入侵网站的各种漏洞的利.doc

入侵网站的各种漏洞的利用 文章作者：rainbowb… 信息来源：华夏BLOG 入侵网站的各种漏洞的利用 asp动网论坛漏洞分析 1、这个漏洞不算太严重，用过动网论坛的人都知道，发帖时直接写javascript会被过滤拆分，写http会自动加上链接，漏洞就在此，在这两个地方变通一下，把两个单词的某个字母换成编码形式，然后系统再对应地解码回字母，就达到了避免被过滤的目的。例子说明一下，在发帖时写入［img］javas#ｘ63ript:window.open(‘htt#ｘ70://,)［/img］ 很清楚地看到，#x63解码的字母是c，#x70解码的字母是p，起到连接作用，最后加上［img］，使JS被触发，如果论坛支持flash插入，用［swf］也可。利用这个漏洞可以搞些恶作剧，写上诱人的主题，点进去结果是他的主页（骗点击率，作广告），甚至更绝，连到一个有病毒、木马的网页上，让你直想骂娘。这个漏洞存在于动网的各个版本，包括较新的0519版，覆盖面积之广让人瞠目，各人认为应该对某些非法字符进行检测剔除，而非简简单单地拆分了事，真希望动网开发者能尽早补上这漏洞。 2、比起前者，第二个漏洞问题就大啦，利用该漏洞可以破解掉论坛上所有注册会员的密码（恐怖~~~），由于论坛管理员通常直接把论坛程序载下来梢加以美工就拿来使用了，图方便直接导致了漏洞的出现，我们也载一个回来，只要看一下动网的数据库，就知道了密码的字段为userpassword，接着例如要破一个名叫abc的用户密码，首先察看abc的用户资料，给出的连接是http://xxxxx/dispuser.asp?name=abc ，在dispuser.asp中，读取参数的语句是:username=trim(request(name))，数据库的查询的语句是: sql=select * from [user] where username=username，看得出来， abc就是直接被作为了dispuer的一个参数username，另外，如果该用户不存在，程序就会给出提示，既然如此，我们就再写入个查询密码的条件，在where username=abc后面加上and userpassword=******，理论上这样就可以实现对密码的破解了，但这么破要破到何年何月，现在就要轮到VBS函数大显身手了，可以先用len函数试出用户的密码位数，地址就这么写http://xxxxx/dispuser.asp?name=abc%20and%20len(userpassword)=5%20and%201=1，这么看可能不好理解，放到sql语句里其实就是这副样子：sql=select * from [User] where username=abc and len(UserPassword)=5 and 1=1，现在明白点了吧，%20是空格，abc后面的单引号和1=1里的单引号都是为了和sql语句相匹配。奇怪，该用户不存在，喔？那就说明符合这个条件的用户没有，继续，把5换成6，7，8，依此类推，只要能显示出用户资料了，就说明密码位数猜对了。接下来要做的就是试每位的密码是多少了，继续要用到VBS，可以用left或right或mid函数，http://xxxxx/dispuser.asp?name=abc%20and%20left(userpassword,1)=a，如果猜对了就给出用户资料，猜对了就给出该用户不存在的提示，这样子还是嫌太慢，那就在外面再套个asc函数，http://xxxxx/dispuser.asp?name=abc%20and%20asc(mid(userpassword,1,1))50 试出用户密码的ASCII码是否大于50，不断地缩小范围，相信很快就能将范围缩小至个位数，看到这里你是否惊出了一身冷汗，起码我是如此，靠几个函数的灵活运用，保守地说，不出半小时就能破解出密码。真是不幸中的大幸，动网开发者在后来的05**版后使用了MD5的加密，这下子总算放心了，但介于国内还有许多地方在使用老版本的动网论坛（包括一个小有名气的flash站点） 3 、动网SQL语句漏洞 此漏洞针对动网SQL版本。 测试方法：在http://ip/bbs/admin_index.asp 输入用户名是or= 密码也是这个 这样可以跳过认证 原理：利用SQL语法。输入的密码和ID就成为一个合法的SQL语句，直接跳过认证。 此漏洞并不针对动网。很多SQL的ASP都会有这个漏洞 4、动网论坛sp2漏洞 （此漏洞影响范围甚大，动网官方站、黑客防线、安全基地都曾因此被黑过，具体资料大家可以在百度搜一下） 上传漏洞路径：reg_upload.asp及upfile.asp 青创文章系统 打开google