補(bǔ)充一句，這個(gè)東西只是看代碼時(shí)隨便看到的一處，其他地方還多著呢，當(dāng)時(shí)寫(xiě)下來(lái)還沒(méi)測(cè)試，我就記了下來(lái)，其中有什么不對(duì)，還望理解。哈哈~

前段時(shí)間網(wǎng)上流行的SQL注入是利用偽造代理IP來(lái)實(shí)施攻擊，這個(gè)HTTP_X_FORWARDED_FOR在一段時(shí)間內(nèi)倍受人們關(guān)注，今天在看風(fēng)訊4.0 的時(shí)候也發(fā)現(xiàn)這樣一個(gè)注入點(diǎn)，可笑的是程序員是考慮到對(duì)HTTP_X_FORWARDED_FOR的過(guò)濾，但是在帶入查詢時(shí)，好象是忘記把過(guò)濾的變量帶入，而直接帶入了沒(méi)過(guò)濾的VisitIP。

下面是分析代碼：

在Stat/Index.asp文件中第18行，

VisitIP = request.ServerVariables("HTTP_X_FORWARDED_FOR")

直接把HTTP_X_FORWARDED_FOR賦值給VisitIP變量

在文件第61行中

EnAddress = EnAddr(EnIP(VisitIP))
這里用了2個(gè)函數(shù)對(duì)VisitIP進(jìn)行過(guò)濾，但是看最后的賦值卻給了EnAddress這個(gè)變量，而下面第62行的查詢卻又直接帶入的是沒(méi)有過(guò)濾的VisitIP變量，所以在這里就可以對(duì)其進(jìn)行SQL注入。
Set RsCouObj = Conn.Execute("Select ID from FS_SS_Stat where IP='"&VisitIP&"'")

在這個(gè)文件中又有多處查詢用到VisitIP這個(gè)變量，其補(bǔ)救方法也很簡(jiǎn)單，就是把EnAddress = EnAddr(EnIP(VisitIP))改成VisitIP=EnAddr(EnIP(VisitIP))

這里可以通過(guò)抓包在數(shù)據(jù)包中增加

HTTP_X_FORWARDED_FOR:123'+and+user>0--

這樣來(lái)注入，如果在access版本中，那么就可以通過(guò)

HTTP_X_FORWARDED_FOR:123'+and+1=1+and+'1'='1這樣的形式來(lái)注入

其中可以用union來(lái)暴字符內(nèi)容。

OK，具體就等你來(lái)實(shí)現(xiàn)吧，多動(dòng)手。

BY
WhyTt 

最新評(píng)論