|
来源:http://www.hackblog.com/more.asp?name=lsaint) {0 e* g0 f! U; O- L. `/ _ N
现在大部分html页面是动态页面放入了html模版而形成的静态页面,我们的攻击思路也就明确了,就是从这些静态页面里找出动态页面的地址,在找出注入点,我们需要的工具是sniffer。
1 Z. P' M3 q: U* o2 X5 ^( _. T4 @9 |; s2 _9 `6 b, U) o; ?, Q
访问这个 IP ,返回"No web site is configured at this address.",初步判断是虚拟主机 $ e# p# [; Q- W8 C+ y2 b% g5 t
先通过 aspshell 下载 Serv-U 的任意一个快捷方式,然后本地查看属性的目标 Serv-U 的目录是 "C:\Program Filesewfq4qrqtgy4635\Serv-U\" , 直接跳转目录。 看到了,马上修改 ServUDaemon.ini文件 * D# {$ b* d1 l
+ D5 X5 Y5 s& l# r3 o& r$ v
view-source:查看web代码
9 q5 G' z0 Z1 j+ n$ |, l总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入 ! \! L& q+ z& L3 p
and 1=(select @@VERSION) 这个是SQL判断版本号的语句 1'or'1'='1# ]& {! D) g! S( ~# ~( u* Z( k
1'or'1=12 T$ n" X6 U, N" R
'or'='or'
% ?: |: n3 Z0 t( l
6 s# Y# O# s. ]# dselect语句在判断查询条件时,遇到或(or)操作就会忽略下面的与(and)操作
% B! o5 F3 K* ]sql="select * from admin where username="&user&" and password="&pwd&"" 5 [" Y8 c+ r) \* ^, s. B+ y/ e
sql="select * from admin where username='111'or'1=1' and password='pass'9 T* H0 W* V/ k z$ o% f
sql="select * from admin where username='1'or'1'='1' and password='pass'
& u1 V( z0 C3 w9 d3 {5 }0 \9 T6 o! Y1 {
开始菜单->运行->iexpress(输入运行这个命令)' ^$ E; V4 u' c: R
然后呢就自己配置吧 其实就是利用系统自带的CAB打包压缩功能~& h; g8 J5 X: C, ^! d N4 H! {- T
只要你合并的文件不被杀合并器就不会被杀~
+ Q! C4 p; R# K( Fc:\progra~1\winrar\rar.exe a d:\web\test\web1.rar d:\web\test\web1 dos下解压
4 q$ A/ J5 Y8 x7 |
/ c' k: M( w3 G( U0 f0 x可以把一些常用的ASP代码、函数放在一个.inc中,这样以后使用的时候在ASP文件中加上 9 Q/ x6 L% h' `5 o* _
<!--#include virtual="/inc/comm/adovbs.inc"-->
N+ r9 d5 ~9 G 就可以使用该ASP中的代码或函数了,效果和把文件的代码直接写在.asp中是一样的。这里的virtual表示是主机的虚拟目录。例如,当前.asp如果是http://www.myserver.com/mypath/myfile.asp,则该.inc文件为http://www.myserver.com/inc/comm/adovbs.inc。 B6 c; d/ p+ i% u1 a3 a5 p
1.相对路径<!--#include file="common.asp"--> 默认为调用它的那个asp所在目录下的common.asp % ?9 o Z x: i, e5 w
<!--#include file="../common.asp" -->调用它的那个asp所在目录的上一级目录下的common.asp
7 s/ s! k; B5 {5 m/ `/ I2.绝对路径 1 M0 S2 O/ O; G
<!--#include virtual="common.asp"--> 默认为根目录下的common.asp
" }8 M. b5 A, z1 \< !--#include virtual="test/common.asp"--> 根目录下的test目录下的common.asp * x9 F. X! D6 \- q: E
5 u k4 b. ~2 g
<iframe src="http://..." frameborder="0" width=100% height=100% scrolling=no> </iframe>
, u! @) H+ ^8 [+ v1 m) A<embed src="http://www.luki8.com/luki/jay/play/kanv.mp3" autostart="true" loop="true" hidden="true"></embed> 背景音乐 - \! s% m+ h: w( d y- w1 j
telnet x.x.x.x 80# j# X* f! A9 P- F4 z
回车两次。
& |7 `8 N* k5 X0 Ncer文件和asp文件在iis中默认用同一个解释器来解释,就是说相对于用户,服务器怎么执行asp,就怎么执行cer。上传的扩展名为cer的asp木马,一样可以正常使用 / ]+ Y- i& Q: n+ q5 [+ x
暴库的原理也就是,例用调用数据库出错的信息来暴出数据的路径 " o. K& Q6 _. z8 i/ r
' y5 p$ D# t+ z2 {1 A' purl编码就是一个字符ascii码的十六进制。不过稍微有些变动,需要在前面加上"%"。比如"\",它的ascii码是92,92的十六进制是5c,所以"\"的url编码就是%5c
7 ]" G2 G* d X4 M3 }5 A D; C: n
我们同样可以在字串中构造"\0",又在结尾处构造RAR,因为扩展名是从右读取的,它认为文件类型是rar,从而可以骗过扩展名验证可以上传,在保存时,文件名又是从左边读取的,当它遇到"\0"时,后面就都丢掉了,于是文件就被保存成我想要的updata.asp了 5 C$ b5 c; E5 E
& G t q9 r7 C5 p6 u" ]
<!--#include file="ok.asp"--> 保存为1.stm文件 查看该页代码就能看到ok.asp的代码
- R$ m; J C. z. |3 s, S4 X; H浏览器在无法查别该文件是什么类型时就会第一时间尝试以HTML的格式来打开它了,这样刚好应了攻击者的要求。
+ g$ u6 B3 R4 R/ T5 c; \& p# B
% t& o, m7 R+ c7 VRUNAT属性是指示出该脚本应当在Server端还是在Client(浏览器上)端实现7 G6 W8 @6 ]0 i6 u# M3 p j' |2 d. S0 t
request对象对应于HTTP请求,response对象对应于HTTP响应" ~0 x# x' I. D3 p7 {
End方法会立即停止Active Server Pages的执行和相应结果. g2 k2 g+ y8 P7 j% g& S! B
Clear方法是用来在不将缓存中的内容输出的前提下清空当前页的buffer,仅仅是使用了缓存输出的时候你才可以利用clear方法
7 X& o) X4 @ Q4 `■1xx信息:这种状态码主要是实验性的。 . n" Z N4 D" U
■2xx成功:这种状态信息是说明请求已经被成功接受并响应,例如:状态码200表示主页请求被完全成功的接受。
( ]- k) @9 b X1 `■3xx重定向。 这个状态码指示一些接受请求前必须了解的一些其后面进程的信息,例如:状态码301说明该主页已经转移到了其他地址,这时浏览器会自动转向新的地址。 2 D0 s9 h- i2 I( U' r6 C
■4xx客户端错误:这个状态码表示浏览器发出的是错误的请求,例如:404指的是浏览器请求的主页是不存在的。 ; Q* I* @. I% {4 y8 {
5xx服务端错误:这种状态码表明服务器响应出现了问题,例如,503指当前服务端遇到了无法应付的错误。 1 s7 r5 i& l% r8 `) \1 E
在IIS中先执行INCLUDE语句而后才是VB脚本的执行 & [% f( c4 `$ p5 r' R& _
在Global.asa中不能有任何输出语句,无论是HTML的语法还是Response.Write()方法都是不行的,Global.asa是任何情况下也不能进行显示的。
( `/ L9 s1 J; T9 d你只需要在Global.asa中添加一些你希望执行的脚本,那么只要Session一创建,这些脚本就会自动执行& g9 G$ Z* |- d7 z3 e
| 
IP卡
狗仔卡
发表于 2005-1-16 11:26
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
