定是不会弹窗的，我们要的不是为了弹窗，这时候我们退出登录，忘记上面服务器会返回什么信息了吗？没错看下图：

我们再次随便输入一个密码，然后看所有流量包：

看所有流量包

看到了吧，成功插入数据库了，好的，存贮型XSS，高危，记下记下！！！

测试payload，直接闭合前面，然后后面进行账号添加’ALTER SERVER ROLE sysadmin ADD MEMBER test;

（这里不能说XSS了，应该是命令执行了，所有SQL语句理论上来说都是可以执行的。）

不过这个系统是做了防护的，大部分的地方都不会有回显，这时候怎么办呢，我们来到方法一，我们不是有数据库的账号密码吗，来，登录MSSQL2008:

登录成功之后，查看自己的系统使用的数据库的ID是多少

查看自己的系统使用的数据库的ID

这里是13.好的，然后我们来登录这个：

登录

这个是用来记录SQL语句的，就是你在客户端的所有操作，他这里都有显示。

设置：

设置

设置

然后在选择列栓选器：上面我们不是查看了自己的数据ID是多少吗

在这里设置好：

数据ID

然后运行，开始抓包了。

抓包

搞定，后面的步骤就跟方法二一样啦，方法二所有没有回显的，这里全部都会有。。嘿嘿嘿，看一条，查一条，还不是美滋滋~~~

好了，由于技术很菜。。本人的总结就只有这么多，哪个大佬还有更好的方法的欢迎指教。。我好加入我的笔记数据库~~~

*本文原创作者：smart_annt，本文属FreeBuf原创奖励计划，未经许可禁止转载

smart_annt
smart_annt
1 篇文章
等级： 1级
||
上一篇：披着羊皮的狼：攻击者如何利用漏洞以特定图标伪装可执行文件下一篇：“灵隐”木马黑吃灰：绑架数十款游戏外挂实现恶意推广
这些评论亮了

smart_annt (1级)回复
哇，我发现freebuf上面人才真的多，1L的，你懂XSS是什么吗？还有你不看后文的？3L的，你知道什么叫C/S架构吗？然后2L来个跟风的？有趣了
)25(亮了

Scales (3级)剑未佩妥，出门便已是江湖。回复
楼主只是分享一篇文章，一帮子人在下边喷，另外在楼主帖子下回复的那些个开发都自带优越感这种属性？
)13(亮了

xiumu (1级)渗透+应急，安全服务工程师回复
@ smart_annt 别受他们影响，楼主，毕竟他们压根没接触过安全~
)11(亮了

smart_annt (1级)回复
@ LUCKMORE 哟哟哟，我这就叫做喷了？？？嗯？MSSQL2008,你都说能给我抓出密码了，我还能说什么，7年开发耶，你咋不上天呢，你完全可以去弄个安全工程师啊，你是连一丢丢的安全基础都没把？？还我巩固基础呢。。你先去从安全入个门再来跟我说。
)10(亮了

taylorwin (6级)回复
看到了吧，成功插入数据库了，好的，存贮型XSS，高危，记下记下！！！
XSS需要对应的WEB触发才价值吧？
)8(亮了
发表评论已有 37 条评论

taylorwin (6级) 2017-08-10回复 1楼
看到了吧，成功插入数据库了，好的，存贮型XSS，高危，记下记下！！！

XSS需要对应的WEB触发才价值吧？

亮了(8)

uber (1级) 2017-08-10回复 2楼
看到了吧，成功插入数据库了，好的，存贮型XSS，高危，记下记下！！！

XSS需要对应的WEB触发才价值吧？

亮了(0)

safe222 2017-08-10回复 3楼
这不是c/s架构系统，而是单纯的一个客户端连接数据库进行操作的xx管理系统，这种设计本身就是有问题，当然如果能保证客户端能在可控范围内使用(例如网吧管理系统，收银系统)，也无妨。

亮了(0)

smart_annt (1级) 2017-08-10回复 4楼
哇，我发现freebuf上面人才真的多，1L的，你懂XSS是什么吗？还有你不看后文的？3L的，你知道什么叫C/S架构吗？然后2L来个跟风的？有趣了

亮了(25)

马化腾 2017-08-10回复 5楼
小伙子很有前途，对于这样的测试结果我还是很满意的，晚点的时候帮我把lol和dnf做个测试。

亮了(1)

Akane (8级) 2017-08-10回复
@ 马化腾 这是传说中的精分现场？

亮了(1)

马化腾 2017-08-10回复 6楼
小伙子干的不错，等下把LOL 和 DNF 也测试一下。

亮了(2)

6666 2017-08-10回复 7楼
不错哦。

亮了(0)

111 2017-08-10回复 8楼
既然直链，内存直接拿mssql的账户密码，有可能还是sa,拿到服务器权限。

亮了(2)

LUCKMORE 2017-08-10回复 9楼
装360跟VC6.0的人才,

别人教导你应该虚心听取意见,这样一看你就是一个小孩子.

1.C/S架构的系统，说最直白一点就是一堆.exe的系统

谁告诉你C/S架构的东西一定是一堆exe了,他只是一个软件系统体系结构.记好了是(软件系统体系结构).按照你的说法他应该可以是一堆py一堆php一堆rb一堆go….

2.提示信息不同，OK，这里就有用户名枚举漏洞了，哈哈，对吧，中危漏洞，写上写上.

你自己说的,"因为之前注册表已经保存了数据库的账号和密码了"都特么的有数据库账号密码了还枚举个锤子啊,显摆你有能耐啊?没密码你数据库都连接不上,同样你枚举个锤子啊,这本身就是一个大BUG.

3.没有数据库账号的话，直接给你说两个字：乱点！！！

虽然我没接触你手里的什么什么运维软件,看你图片大概了解软件构架,数据库在本地服务端软件直接连接操作,你都连接进去了还乱点什么.SQL注入.数据库是本地的你还注入干什么,你自己说数据库账号密码在注册表,就算你不知道.这样直接操作数据库的你不会动态调试么？一个断点数据库账号密码都有了你还找这些干嘛，这个东西本身就是数据库本地，数据库账号密码本机储存的.

你下面说的我也不点评了,我做了7年的"C/S架构exe".我不对人家的软件做出评价,因为每个server端使用的环境不同.人家隔离网络用就没事,现在大部分都是隔离网络使用server端.

好久没看到对口的文章了,求不喷

亮了(6)

smart_annt (1级) 2017-08-10回复
@ LUCKMORE 首先，我以我们web渗透的角度说的，对于我们做安服的，C/S架构的系统就是exe的，没啥区别，你要硬拿逆向来说事呢，当我没说，然后第二点，谁跟你说数据库服务器在本地的？？？？？然后我说的是用户账号密码，你跟我说数据库账号有一毛钱关系？？？然后我开头就说了，白盒测试白盒测试，你写的系统没让安全工程师测试过？他叫你提供数据库服务器的账号密码，你不提供装屌大还是怎么的？？？第三点，居然嗨啊跟我扯到SQL注入的那个数据库服务器是本地的？？？？你是来搞笑的吗，注册表的数据库账号密码只是提供刚刚打开那个软件的时候那一瞬间的交互用的，还是那句话，跟用户的账号密码有一毛钱关系吗？？

亮了(2)

LUCKMORE 2017-08-10回复
@ smart_annt 再给你纠正一下，有软件在，一瞬间交互就可以拿到帐号密码了。这根瞬间不瞬间没关系，还是希望你一句话，有一个好的态度。

亮了(1)

smart_annt (1级) 2017-08-10回复
@ LUCKMORE 还有，我也给你纠正一下，我们安全工程师不是就是拿着你所说的软件到处扫，能扫出来的东西还要我们这个职业干嘛？？？嗯？你以为就你开发的会写代码还是咋的？跟你说话感觉好累啊，一个做了很久开发的人就能以为各个方面都很拽。我也是服了，也不知道你哪来的自信？还是那句话，你先从安全入个门再来跟我说。

亮了(4)

smart_annt (1级) 2017-08-10回复
@ LUCKMORE 还得多说一句，装360怎么了，装VC6.0怎么了，你不装显得你屌大？

亮了(3)

LUCKMORE 2017-08-10回复
@ smart_annt 你赢了，你自己都说了有多的想法方法告诉你。与其在这里喷别人还不如去巩固一下基础和知识。

亮了(0)

smart_annt (1级) 2017-08-10回复
@ LUCKMORE 哟哟哟，我这就叫做喷了？？？嗯？MSSQL2008,你都说能给我抓出密码了，我还能说什么，7年开发耶，你咋不上天呢，你完全可以去弄个安全工程师啊，你是连一丢丢的安全基础都没把？？还我巩固基础呢。。你先去从安全入个门再来跟我说。

亮了(10)

alexnevsky (1级) 以为自己很吊，其实还是菜鸟 2017-08-10回复
@ LUCKMORE 360还可以吧。。。起码它的安全团队很强了，但是用起来系统很卡就另说了

亮了(0)

123123 2017-08-10回复 10楼
相当脑残的系统。。。把密码从数据库取出来再和输入对比

亮了(0)

safe222 2017-08-10回复
@ 123123 其实并不是 ，这是那种直接连接数据库操作的xx管理系统，他理解错了，其实是软件在对数据库进行查询匹配，这种系统根本没安全测试的必要，毕竟连接数据库账户密码保存在本地，可以通过n种方式获取到，数据库都连接了还xss、sql注入，这些所谓的漏洞不是搞笑的吗。

亮了(0)

smart_annt (1级) 2017-08-10回复
@ safe222 呵呵呵，没安全测试的必要都出来了，哎哟喂。我还能说什么呢

亮了(0)

soso 2017-08-10回复
@ smart_annt 你的言行和知识水平，真为你的客户和公司担忧。

亮了(0)

smart_annt (1级) 2017-08-10回复
@ soso 懂的人自然知道好吧，我真怀疑你们这些连账号都没有的号是同一个人的？？？毕竟这个网站面向的对象有点广，阿猫阿狗喜欢装逼然后被打了就爆炸了？

亮了(0)

nike 2017-08-10回复
@ smart_annt 别搭理那群人了，一群压根就没接触过安全的人。有什么好说的

亮了(0)

111 2017-08-10回复
@ smart_annt 小伙子 不要激动！！ 看待事情的角度不同， 不要让所有人都理解你 安服是尽可能帮助客户发现更多的问题， 而对于渗透来说 当然是提取本地数据库密码，直接搞服务器了。

亮了(0)

黑旋风 2017-08-10回复
@ smart_annt 大兄弟，脾气有点暴躁啊，差不多就行了，别计较那么多

亮了(0)

xiumu 专栏作者(1级) 渗透+应急，安全服务工程师 2017-08-14回复
@ smart_annt 别受他们影响，楼主，毕竟他们压根没接触过安全~

亮了(11)

幕刃 2017-08-10回复 11楼
评论比文章好看系列

亮了(6)

addison66 (4级) 大奶萌妹请私聊我 2017-08-11回复 12楼
作为吐友，支持一波

亮了(0)

Scales (3级) 剑未佩妥，出门便已是江湖。 2017-08-11回复 13楼
楼主只是分享一篇文章，一帮子人在下边喷，另外在楼主帖子下回复的那些个开发都自带优越感这种属性？

亮了(13)

风之传说 (2级) 2017-08-11回复 14楼
@LUCKMORE 理论上来说，我们做安全的就是为了帮客户找到更多的问题。 只要存在风险都需要找出来，所以一般不存在说拿到最高权限就不去找其他漏洞了。还有，数据库一种就是你说的那样直接在本地连接，还有一种就像是金融证券那样，你总得让客户去登录然后进行交易吧。 这种情况下，随便一个人通过抓包就能抓到你执行的语句，以及执行的结果。 这不是一个低权限该拥有的，而且连接数据库账号密码如果被抓到，就可以直接通过外部去连接。 危害巨大。

亮了(0)

xiumu 专栏作者(1级) 渗透+应急，安全服务工程师 2017-08-14回复
@ 风之传说 是风神么

亮了(0)

cwlohome (1级) 2017-08-11回复 15楼
评论里 戾气太重了. 文章不管对错，确实经验知识的分享，越来越浮躁orz。

亮了(1)

test 2017-08-13回复 16楼
安全圈确实浮躁。

亮了(0)

剑圣 2017-08-15回复 17楼
作者 在评论里撕逼，不够虚心，即使功力再深，也是惘然，达不到顶端。天赋即此。

亮了(0)

鬼魅羊羔 (4级) 网络尖刀的小屌丝一枚。 2017-08-16回复 18楼
终于理解了，为什么有些电影影评比电影本身好看了。

亮了(1)

exrn (1级) 这家伙太懒了，还未填写个人描述！ 2017-12-14回复 19楼
哇 膜一下 :grin:

亮了(0)

大后天 (1级) 2018-11-07回复 20楼
学习一下，对我还是有不少帮助的！谢谢分享！

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
smart_annt
smart_annt

这家伙太懒，还未填写个人描述！

1
文章数
7
评论数
最近文章
关于C/S架构系统的安全监测
2017.08.10

浏览更多
相关阅读
Cloak & Dagger攻击：一种可针对所有版本Android的攻击技术（含演示视频）关于C/S架构系统的安全监测微软64位计算器栈溢出分析CVE-2013-3918漏洞分析及分析流程翻译中间人攻击-ARP毒化
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank