1、文章作者:sunwe4rhttp:/ 1 所示。图 1根据工具显示,没有发现注入点。我们先去找找后台吧,再次用工具扫,我扫我扫我扫扫扫,如图所示 2图 2果然不出所料,是黑客站点就不可能把后台放在显眼的地方,不然教主干什么吃呀。根据以往的经验,在敌方的网站里一般可以找到很多有用的线索。在主页我随便到处点一点、看一看。李白说的真好:“抬头望明月。 ”不看不知道,一看吓一跳。如图 3 所示。图 3天那!后缀名居然是 DLL 动态链接库文件!Oh my dog! 不是,是 Oh my god!看来教主也不是吹出来的“教主”嘛。看来刚才扫的后台要把后缀 ASP 换成 DLL 的才能正确扫出,我一个一个
2、试了之后,发现 login.dll 是后台的登陆地址如图 4 所所示。图 4我先用了最简单的帐号:or=or和密码:or=or 试了试,无疑肯定是无效的。我们只好从其它方面入手了,先扫描下他的服务器开了什么端口,我用的是 SuperScan 3.0来扫描的,设置的是从 1 号端口扫描到 65535 端口,可是刚开始扫描我就发现不对头了,如图 5。图 5我扫描到了 3191 个端口就暂停了,工具显示 1-3191 这 3191 个端口全部都打开了,这是不可能的,看来教主对端口扫描做了相应的防范。我们再去他的黑色技术论坛参观一下,一进去就豁然开朗,如图 6。图 6看来他的黑色技术论坛遭到了别人 D
3、DOS 的黑手了,得罪了这么多的人,哎既然没别的入口,只好从他主站的后台入手了,这个站的后台的验证码是 5 位的,所以应该是讯时,我们先从网上下到源码看看 login.dll。从代码中可以看出有 admindj、adminuser和 adminpass3 个表。发现可以进行 Cookie 注入,我来给大家说下什么是 Cookie 注入。Cookie 注入,我来给大家说下什么是 Cookie 注入。n 这是目前流行的一种攻击方式,普通的注入攻击比较好防范,但是如果把注入语句添加到 Cookies 中提交就往往被人忽略。当一套程序的 Cookies 过滤不严时,就为攻击者打开了方便之门,而且还能无
4、视防注入系统。那么什么 Cookie 呢,我这里给大家一个解释,Cookie 是一个储存于浏览器目录中的文个字符组成,仅 4K 硬盘空间。当用户正在浏览某站点时,它储存于用户机的随机存取存储本文件,记录你访问一个特定站点的信息,且只能被创建这 Cookie 的站点读回,约由 255器 RAM 中,退出浏览器后,它储存于用户的硬盘中。储存在 Cookies 中的大部分信息是普通的,如当你浏览一个站点时,此文件记录了每一次的击键信息和被访站点的地址等。但是许多 Web 站点使用 Cookies 来储存针对私人的数据,如:注册口令、用户名、信用卡编号等。理论是需要实践来证明的,我们开始实施 Cook
5、ie 注入吧。我们就用这个 Cookies 进行注入admindj=1; adminuser=%27or%27%3d%27or%27; adminpass=21232f297a5dfd我们用老兵的 Cookies 浏览器进入 http:/ 7。图 7现在显示的 Cookie 是AJSTAT_ok_times=1;virtualwall=vsid=1cc39e686c7ab7353b2946bcc02fa982; AJSTAT_ok_times=2; ASPSESSIONIDCSSBQSSB=HKJKNMJCKMMJPGEGEHJHFAEM我们先点下左边的小金锁,然后把这段 Cookie 改成a
6、dmindj=1; adminuser=%27or%27%3d%27or%27; adminpass=21232f297a5dfd接着我们访问 admin_index.dll,就进了后台,如图 8图 8哈哈,想不到教主做的站安全也不怎么样,看以来像是几套程序套在一起组装出来的。在新闻添加的里面有一个附件上传,我们把我们的 ASP 马改成 GIF 图片格式,上传试试。没想到居然上传成功了。在下面我们还看到一个备份,如图 9。图 9通过备份我们拿到了一个 SHELL,如图 10。图 10我们到他的站点根目录下去,去分析下他网站的漏洞。出现漏洞的是这 admin_chk.dll 中的这三处代码adm
7、in_chk.dll 文件中没作任何过滤session(“admin_user“)=Request.Cookies(“adminuse r“)session(“admin_pass“)=Request.Cookies(“adminpass“)session(“dJ“)=Request.Cookies(“admindj“)从 cookies 读取 adminuser,adminpass,admindj 这些信息,然后到数据库查询,为空则数据不存在,转向登录解密那adminuser=Request.Cookies(“adminuser“)adminpass=Request.Cookies(“adminpass“) admindj=Request.Cookies(“admindj“)adminuser,adminpass 只是简单检查了一下是否为空就直接参加了 sql 查询,形成了 sql 注入漏洞sql = “select * from admin where user=“&adminuser&“ and pass=“&adminpass&“
