作者:llikz　　来源:岁月联盟
(已发表到黑防第4期)

我们都知道所谓跨站攻击就是对用户输入数据缺少充分过滤当网站WebSite浏览者浏览信息时被输入恶意脚本就会被执行这可能是插入端文字可能是偷取浏览者cookie信息java脚本更有甚着是段利用IE漏洞网页木马代码这种攻击思路方法和得到webshell后插入木马代码要实现起来要简单容易多当然这种思路方法也有它缺点这个我们会讨论先说实现跨站攻击前提条件当然是网页中要存在输入信息过滤不严地方在某些大型非互交型网站WebSite中这种输入点般不好找所以直接从表面入手相当棘手

我们换个角度考虑如果这个网站WebSite存在sql注入点话结果就区别了我这里说数据库是针对MSSQL数据库(当然对mysql等数据库同时有效不过处理起来有点困难)利用还是让人厌烦但却是很有效SQL注入漏洞不过不需要admin权限只要有 Update权限就够了般Db_owner就有这个权限我们直接修改数据库中信息使得asp在数据库时将修改后网页木马代码显示在网页中下面我就用个例子展示下攻击过程

在浏览台湾橘子站点:http://www.gamania.com时候发现了这个地方可以注入:
http://fateasia.gamania.com/turtle/index.asp?sid=E00001心中阵窃喜像这样大站也能注入于是抱着侥幸心理拿出看家工具NBSI走走猜解出如下信息:





权限是Db_Woner要想得到webshell首当其冲思路方法是通过Db_Woner备份权限得到.不过这种思路方法我在很多网站WebSite上都试过了尤其是大型网站WebSite数据库是相当庞大这种思路方法成功率并不高(至少我次都没有成功过毕竟自己技术有限呵呵)成功不成功试试再说先用读注册表思路方法得到web物理路径:





具体思路方法前期黑防都有介绍我就不在唠叨遍拉拿到路径后当然就是backupwebshell了





由于我没有看过cyf这个工具是如何对型和型数据判断所以在Url中参数中加了个’认为是对整型数据注入下面我们看看结果如何:





失败看来常规攻击不会有什么新突破还是另谋他法了

后来我仔细看了看这个占卜网页看到如下信息:





哦原来是和www.fatesia.com合作建站先ping下着两个站点:





看到没是在个服务器上看看打开这个站点看下:





恩做不错啊网站WebSite也挺大呵呵小样别以为你打咱们就不敢整你了瞧着在网站WebSite溜个圈同样存在注入点更可惜是这个站使用数据库和http://fateasia.gamania.com是同个数据库:





看来这个才是主站:
看看咱们backup木马在这个站上吗:
http://www.fateasia.com/asp.asp返回404看来也不行郁闷
此时忽然想到既然不能直接得到webshell,那我们有没有可能在不得到shell前提下挂上网页木马或者是跨站攻击脚本呢？我们对这个站点数据库已经有了操作权限了这在理论上绝对是可行兴奋啊对啊直接操作数据库跨站攻击确是个应用特别广泛思路方法使得某些人花费 9牛 2虎的力弄得个shell才把木马给挂上去费时又费力

着只是我思路而已我们亲手实战下看看能成功吗

首先要找到asp中数据库地方般动态变化信息都是对数据库
我们选择个最明显地方(具体选取要靠平时大家经验了般经常更新地方都回数据库里信息)如下:





这个地方走动红色文字应该是据库里信息
查看源代码看看:





我选中字体大家要看清楚了由于我们有装繁体字库将选中字体粘贴到个本地网页文件里打开在查看|编码|中选繁体中文:得到如下信息:





好了我们就在数据库中查找这个信息由于数据库相当大我得花费相当长时间去查找工夫不付有心人终于在数据库中我把着条信息给揪了出来:





在NB中虽然显示是乱骂我把这段文字用IE打开看看:





呵呵和网页中显示模样看来就是这个地方了为了证实下我update下数据库里这个字段里内容:使用如下命令:
http://www.fateasia.com/fate.asp?sid=H00050';update runtext runtext=’acked by llikz (http://www.hacker.com.cn)’;--
再刷新下网页看看:





看到了吗我们已经成功更新了它数据库里信息如此简单句话就把这个网站WebSite首页给改掉了确感到很有成就感下面我们就要试着想数据库里注入恶意代码了我选择了个网页木马:
http://www.fateasia.com/fate.asp?sid=H00050';update runtext runtext=’test!!’;--
看看结果:





成功了再来看看源代码:





哈哈确把恶意脚本插入到了网页中攻击成功太令人兴奋了无须得到webshell个网页木马已经被植入网页中
这里要提醒大家在找到地方后注入恶意代码时要想让植入网页脚本执行定要闭合前面html标记在以上我注入中
http://www.fateasia.com/fate.asp?sid=H00050';update runtext runtext=’test!!’;--
其中就是为了闭合前面着几个标记似闭合后下面rame>可以被浏览器解释执行大家在具体使用中要灵活运用对于注入文字中含有单引号要使用两个单引号来代替

我还要提醒大家在利用这种思路方法时候定要确保你注入语句正确性要不非但不会成功反而可能对数据库造成破坏利用时候要谨慎切记

说到着里虽然这个思路方法在实现上已经没有什么问题了但他还是有缺点第这种思路方法生成网页木马隐蔽性不是很好第 2在插入代码后可能会引起网页显示格式变化着点也是它最大缺点如果你有更好隐藏代码而不改变显示布局思路方法定要告诉我啊, 给我QQ留言共同探讨:66734111

最后把文字给修改回去不过插入木马还留在里面可惜了http://www.hacker.com.cn/muma.htm是个不存在网页再次跪求黑防同志们给俺把马给装上不枉俺把马地址写到你们网站WebSite上呵呵

上篇文章: 从服务器记录寻找黑客蛛丝马迹

下篇文章: 黑客俘获计算机攻击思路方法和防御详解