【3.A.S.T】网络安全爱好者 » 原创专区 » 【原创】成功入侵一政府网站——善后工作

柔肠寸断 发表于 2008-8-16 12:44

【原创】成功入侵一政府网站——善后工作

[color=blue]今天成功入侵一政府网站，一进webshell看到的东西吓死人[/color]
rAs^7wC)|E [color=blue][/color]/]2A9l7xZ"D&Y]L
[color=blue]有个10MB左右的数据库，全是人才信息方面的，一个表有1w多条记录！！！[/color].aW tcB4A$V+w
[color=blue][/color];OPFip%MozI^
[color=blue]入侵的方法不方便说，关键是修补他们的漏洞[/color]szj2rz
[color=blue][/color]
:PWvB/H}'K\ [color=blue]首先修补了他们的注入漏洞，他们只修补了conn.asp[/color]WyR
s6F ` h}S
[color=blue][/color]#Bx,_!?k'T!E9U
[color=blue]但是数据库连接文件竟然是dbconn.asp，写入一下代码[/color][code]<%
3P~-m0U0d Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr
`N`pT5T)G(S flashack_In = "'※;※and※exec※insert※select※delete※update※count※*※%※chr※mid※master※truncate※char※declare"
4[x
|$Q^QXBE flashack_Inf = split(flashack_In,"※") n
Q$zF.s
If Request.Form<>"" Then 6R%k OD!S
For Each flashack_Post In Request.Form
7_9R Y#a.k [f$W5nY 8I hD7~j \|
For flashack_Xh=0 To Ubound(flashack_Inf) u$~ HG!R3R\0cz
If Instr(LCase(Request.Form(flashack_Post)),flashack_Inf(flashack_Xh))<>0 Then 6g*B} o[#p/i
Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>"
;T'{ S~4Y7G Response.Write "非法操作！<br>"

DJUQt+v!F` Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>" 3T{6l/W|
Response.Write "操作时间："&Now&"<br>"
V:_t#l@~k Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>"
7{r/KvC Response.Write "提交方式：POST<br>"
([ksp1g1q@J Response.Write "提交参数："&flashack_Post&"<br>" ~[p}] _
Response.Write "提交数据："&Request.Form(flashack_Post)
!}+nb(\G
Z Response.End e$}7c1A-a
End If
X!c(qQEsXEY Next 4N5K(L xy-Le
Next
&^]v$Y)vds9b6l End If cO)o
AP.jN}
If Request.QueryString<>"" Then *W6[&|O)d@Kj
For Each flashack_Get In Request.QueryString
i%T3HI3]P{i For flashack_Xh=0 To Ubound(flashack_Inf)
:O3Vwr'h1} If Instr(LCase(Request.QueryString(flashack_Get)),flashack_Inf(flashack_Xh))<>0 Then
e%J:W!t(F$d3Z Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>" v4h7C6V*} x*WU"v,H
Response.Write "非法操作！br>" )k)vpI Q/cb0n\
Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>"
| y!dy-fwq Response.Write "操作时间："&Now&"<br>" _0gQ~v/J3mME
Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>"
FI(}iD;M Response.Write "提交方式：GET<br>" gz.MR dj.@*^W
Response.Write "提交参数："&flashack_Get&"<br>" J2p4W5s E_RA3b
Response.Write "提交数据："&Request.QueryString(flashack_Get) *^G0CRlCCm
Response.End
c$[`wg0T7V*z End If -U5ke$j+x];R
Next
+Tv-w@j2I7Q:U Next N6K["k9d9Pq4b7u
End If g#z5M:mO1`'Hs}
%>
n9]~Hp9U DNO/~R
P.xTR@ c
[/code]OK，注入漏洞解决
"COk.n+r
zF!aZN ~ i~ 还有上传漏洞，我分析了一下上传处理页面的asp代码，竟然一点不完善[code]<%\0X5|.?t4V+O
set upload=new upload_5xSoftMo"cqs0]0U:{{K5d
set file=upload.file("file1"),y/ul2oP
formPath="../../photo/work/"
r NU0U4WB6DsH if file.filesize>1000 then'@jZr5Cpn
fileExt=lcase(right(file.filename,3))b'_9fC^1W\te
if fileExt="asp" then|2L#y%m7n\
Response.Write"文件类型非法"
lSL9BU6RL end if
C2d7o4H6iR*NS#_ end ifdC7] {!Jba0HuE
randomize(p(W7_`3L
L\
ranNum=int(9000000*rnd)+10000
Dj3o O \{QZ!fM filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExtxCg E1eu
if file.FileSize>0 then .ui
T2Emb
file.SaveAs Server.mappath(FileName)
cp7rA-X end if
mP hJeQ'q
response.write "图片上传成功,[<a href='upload.asp'>返回继续上传</a>]<br>图片是：<a href=Javascript:minipic('"&filename&"');>缩略图</a>      <a href=Javascript:pic('"&filename&"');>放大图</a>"
/zSp1vyjg| %>
z _%m9Dk/p;C     </td>%f0Z^*dT c0V|6MU
  </tr>7eS%q*_1g
\:qz
</table>t)gbqL(r[]I`
</body> [/code]其中[quote][color=blue][b]if fileExt="asp"[/b][/color] [/quote]
x9Y"ivAI
+tf'YYg)n~ 原来只要上传的文件名包含asp就不允许上传，找知道我就不费劲了，直接上传个asa、cer的就可以了，哎~~~k!{ G{:h

w6PM-X8R 而且不要进入后台只要找到上传页面就可以直接上传了
6~:SN;A\-Av&\ 7Cs+Z[&G#Ho
[color=blue][b][quote][color=blue][b]帮他改了下代码fileExt="asp"改成了fileExt<>"gif"  & fileExt<>"jpg"[/b][/color][/quote][/b][/color]
#b/u/|q"v,t4F
3r+o[9P6`U$x:D r%kF 但是貌似问题没有解决，奇怪，[size=4][color=red][b]代码有问题？？？谁能解决下？？？[/b][/color][/size]
wF#F qg8XM"r aR
gF.h9Y/i,P
实在没有办法，只有改了他的这个危险的页面，原来的代码我全变注释，又加了些话提醒管理员&n bN!Ye'Ji{
/]1ohv7o0ePA/e]9N
[attach]227[/attach]

wmmy 发表于 2008-8-20 09:38

还真有好心人啊,

chengyichen 发表于 2008-8-20 18:18

政府会不会理解你的好心呢

平湖秋月 发表于 2008-8-28 14:25

管理员该挨骂了

柔肠寸断 发表于 2008-8-31 19:37

管理员已经清除了漏洞，一切还原了。。。。。。。。。。。。。。

冰吻六秒钟 发表于 2010-3-8 01:54

嗯 不错不错 好心人~~~~~顶你

240366619 发表于 2010-8-28 05:39

老大得人心了哦 。

qq672821099 发表于 2010-9-13 09:55

黑客真的不是坏人

hong1314hong 发表于 2010-9-14 20:16

{:Yem58:Y}

鱼儿无心 发表于 2011-12-4 16:59

只能说算他们有良心

查看完整版本: 【原创】成功入侵一政府网站——善后工作