论坛: 菜鸟乐园 标题: 一次真实的网站游行!! 复制本贴地址    
作者: pzfaz [pzfaz]    论坛用户   登录
最近又游行了 嘎嘎
好了 转入正题
最近挂马的太多了我郁闷 一上网到处是马 希望各大站长能及时把洞补了。这里我只给大家讲一个思路
不写具体入侵方法 以及什么什么的
  好了。
大家都知道 静态的HTML都是不能注入的 我看了一下 他怎么是动态的页 于是看了一下源代码
          <td class="NewsContent2"><p><table width=100% border=0><tr><td><div align=center><font color=#000066 size=4><strong>《劲乐团》收费在即 新歌又发劲爆弹</strong></font></div><br><div align=center><span class=p2><font color=#666666>2005年04月16日</font>      【<a href=http://news.17173.com/newsarticle/ target=_parent>有奖新闻线索提供</a>】 <font color=#FF0000>【<a href=http://news.17173.com/m_false.asp?newsid=74565&newstitle=《劲乐团》收费在即 新歌又发劲爆弹><font color=#FF0000>有奖“揪”错</font></a>】</font> <font color=#FF0000>【<a href=http://news.17173.com/newsarticle/><font color=#FF0000>新闻投稿</font></a>】</font>  【<a  href=#  onclick="window.open('http://sms.17173.com/custom/send_custom_msg.php?Content=Hi%2C%CD%C6%BC%F6%C4%E3%A1%B0%A1%B6%BE%A2%C0%D6%CD%C5%A1%B7%CA%D5%B7%D1%D4%DA%BC%B4+%D0%C2%B8%E8%D3%D6%B7%A2%BE%A2%B1%AC%B5%AF%A1%B1%D0%C2%CE%C5%A3%AC%B7%C3%CE%CAgo%2E17173%2Ecom%BA%F3%CA%E4%C8%EBxw74565%BE%CD%BF%C9%BF%B4%B5%BD','','height=360,width=500')"><font color=#0000FF>以手机推荐好友</font></a>】</span></div><br><span id='tabNewsContent' class=NewsContent2><iframe src="http://www.17173.com/if/top-new1.html"; name="contentFRM" id="contentFRM" scrolling="no" width="326" height="350" marginwidth="0" marginheight="0" frameborder="0" align="left"></iframe>  时尚音乐网游《劲乐团》公测火爆进行后,音乐王国繁荣昌盛、玩家各取所需乐翻天,《劲乐团》新区不断新增、线上人数飞速上涨,在2005年4月初一举突破18万大关!同时《劲乐团》永久免费运营的消息更是震撼着广大玩家的心。<br>
大家看到了这一段了没有 http://news.17173.com/m_false.asp?newsid=74565
这里有一个ASP的 于是我便用NBSI2跑了一下 一看 结果竟然…… 无语 已经通知站长
好了 17173看完了 我们来看一下华军软件园
随便打开一个新闻页面 http://news.onlinedown.net/info/12378-1.htm
好了。
我们看一下源代码
<img border="0" src="../down_info.asp?id=12378" width="1" height="1">     
看到了吧 是一个ASP地址
我们拿NBSI2跑一下看看会发生什么情况http://news.onlinedown.net/down_info.asp?id=12378
信息捕获 HTTP报头及IIS提示分析

注入方式 字符型
数据库 SQLSERVER'错误提示开启
SQLSERVER信息
多语句执行 支持
当前用户onlinedownnewhua
用户权限竟然是DB_OWNER
当前库NewHua
我们在看看跨库 看一下有什么数据库
数据库列表
master./tempdb./mofel./msdb./puds./NOrthwind./newhua*./
他的数据库就这样被爆出来了。
但是还没什么利用怎么办?
想起了吧 知道路径后可以用backupwebshell类的软件挂他
点一下他的工具NB TREE_list
先看看他的C盘有什么
输入路径
c:\\

C:\Documents and Settings\\

C:\Downloads\\

C:\Program Files\\

C:\RECYCLER\\

C:\System Volume Information\\

C:\WINNT\\

odbcconf.log
说到这里我不再说下去了 华军那么大一个网站竟然存在那么大的漏洞 可想一下
五一准备到了 还准备什么中日黑客大战  我想第一号被黑可能就是他了
现在我们去看一下台湾橘子的官网吧
小台湾?不给他面子 我日他
游戏橘子存在一个蛮蠢的漏洞。
台湾人真是蠢啊。搞什么独立 跨站漏洞呵呵 来我们随便去看一下
都知道,所谓跨站攻击,就是程序对用户输入的数据缺少充分过滤,当网站浏览者浏览信息时,被输入的恶意脚本就会被执行,这可能是插入一端文字,可能是偷取浏览者cookie信息的java脚本,更有甚着是一段利用IE漏洞的网页木马代码。这种攻击方法与得到webshell后插入木马代码要实现起来要简单容易的多,当然这种方法也有它的缺点,这个我们一会讨论。先说实现跨站攻击的前提条件,当然是网页中要存在输入信息过滤不严的地方。在某些大型的非互交型的网站中,这种输入点一般不好找,所以直接从表面入手相当棘手。
我们换个角度考虑,如果这个网站存在sql注入点的话,结果就不同了。我这里说的数据库是针对MSSQL数据库的(当然对mysql等数据库同时有效,不过处理起来有点困难)利用的还是让人厌烦的但却是很有效的SQL注入漏洞,不过不需要admin权限,只要有 Update权限就够了,一般Db_owner就有这个权限。我们直接修改数据库中的的信息,使得asp程序在调用数据库时,将修改后的网页木马的代码显示在网页中。下面我就用个例子展示一下攻击过程。
在浏览台湾橘子站点:http://www.gamania.com的时候,发现了这个地方可以注入: http://fateasia.gamania.com/turtle/index.asp?sid=E00001心中一阵窃喜。像这样的大站也能注入,于是抱着侥幸的心理拿出看家工具NBSI走一走,猜解出如下信息:
呵呵 别人数据库保密哈
具体方法刚才我都有讲,我就不在唠叨一遍拉。拿到路径后当然就是backupwebshell了
由于我没有看过cyf的这个工具是如何对int型和字符型数据的判断,所以在Url中参数中加了个’,认为是对整型数据的注入。下面我们看看结果如何:

失败,看来常规的攻击不会有什么新的突破,还是另谋他法了。
��后来我仔细看了看这个占卜的网页,看到如下信息
哦,原来是和www.fatesia.com合作建的站,先ping一下着两个站点
到没,是在一个服务器上的。看看打开这个站点看一下:

恩,做的不错啊,网站也挺大的,呵呵,小样别以为你打,咱们就不敢整你了,瞧着,在网站溜个一圈,同样存在注入点,更可惜的是这个站使用的数据库和http://fateasia.gamania.com是同一个数据库:
来,这个才是主站:
看看咱们backup的木马在这个站上吗: http://www.fateasia.com/asp.asp返回404错误,看来也不行,郁闷。
此时忽然想到,既然不能直接得到webshell,那我们有没有可能在不得到shell的前提下挂上网页木马或者是跨站攻击脚本呢?因为我们对这个站点的数据库已经有了操作权限了,这在理论上绝对是可行的,兴奋啊,对啊,直接操作数据库跨站攻击的确是个应用特别广泛的方法。使得某些人花费九牛二虎之力弄得个shell才把木马给挂上去,费时又费力。
着只是我的思路而已,我们亲手实践一下看看能成功吗。
��首先要找到asp中的调用数据库的地方,一般动态变化的信息都是对数据库的调用。
我们选择个最明显的地方,(具体的选取,要靠平时大家的经验了,一般经常更新的地方都回调用数据库里的信息)。如下:

这个地方走动的红色文字,应该调用的是据库里的信息。
查看源代码看看:

我选中的字体大家要看清楚了,由于我们有装繁体字库,将选中的字体粘贴到一个本地网页文件里打开,在查看|编码|中选繁体中文:得到如下信息:

好了,我们就在数据库中查找这个信息,由于数据库相当大,我得花费相当长的时间去查找,
工夫不付有心人,终于在数据库中我把着条信息给揪了出来:

在NB中虽然显示的是乱骂,我把这段文字用IE打开看看:

呵呵,和网页中显示的一模一样,看来就是这个地方了,为了证实一下,我update一下数据库里这个字段里的内容:使用如下命令: http://www.fateasia.com/fate.asp?sid=H00050';update runtext set runtext=’hacker by 小猪 (http://www.webhonker.com)’;--
再刷新一下网页看看:

看到了吗,我们已经成功更新了它的数据库里的信息,如此简单的一句话就把这个网站的首页给改掉了,的确感到很有成就感。下面我们就要试着想数据库里注入恶意代码了,我选择了一个网页木马: http://www.fateasia.com/fate.asp?sid=H00050';update runtext set runtext=’红客中国!!’;--
看看结果:

成功了,再来看看源代码:

哈哈,的确把恶意脚本插入到了网页中。攻击成功,太令人兴奋了,无须得到webshell,一个的网页木马已经被植入网页中。
这里要提醒大家,在找到调用的地方后注入恶意代码时,要想让植入网页的脚本执行,一定要闭合前面的html标记,在以上我的注入中 http://www.fateasia.com/fate.asp?sid=H00050';update runtext set runtext=’20CN!!’;--
其中的就是为了闭合前面的着几个标记,似的闭合后下面的可以被浏览器解释执行。大家在具体的使用中要灵活运用,对于注入的文字中含有单引号要使用两个单引号来代替。
��我还要提醒大家,在利用这种方法的时候,一定要确保你的注入语句的正确性,要不非但不会成功,反而可能对数据库造成破坏,利用的时候要谨慎。切记。
��说到着里,虽然这个方法,在实现上已经没有什么问题了,但他还是有缺点的,第一,这种方法生成的网页木马隐蔽性不是很好,第二,在插入代码后,可能会引起网页显示格式的变化。着一点也是它最大的缺点。如果你有更好的隐藏代码而不改变显示布局的方法,一定要告诉我啊, 给我QQ留言,共同探讨:32616941。

地主 发表时间: 05-11-29 19:16

回复: dongh [dongh]   论坛用户   登录
注入的时代快要结束了,下面什么时代...........................

B1层 发表时间: 05-12-01 15:46

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号