【3.A.S.T】网络安全爱好者 » 原创专区 » 【原创】成功入侵一政府网站——善后工作

柔肠寸断 发表于 2008-8-16 12:44

【原创】成功入侵一政府网站——善后工作

[color=blue]今天成功入侵一政府网站，一进webshell看到的东西吓死人[/color]
1Vmp4`'[ Gj,h [color=blue][/color]}:n9a]W#hkjR
[color=blue]有个10MB左右的数据库，全是人才信息方面的，一个表有1w多条记录！！！[/color]F8M _1i4?;C'?e E1S\
[color=blue][/color]
U7@wfN-bn%O@ [color=blue]入侵的方法不方便说，关键是修补他们的漏洞[/color]
6N]ADmA t [color=blue][/color]U"No)P[0~
[color=blue]首先修补了他们的注入漏洞，他们只修补了conn.asp[/color]#|\p |.~b
[color=blue][/color]
0Q#pV7R}|-W [color=blue]但是数据库连接文件竟然是dbconn.asp，写入一下代码[/color][code]<% kyD@c
mVb
Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr ['xX/?.qr;W iE
c
flashack_In = "'※;※and※exec※insert※select※delete※update※count※*※%※chr※mid※master※truncate※char※declare" P9h[7[*nA
flashack_Inf = split(flashack_In,"※") *`)Cs y2hfd2\]
If Request.Form<>"" Then 0{D}]Xb#o.iu
For Each flashack_Post In Request.Form
`%pb/I0}q2Ox
.Ah*u+Ke
M;p
^"v For flashack_Xh=0 To Ubound(flashack_Inf)
!xw.B.`si#@i If Instr(LCase(Request.Form(flashack_Post)),flashack_Inf(flashack_Xh))<>0 Then
GuT*l.Jt7t Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>" ;xR*U@*k\F
Response.Write "非法操作！<br>" )VN+Fys
Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>" Fh)jI,iS^L
Response.Write "操作时间："&Now&"<br>" 0G7If/G_d]
j6U
Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>" 1q6j4a.t)C
Response.Write "提交方式：POST<br>" xU3{.i:Po
Response.Write "提交参数："&flashack_Post&"<br>"
TE/Y3B]wE Response.Write "提交数据："&Request.Form(flashack_Post)
M%` Z
Qr n Response.End e)@&f_W5sQ
End If KN0\4{*AgOK&A
Next (~;[:p;c?0\,d }/U
Next 3XQJK"s.i%j/g
End If 4HQ1A
m:s^:Q
W.c
If Request.QueryString<>"" Then
,e"n#jQ V For Each flashack_Get In Request.QueryString }Uq:u@r;[_
For flashack_Xh=0 To Ubound(flashack_Inf) t$d F KnG.Zw0U
If Instr(LCase(Request.QueryString(flashack_Get)),flashack_Inf(flashack_Xh))<>0 Then
Z~5Ox0m ]4P5HSY Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>" $u;k eY#{6B
Response.Write "非法操作！br>" kA^cyv-R
Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>" V(~/u2m`e/Cq`
Response.Write "操作时间："&Now&"<br>"
q
BPnPq Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>" 9B-] hxb'J1e9E)J
Response.Write "提交方式：GET<br>"
9WP8Mg Z9p`)}'B Response.Write "提交参数："&flashack_Get&"<br>"
~,|4`u1ZeA Response.Write "提交数据："&Request.QueryString(flashack_Get)
T^.a]M.s7?R#F P`^ Response.End
Evd&Z{*y End If C9{
R7q5n1m
\ t/R
Next
_*iRI#I;k Next p'QPF3TZk Xm X}
End If
sSs5S|8kWK %>(ng1cqa:|1~0I
Z
4MO$?{ |:a
|8dF/cGm
[/code]OK，注入漏洞解决
,Y6CqS+R \}b
)b^*O1d0\^)F$r 还有上传漏洞，我分析了一下上传处理页面的asp代码，竟然一点不完善[code]<%
Wt
[0@5d-Ev set upload=new upload_5xSoft
k| T7UU N set file=upload.file("file1")I]L-igNh"Cc'~
formPath="../../photo/work/"9}_H)_8{\
if file.filesize>1000 then
IqDO
Q5W,R/VC fileExt=lcase(right(file.filename,3))I9{2W2D'Z*B
if fileExt="asp" thenW(\RaYa T/D
Response.Write"文件类型非法"
;VV&lf _p6ZpN end if
'G9Zn2v^*S7f1t/A3d+q;MC end if
~n
?/?_8E randomize
K*j/r!i6HX ranNum=int(9000000*rnd)+10000
)D.g-xQ1t5L'I filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
r*UT} ^dhX'c$S+Z if file.FileSize>0 then 4y%mZCt}J
file.SaveAs Server.mappath(FileName)
/h| ANlhkt end if
0PfW!bG)~ x&n response.write "图片上传成功,[<a href='upload.asp'>返回继续上传</a>]<br>图片是：<a href=Javascript:minipic('"&filename&"');>缩略图</a>      <a href=Javascript:pic('"&filename&"');>放大图</a>"
hwJ2_q1z%tAL-Y %>
RvUK@6Jwac     </td>
6`'[&K)?jd,_[   </tr>Gq"za,?
</table>
:Mz#T)g.I!f </body> [/code]其中[quote][color=blue][b]if fileExt="asp"[/b][/color] [/quote]
w%Jp7\%f ;y!ED!\1W[$S
原来只要上传的文件名包含asp就不允许上传，找知道我就不费劲了，直接上传个asa、cer的就可以了，哎~~~1Z F;C0k9o4Ix

.s T:c-h9`m]Y2g8d r$C$| 而且不要进入后台只要找到上传页面就可以直接上传了;In i#B2c]

*Yx(|*Vm8?~:e [color=blue][b][quote][color=blue][b]帮他改了下代码fileExt="asp"改成了fileExt<>"gif"  & fileExt<>"jpg"[/b][/color][/quote][/b][/color]Z4L;j+z3x_Q
_6n^NnUL-oP
但是貌似问题没有解决，奇怪，[size=4][color=red][b]代码有问题？？？谁能解决下？？？[/b][/color][/size] v7Eq#fVta-Kc%u'o
Jw0_OB Z
实在没有办法，只有改了他的这个危险的页面，原来的代码我全变注释，又加了些话提醒管理员
n"R{a M}|
k1x0X+JtMFb a/I [attach]227[/attach]

wmmy 发表于 2008-8-20 09:38

还真有好心人啊,

chengyichen 发表于 2008-8-20 18:18

政府会不会理解你的好心呢

平湖秋月 发表于 2008-8-28 14:25

管理员该挨骂了

柔肠寸断 发表于 2008-8-31 19:37

管理员已经清除了漏洞，一切还原了。。。。。。。。。。。。。。

冰吻六秒钟 发表于 2010-3-8 01:54

嗯 不错不错 好心人~~~~~顶你

240366619 发表于 2010-8-28 05:39

老大得人心了哦 。

qq672821099 发表于 2010-9-13 09:55

黑客真的不是坏人

hong1314hong 发表于 2010-9-14 20:16

{:Yem58:Y}

鱼儿无心 发表于 2011-12-4 16:59

只能说算他们有良心

查看完整版本: 【原创】成功入侵一政府网站——善后工作