|
信息来源:邪恶八进制
文章作者:fhod
PS:因为本人以前一直都是搞入侵..这次也是受朋友之托帮他公司做下安全检测并要求我写份报告出来..我也没有过写报告的经验..就粗糙的记录了下..所有一些地方不尽人意..不过也应该能看的明白了...文章很菜..高手可以直接跳过了..为了朋友公司网站的安全..以下文章所涉及到的图片和URL是经过处理的..转载请注明出处
首先..程序有明显的注入漏洞
注射点
http://www.hu*****xx.com/hxgs_csgy_Details.asp?id=6
但因为程序可能是自己开发..猜不到表名..所以无法得到管理员密码…因为这个漏洞无法利用..所以问题不大..
通过webshell查看
D:\web\hxgs_csgy_Details.asp源代码
<% set rs=server.CreateObject("adodb.recordset")
sql="select * from csgy where id="&request.QueryString("id")&""
rs.open sql,conn,1,2
%>
漏洞就出在这句…解决办法,,
新建no_sql.asp内容如下
<%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If
strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")
strTemp = strTemp & Request.ServerVariables("URL")
If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)
strtempurl = LCase(strTemp)
strTemp=Trim(Request.QueryString)
If Instr(strTemp,"'") or Instr(strTemp,",") or Instr(strTemp,"%20and%20") or Instr(strTemp,"%20or%20") or Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"min(") or Instr(strTemp,"sum(") or Instr(strTemp,"max(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,"cmd") or Instr(strTemp,"net%20user") then
response.write strtempurl+"<br>你的非法操作已被系统记录 时间:"+cstr(now())
response.write"<script>alert('ID参数错误,请不要恶意提交非法ID参数~!');</script>"
response.write"<script Language=Javascript>location.href = '../';</script>"
response.end
End If
%>
然后在coon.asp里第一行加如
<!--#include virtual="no_sql.asp"-->
这样以后所有的sql注射攻击发生时都会被拒绝并提示
“你的非法操作已被系统记录 时间
ID参数错误,请不要恶意提交非法ID参数~!
”
http://www.hu*****xx.com/admin/login.asp
管理后台也应该修改掉..
防止黑客在得到管理员密码后登陆后台,试图上传木马得到webshell
最好改成自己能记的住的地址..而且黑客难以猜到的
比如
http://www.hu*****xx.com/admin/^%jkhlogin.asp
通过
http://www.hu*****xx.com/hx_cs_gy.asp
得到新闻地址
http://www.hu*****xx.com/hxgs_csgy_Details.asp?id=6
因为新闻中有图片/..得到图片地址
http://hu*****xx.com/admin/newsupload/uploadfile/2007512144938165.JPG
猜解
http://hu*****xx.com/admin/newsupload/upload.asp
通过页面判断很有可能是某个在线编辑器
用的最多的是ewebeditor
Ewebeditor默认登陆页面
http://hu*****xx.com/admin/newsupload/admin_login.asp
http://hu*****xx.com/admin/newsupload/db/ewebeditor.mdb
默认数据库
返回
图1
通过返回的信息可以判断默认库并没有修改..IIS做了设置不允许下载..
不过..默认密码没有修改
http://hu*****xx.com/admin/newsupload/admin_login.asp
.
用户名:admin
密码:admin
在后台样式管理拷贝新样式
Flash类型加入asa
图2
预览新样式
上传flash动画
图3
上传成功
图4
Asp木马登陆地址
http://hu*****xx.com/admin/newsupload/uploadfile/200798165834394.ASA?id=login
图5
解决方法..修改默认库…默认管理员密码
http://hu*****xx.com/admin/newsupload/admin_login.asp
默认登陆地址最好也改掉
D:\web\admin\newsupload\db
目录要禁止写入..防止黑客再得到密码进入后台时候新增样式并上传asp木马..
D:\web\admin\newsupload\uploadfile
目录要设置禁止运行程序..删除asp.dll的解析.这样就算黑客成功上传asp木马..也不会被执行….最终也无法得到webshell..
拿到webshell后..发现磁盘权限也并未设置…可跨目录访问…
图6 7
用webshell读出
当前终端服务端口: 3389
自动登录的系统帐户: adminwindows
自动登录的帐户密码: windows!@* |
|