发布时间 : 星期四 文章注入攻击技术更新完毕开始阅读
第11章
注入攻击与防范应用实战 (4)为每个网站设置好执行权限。给静态网站以“纯脚本”权限,对于那些通过网站后台管理中心上传的文件所存放文件夹,执行权限需设为“无”,经过这样设置之后,就是入侵者上传木马成功,也是不能运行的。
(5)对于数据库用户的权限配置,赋予SA级别的权限时一定要慎重。
此外,网站程序员还需要在程序代码编写上防范SQL注入入侵,具体的操作步骤如下: (1)仔细检测客户端提交的变量参数。利用一些检测工具对用户通过网址提交的变量参数进行检查,发现客户端提交的参数中有“exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc”等用于SQL注入的常用字符时,立即停止执行ASP并给出警告信息或转向出错页面。
(2)对重要数据进行加密。比如用MD5加密,MD5没有反向算法,也不能解密,这样就可以防范对网站的危害了。
对于普通用户,则可以通过如下途径来防范注入攻击: (1)尽量不使用整站程序作为自己网站程序的核心。
(2)如果使用了整站程序,尽量关注其官方网站的更新,及时打补丁。
(3)在为网站数据库上起名时,尽量不要取那些看起来意义明显的名字。这样,即使用户名和口令被猜解了出来,入侵者也不易知道哪些信息是对其有用的。
11.2 尘缘雅境图文系统专用入侵工具
尘缘雅境图文系统是一款难得的超强图文系统,是基于ASP+Access编写的,全站容量只有11M。虽然没有动网的影响大,但作为一个免费的全站系统,拥有强大的后台功能。然而其管理员目录中的uploadfacelok.asp页面上却存在着上传漏洞,这就导致了网站可被入侵。
入侵尘缘雅境图文系统实例的具体操作步骤如下:
(1)查找使用尘缘雅境图文系统的网站。在搜索引擎中输入“尘缘雅境V0.45 Finish All Rights R”进行查找,如图11-5所示。
图11-5 搜索使用尘缘雅境图文系统的网站
(2)找一个存在漏洞的网站之后,运行尘缘雅境图文系统漏洞利用工具,即可打开【尘
287
马上学会
黑客入门秘技实战解析
缘雅境图文系统漏洞利用工具】对话框,如图11-6所示。
图11-6 尘缘雅境图文系统漏洞利用工具
(3)对各项进行填写。“主机地址”文本框中填上域名(不加“http://”),其他项可不用
修改。但如果网站不是http://www.xxxx.com/index.asp而是http://www.xxxx.com/lvyou/index.asp这样的样式,则需要将“漏洞目录”里填写为“/lvyou/admin”。
(4)单击【上传】按钮进行漏洞上传之后,在最下面的文本框中如果没有显示“图片上传成功”的字样,则说明该网站不存在此漏洞,可换一个网站再试,如图11-7所示。如果出现“图片上传成功”字样,则说明该网站存在漏洞,如图11-8所示。
图11-7 网站不存在漏洞 图11-8 网站存在漏洞
(5)在IE中打开尘缘雅境图文系统漏洞利用工具中“木马地址”文本框中的网站,此时,已经利用尘缘雅境图文系统的上传漏洞工具在该网站上挂上了一个木马,可以控制整个网站了。
利用尘缘雅境图文系统上传漏洞入侵的防范主要有如下2种:
(1)到尘缘雅境官方网站上下载相应的补丁,或者升级自己的程序版本。 (2)删除尘缘雅境图文系统的漏洞文件uploadfaceok.asp。
288
第11章
注入攻击与防范应用实战 11.3 辅助注入工具WIS应用实战
WIS(Web Injection Scanner)是一个轻巧好用的辅助注入工具,和注入组合WED(Web Entry Detector)是配合使用的。其中,wis.exe用来扫描某个站点中是否存在SQL注入漏洞,可自动对整个网站进行SQL Injection脆弱性扫描,并且能够扫描后台登录界面。wed.exe则用来破解SQL注入用户名密码,针对存在SQL 注入网站的管理帐号进行扫描。
这两个工具的使用都非常简单,组合起来使用,就可以完成从寻找注入点到注入攻击完成的整个过程。
具体的操作步骤如下:
(1)寻找SQL注入点。如图11-9所示即为wed&wis综合工具主对话框,在WIS功能区的Url文本框中输入要扫描的网站之后,单击【Start】按钮,即可自动开启WIS程序并对其进行扫描,如图11-10所示。
图11-9 wed&wis程序主对话框 图11-10 扫描过程
【提示】
在输入网址时,前面的\http://\和最后面的\/\是必不可少的,否则将会提示无法进行扫描。
(2)从得到的扫描结果中可以看到这个网站中存在着很多SQL注入漏洞,其中绿色显示就是存在漏洞的站点,如图11-11所示。
图11-11 扫描结果
289
马上学会
黑客入门秘技实战解析
(3)随便挑其中一个来进行测试(如挑“/userlogin.asp?ntime=271938986”)之后,在IE
浏览器的地址栏中输入“http://xxxxx.com/userlogin.asp?ntime=271938986”打开网站页面,即可看到一个用户登录对话框。
(4)SQL注入破解管理员帐号。在wed&wis综合工具主窗口WED的URL文本框中,添加有漏洞网页的地址“http://xxxxx.com/userlogin.asp?ntime=271938986”之后,单击【Start】按钮,即可查看命令执行情况,如图11-12所示。
图11-12 WED命令执行情况
【注意】
在此输入网址时,最后面千万不要加上“/”,但前面的“http://”还是必不可少的。 (5)在上述破解过程中还可以看到“SQL Injection Detected.”的字符串字样,表示程序还会对需要注入破解的网站进行一次检测(看看是否存在SQL注入漏洞),检测成功之后才可以开始猜测用户名(这个过程时间会稍微长一点),wed.exe程序会开始用户名和密码的破解。很快,就可以得到正确的用户名和密码了。
【提示】
在命令执行过程中也可看到程序自动打开了工具包中的TableName.dic、UserField.dic和PassField.dic等几个文件,这是几个分别用来破解用户数据库中字表名、用户名和用户密码所需的字典文件(也可用其他工具来生成字典文件)。
(6)寻找管理员登录窗口。使用wis.exe工具,在其中输入“wis.exe http://www.***.com/ /a”命令之后即可开始扫描(注意扫描语句中网址的格式)。
(7)程序在开始对网站中的登录页面进行扫描之后,将会找到隐藏登录页面并在屏幕上以红色进行显示。
(8)在扫描出来的隐藏登录页面中任选一个,输入用户名和密码之后,就可以登录到后台管理系统中为所欲为了。
这两个工具非常小巧,易用,运行速度很快。但遗憾的是这两个工具只能用于asp站点的注入,而无法实现注入和扫描 php站点,因为php+mysql和asp的注入语句构造都不一样。
290