真是豈有此理,注射你也不用這樣子整我吧,我倒要看看你這程序有什么能耐。到底不敢再去試那個(gè)系統(tǒng),就從其他地方下手得到了webshell,經(jīng)過(guò)打探,原來(lái)那是一個(gè)叫做“柯南圖片管理系統(tǒng)”的東東。
曉得了牌子那就好辦咯,網(wǎng)上Down一個(gè),看看源代碼先。
它的view.asp里有這樣的話(huà):
if instr(id,"'") or instr(id,"select") or instr(id,"in") or instr(id,"from") or instr(id,"len") or instr(id,"where") or instr(id,"or") or instr(id,"and") then
Response.Write("<script language=javascript>alert('你想做什么?');window.location.href='check.htm'</script>")
Response.End
end if '在這里過(guò)濾TMD的不良字符
Response.Write("<script language=javascript>alert('你想做什么?');window.location.href='check.htm'</script>")
Response.End
end if '在這里過(guò)濾TMD的不良字符
現(xiàn)在看看check.htm的內(nèi)容:
<script language=javascript>
alert("我Call!你想做什么???");
for (i=1;i<=10000000000;i++)
{
window.open("http://www.weihai365.com/xxg")
}
</script>
alert("我Call!你想做什么???");
for (i=1;i<=10000000000;i++)
{
window.open("http://www.weihai365.com/xxg")
}
</script>
看看它的險(xiǎn)惡用心吧,彈出兩個(gè)對(duì)話(huà)框之后就會(huì)打開(kāi)100億個(gè)窗口,呵呵,爽不?
當(dāng)然不能拿給他白白欺負(fù)啊,我得突破它的SQL注射防御才行,呵呵,仔細(xì)分析原來(lái)他的防御方法只是形同虛設(shè),我們只需變換一下字符就搞定。
看他的判斷語(yǔ)句,是用的instr函數(shù)判斷的,如果發(fā)現(xiàn)and、or、select等關(guān)鍵字就轉(zhuǎn)到check.htm。嗯,看看instr的函數(shù)的用法:
InStr([start, ]string1, string2[, compare])
有2個(gè)可選參數(shù)start和compare,問(wèn)題恰恰出在compare這里。Compare為0執(zhí)行執(zhí)行二進(jìn)制比較,為1執(zhí)行執(zhí)行文本比較。默認(rèn)為0。簡(jiǎn)言之,compare為0的時(shí)候比較時(shí)是大小寫(xiě)敏感的。即instr(“ and 1=2”,”And”)等于0。
那現(xiàn)在好辦了,只需把它過(guò)濾了的關(guān)鍵字的一個(gè)字母改成大寫(xiě),那么他那么長(zhǎng)的過(guò)濾語(yǔ)句就等于只過(guò)濾“’”,無(wú)所謂啊,反正注射又用不到“’”。
他的表名是admin,用戶(hù)字段admin,密碼字段password,慢慢手工猜吧,呵呵,好像沒(méi)有工具可以用,現(xiàn)在知道會(huì)編程還是有用處的吧。當(dāng)然啦,也可以用Union查詢(xún)直接得到管理員密碼,這個(gè)比猜解快多了,還是寫(xiě)個(gè)程序吧,更快(圖1)。
復(fù)制URL訪問(wèn)之,誒,不對(duì),你先要把關(guān)鍵字轉(zhuǎn)換一下,特別要注意password包含“or”,admin包含“in”,表說(shuō)我沒(méi)提醒你哦。
呵呵,還是那句話(huà):Enjoy Hacking!
哦,最后說(shuō)下如果要防御的話(huà)只需把參數(shù)compare設(shè)為1就ok。
