危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20614376

注入中专也精彩——补充Cookie欺骗一文

Cookie欺骗一文写出来之后,结果危险漫步在网上闲逛时很偶然地发现了一个小工具"注入中转生成器",而且经试用后发现效果非常不错,貌似同样可以解决Cookie欺骗一文最后的"Cookie注射骗出管理账号和密码"部分的补充。因为在这个工具的帮助下,我们就不必再去记忆那段注入代码(:alert(document.cookie="id="+escape("86 union select l,password,username,password,5,6,7,8,9,10,11 from admin"));)了;而且,可以在本地使用"明小子"来直接检测一个中转注入点,最后直接得到管理员账号和MD5密码依然是Cookie欺骗一文中的目标网站,我们只需要经过以下几步就可以了。

1、"明小子"进行常规注入点的检测,失败

如果我们将那条记录丢到"明小子"中进行注入点的检测,很快就被提示"检测失败,该URL不可以进行注入!"。平时遇到这种情况,我们一般都会转而去想其它办法(比如旁注),当然如果你还想再确认的话,可以在浏览器中对该记录进行一下手工注入检测一一比如到浏览器地址栏在该记录的最后添加英文单引号,回车访问,结果出现"传参错误!参数的值中包含非法字符串!"的提示,说明人家的确做过相应的防注入处理了,像"and"、"update"、"delete"、":"、"in s ert"、"mid"和"master"等"非法"字符都在人家的"黑名单"之上。那么,是不是这就等于说我们无法常规使用"明小子"进行注入点的检测和账号、MD5密码等的猜解呢?

答案当然是否定的!因为该网站本身存在Cookie注入漏洞,所以我们就可以借助"注入中转生成器’来实暗度陈仓的目的。

2、"注入中转生成器"巧借力

运行"注入中转生成器",先在右侧选中"COOKIE注入",然后将那条无法被注入的记录稍微作一下处理:将最后的"?id=728"删除,只将前半部分"粘贴到"注入URL地址:"和"来源页"中。最上面的"注入键名:"处只填写"ID=",其它的"正常的Cookie值"和"POST提交值"处都保持默认值不动,最后点击"生成ASP"按钮,我们就会得到一个名为"jmCook.asp"的文件。

3、"超级小旋风"搭建本地ASP运行环境为了给接下来的"明小子"检测注入搭好戏台子,ASP运行环境是少不了的,使用"超级小旋风”即可。安装之后运行,先将上一步中生成的jmCook.asp文件复制到wwwroot目录中(比wwwroot\site8001);接着在浏览器中访问URL,注意该URL的构建一一先是jmCook0asp的绝对地址,再加上“jmdcw=728”(前面的“jmdcw”是作者“寂寞的刺猬”拼音首字母,后面的“728”是该条新闻记录的ID号),结果出现了带有若干红叉叉的显示页面,开始下一步。

4、“明小子”非常规检测注入点

接下来就跟第一步的检测基本一致了:运行“明小子”,在“注入点”处粘贴上一步浏览器中可“正常”访问的页面链接,然后点击后面的“开始检测”按钮,很快我们就得到提示:“恭喜,该URL可以注入!数据库类型:Access数据库”,与第一步的检测结果可是截然相反啊!来就是轻车熟路了:猜解表名,选择“admin”;猜解列名,选择“username”和“password”;猜解内容,这回得到四个账号(在Cookie欺骗只暴出了一个账号13961534691),前三个账号的MD5密码都是一样的16f239bcf676684d(原密码为804047),与进入后台查看管理者的结果完全吻合。