前几天在看一个网站的时候安全测试发现网站根目录下有个目录,打开后是个叫“广州信息网”的程序,连版权信息都是默认的,觉得应该有搞头。看下是否存在注入漏洞,找了个可能是注入点的进行测试,出来了似曾相识的防注入提示。
在中国站长站找到了广州信息网程序的源代码下载了回来,然后在虚拟机中把程序运行了起来。
找了个存在参数的链接地址,在后面加了个and,提示“本站安全系统提示你请不要在参数中包含非法字符尝试注入!点确定按钮后就是熟悉的防注入提示:
非法操作!系统做了如下记录↓
操作I P: 127.0.0.1
操作时间:2017-3-14 15:07:38
操作页面:/type.asp
提交方式:GET
提交参数:name
提交数据:家政服务and
既然它提示了我我提交的它认为非法的内容,很可能把我提交的内容保存到了一个数据库文件中,是否可以考虑数据库插马获得Webshell呢?翻看虚拟机中下载的广州信息网程序的源程序,在data目录下发现了两个文件:data.asp,sql_in.asp。猜测data.asp是网站的主数据库文件,sql_in.asp是记录SQL注入攻击的数据库文件。把sql_in.asp复制一份,重命名为sql_in.mdb,用Mcrosoft Office Access2003打开,发现只有一个名为Sqlln的表,打开后发现果然记录的是SQL注人攻击,并且找到了我刚提交的“家政服务and”。
既然程序把提交的SQL注入语句保存在了数据库中,数据库文件的后缀又是.asp,就可以考虑来数据库插马了。思路是提交的内容先以一个and开头触发记录,后面内容是Asp一句话木马服务端的代码,但当用一句话木马客户端连时却不成功。把ASP一句话木马服务端代码<%eal reust(”a”)%>a进行Unicode编码后就成功了。
用在虚拟机中获得Webshell的方法去目标网站上尝试,比较幸运,sql_in.asp没有更改存放目录,也没有改名,顺利拿到Webshell。
防注入程序本来是保障网站程序安全的,却因为自身存在危害严重的数据库插马漏洞导致可以被人轻易获得Webshell,严重威胁着网站的安全。危险漫步要提醒各位站长朋友,不要觉得有了防注入程序的保护网站就安全了,也许防注入程序本身都不安全。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。