首先我們仍是找一個有參數傳遞的頁面,在URL後面加上“and 1=2”進行測試,可以發現這些常用的sql注入指令已經被過濾掉了。
<a href="http://s3.51cto.com/wyfs02/M00/4C/2F/wKioL1Q4YPGRn0sgAACPlSI3b4s531.jpg" target="_blank"></a>
這裡我們可以使用一種更為進階的注入方式——cookie注入。cookie注入其原理也和平時的注入一樣,隻是将參數以cookie的方式送出,而一般的注入我們大都是使用get方式送出,get方式送出就是直接在網址後面加上需要注入的語句。
首先将存在有參數傳遞的頁面完全打開,并将url複制下來:http://192.168.80.129/shownews.asp?id=15。
運作sqlHelper中的“注入中轉”工具,選擇“cookie注入”,并按下圖的格式進行填寫。注意“post送出值”一定要用預設的“jmdcw=”,後面的“15”就是剛才所打開的網頁所傳送的參數值。
<a href="http://s3.51cto.com/wyfs02/M00/4C/2E/wKiom1Q4YQyg6bSjAAGbYo6Tj-0765.jpg" target="_blank"></a>
設定好之後,點選“生成ASP”,此時會在sqlHelper軟體目錄下生成兩個asp網頁檔案jmCook.asp、jmPost.asp。
<a href="http://s3.51cto.com/wyfs02/M01/4C/2F/wKioL1Q4YXnANSxzAAHJ4PBYud0911.jpg" target="_blank"></a>
下面我們在黑客主機上也安裝小旋風ASPWeb伺服器搭建一個Web環境,并将jmCook.asp和jmPost.asp這兩個檔案複制到網站主目錄wwwroot中。
打開浏覽器,在位址欄中輸入“127.0.0.1/jmCook.asp?jmdcw=15”來通路剛才所生成的網頁,此時就在本地打開了之前曾通路的那個頁面。
<a href="http://s3.51cto.com/wyfs02/M01/4C/2E/wKiom1Q4YWXjzC7pAAKhmgXkssA394.jpg" target="_blank"></a>
在這個頁面中,我們就可以使用之前的那些注入語句來實作注入了。
為了簡化操作,我們也可以利用明小子之類的工具來快速注入。将位址“127.0.0.1/jmCook.asp?jmdcw=15”複制到明小子的SQL注入菜解檢測中,很快就能爆出管理者賬号以及密碼。
可以發現admin的密碼仍然是“3acdbb255b45d296”,也就是0791idc。
在位址欄中輸入“http://192.168.80.129/admin/Login.asp”登入網站背景,可以看到網站雖然安全性有所增強,但資料庫備份的漏洞仍然存在。
我們仍是先将webshell以圖檔的形式上傳,得到路徑“http://192.168.80.129/UploadFiles/20141011145142292.jpg”,然後在資料庫備份中指定所上傳的圖檔路徑,并将備份後的檔案字尾更改為.asp,這樣就又成功上傳了WebShell。
<a href="http://s3.51cto.com/wyfs02/M01/4C/35/wKioL1Q41ejAZNMIAAE4uRpDQ-s390.jpg" target="_blank"></a>
後續就又是提權的過程,具體操作可參考之前的博文。
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1562382
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)