【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2008-8-16 12:44

【原创】成功入侵一政府网站——善后工作

[color=blue]今天成功入侵一政府网站,一进webshell看到的东西吓死人[/color];wlP#P |
[color=blue][/color]
@8|b%oK/Vw [color=blue]有个10MB左右的数据库,全是人才信息方面的,一个表有1w多条记录!!![/color]
KQ0Kd0r [color=blue][/color]c1} @/[ V jfR_vFy
[color=blue]入侵的方法不方便说,关键是修补他们的漏洞[/color]
,\Al kknZl [color=blue][/color] G4v _ nlE"F2Y
[color=blue]首先修补了他们的注入漏洞,他们只修补了conn.asp[/color]7X'ez J$EzEIA
[color=blue][/color]
&No9LEjm l~ [color=blue]但是数据库连接文件竟然是dbconn.asp,写入一下代码[/color][code]<% .Ww+]&\#z9{9uK
Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr 7Z~_z3c)}z%_W2~
flashack_In = "'※;※and※exec※insert※select※delete※update※count※*※%※chr※mid※master※truncate※char※declare"
]&}\/iBu-^V flashack_Inf = split(flashack_In,"※")
+Kb'{a0\'hGW,o:}8N If Request.Form<>"" Then %?@3SNu%?*dK-{2O
For Each flashack_Post In Request.Form
7^ov.w7Y9v +[N~SY5C!x;X'\w
For flashack_Xh=0 To Ubound(flashack_Inf)
/is$c ^ P\y c+vT8l3o If Instr(LCase(Request.Form(flashack_Post)),flashack_Inf(flashack_Xh))<>0 Then
Vz0W(I._!by+xz Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916!\n\nHTTP://WWW.3AST.COM.CN');</Script>" .u9@/h[&o3q!Uc
Response.Write "非法操作!<br>"
"|6E^n:vZ8b:| Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"<br>" *_ P2X?9_;p C
Response.Write "操作时间:"&Now&"<br>" 'y-P'vbX7qr
Response.Write "操作页面:"&Request.ServerVariables("URL")&"<br>"
~pT#CYL^9} Ri Response.Write "提交方式:POST<br>" #h&cB/H3iU
Response.Write "提交参数:"&flashack_Post&"<br>"
5E K~"]9Awcjk Response.Write "提交数据:"&Request.Form(flashack_Post) _cK;g5y
Response.End
,^\R$Uz+B\ End If
s.A,P6]|?4Bl Next
/qQr)lWth1{ Next
3U0x!P/ugG(\+q End If
d&Gd#qS7`K4Ir q If Request.QueryString<>"" Then
Bq f9_v ix:w;G For Each flashack_Get In Request.QueryString 9l/pfW4Do7X
For flashack_Xh=0 To Ubound(flashack_Inf) +n;x8W't A\V{POH
If Instr(LCase(Request.QueryString(flashack_Get)),flashack_Inf(flashack_Xh))<>0 Then Mfo-j[{ dr
Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916!\n\nHTTP://WWW.3AST.COM.CN');</Script>"
} @(M Z#F U u Response.Write "非法操作!br>"
oDS*Y'kt Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"<br>"
Z0} i7CF3g Response.Write "操作时间:"&Now&"<br>" 1QbY/@?8NC7Sd?2l
Response.Write "操作页面:"&Request.ServerVariables("URL")&"<br>" O._8fghW f
Response.Write "提交方式:GET<br>" r"^+kQ0Ce0}{@u
Response.Write "提交参数:"&flashack_Get&"<br>" "r uW1R#do
Response.Write "提交数据:"&Request.QueryString(flashack_Get)
iI;|-ZP0z%g Response.End
WR kj,T:c End If
Rhr$`4QZK Next S)z7e+@9P_;g XFu
Next .{9`\y+v ro"^
End If
-JP)j\ E+Z `SH y!e? %>CMG&s)e7NhSw*eY
tw9j:zv+s
[/code]OK,注入漏洞解决
x#l8x s/f O8S,C#TC .cBxGE M
还有上传漏洞,我分析了一下上传处理页面的asp代码,竟然一点不完善[code]<%#oG fem.KL
set upload=new upload_5xSoft
n i:gv7k.w B7r)XP set file=upload.file("file1")0N-x"`/tk N6OO
formPath="../../photo/work/".kJy w}b,v0Dv4[
if file.filesize>1000 then
B ]!w0M8[#oM8|k5O fileExt=lcase(right(file.filename,3))
#p6Efq:X&V*O if fileExt="asp" thenK,z*PF.`~
Response.Write"文件类型非法"
2P9NA'v,R/H end if
]![_6M,Wt/V end if
8^i*kg&w6m k U,H randomize,e\U MhZ
ranNum=int(9000000*rnd)+10000"DQZ)x I9A
filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt;o*r[ k7N oV:El VPuX
if file.FileSize>0 then .YpQ-U5RN ce]B
file.SaveAs Server.mappath(FileName)1{0ii2eJ
end if
.`f%e$sw$w"R L response.write "图片上传成功,[<a href='upload.asp'>返回继续上传</a>]<br>图片是:<a href=Javascript:minipic('"&filename&"');>缩略图</a>      <a href=Javascript:pic('"&filename&"');>放大图</a>"
a xq+P7@{:e2u0P&Y %>&D@F wQ
    </td>Ie`{/ML2k
  </tr>"^;cZ7GMsKf&Z
</table>
I(t,?f%\[T </body> [/code]其中[quote][color=blue][b]if fileExt="asp"[/b][/color] [/quote] M.K!][#Q
r^e4Owr1g
原来只要上传的文件名包含asp就不允许上传,找知道我就不费劲了,直接上传个asa、cer的就可以了,哎~~~
V,I.NF n^/vp!u e u*@%Ca [uR PJ
而且不要进入后台只要找到上传页面就可以直接上传了
rGA)[4n9\ OL'SW(d9Dytg
[color=blue][b][quote][color=blue][b]帮他改了下代码fileExt="asp"改成了fileExt<>"gif"  & fileExt<>"jpg"[/b][/color][/quote][/b][/color]3zZ Biip[
5v+{Gf%c%Ki
但是貌似问题没有解决,奇怪,[size=4][color=red][b]代码有问题???谁能解决下???[/b][/color][/size]%^(R{5h}4o(T;tEG7ur
Bi6u%G @
实在没有办法,只有改了他的这个危险的页面,原来的代码我全变注释,又加了些话提醒管理员
c+OpZf U/Fh "@&G@gh$Cx,c
[attach]227[/attach]

wmmy 发表于 2008-8-20 09:38

还真有好心人啊,

chengyichen 发表于 2008-8-20 18:18

政府会不会理解你的好心呢

平湖秋月 发表于 2008-8-28 14:25

管理员该挨骂了

柔肠寸断 发表于 2008-8-31 19:37

管理员已经清除了漏洞,一切还原了。。。。。。。。。。。。。。

冰吻六秒钟 发表于 2010-3-8 01:54

嗯 不错不错 好心人~~~~~顶你

240366619 发表于 2010-8-28 05:39

老大得人心了哦 。

qq672821099 发表于 2010-9-13 09:55

黑客真的不是坏人

hong1314hong 发表于 2010-9-14 20:16

{:Yem58:Y}

鱼儿无心 发表于 2011-12-4 16:59

只能说算他们有良心

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.