第6章web应用程序攻击.pptVIP

判断数据库的类型 利用返回的错误报告 例：MSSQL 判断数据库的类型 利用数据库系统表 ACCESS——msysobjects MSSQL——sysobjects And (select count(*) from msysobjects)0 And (select count(*) from sysobjects)0 表名的猜解 运气＋经验积累 And (Select count(*) from 表名)0 And exist(select count(*) from 表名 /showdetail.asp?id=49 And (Select Count(*) from Admin)=0 如果页面与ID=49相同，说明附加条件成立，即表Admin存在，反之，即不存在。如此循环，直至猜到表名为止 字段名的猜解 字段名的获取原理同表名 And (Select count(字段名) from 表名)0 And exist(select 字段名 from 表名） 字段名的猜解 ASCII逐字解码法获取字段值 判定字段长度 /showdetail.asp?id=49 and (select top 1 len(username) from Admin)0 当username长度大于0，则条件成立；接着1、 2…… n继续测试，直到条件不成立时，n为usename的长度。 /showdetail.asp?id=49 and (select top 1 asc(mid(username,1,1)) from users）0 n一般取48-122，48是数字0，122是z Asc(mid(username,m,1)) 猜解记录内容 确定记录条数 And (select count(*) from 表名)=n 这里的n是猜解的记录条数 确定记录字段长度 And (select top 1 len(列名) from表名)=n 这里的n是猜解的长度数 控制系统 利用已得到的用户名及口令进入管理后台，上传ASP木马 当数据库的连接用户为sa时，可使用系统存储过程执行命令 常用工具 Domain 3.5 啊D注入工具 NBSI SQL注入的危害 读取、修改或者删除数据库内的数据，获取数据库中的用户名和密码等敏感信息 获得数据库管理员的权限 如果能够再利用SQL Server扩展存储过程和自定义扩展存储过程来执行一些系统命令，攻击者还可以获得该系统的控制权 SQL注入的隐蔽性 SQL注入是从正常的WWW端口访问，防火墙一般不报警，很难发现 2.暴库 暴库 将对方数据库的物理路径暴露出来 物理路径与相对路径 物理路径（绝对路径）：从根目录开始一直到该目录全程的路径 相对路径：相对于其它目录的路径 2.暴库 什么导致了黑客可以成功暴库？ 网站制作者的偷懒 IE与ASP程序对特殊字符”\”解析的不同 暴库手段 Google hack %5c暴库 网络攻防技术 2.暴库 %5c暴库原理 数据库链接文件 一个简短的ASP程序，这段程序主要负责在服务器上找到数据库并与之建立连接。通常这个文件名为:conn.asp Conn.asp 示例 %… Dim db,connstr1,connstr2 Db=”data/mdb.mdb” Connstr1=”Provider = Microsoft.Jet.OLEDB.4.0;DataSource=” Connstr2=connstr1Server.MapPath(db) …% 2.暴库 地址栏中地址改为： /bbs%5cconn.asp 此时，系统会弹出错误页面 %5c是“\”的URL编码方式 在IE地址栏中，“\”与“/”的含义相同，因此IE能够正确将%5c解析成“\” conn.asp却将bbs%5cmdb.mdb看成一个文件，会在目录/即E:\Web目录下去找数据库文件，从而找不到而报出错误 2. 暴库 得到错误信息后如何处理？ 得到数据库名，猜测数据库的真正物理地址 直接下载数据库 注意事项 IE设置要将“显示友好的HTTP错误信息”关闭 对方数据库必须是ACCESS 需要的是二级目录，一级目录很难成功 3. 跨站脚本 跨站脚本（CSS/XSS） CSS - Cross Site Scripting 在远程Web页面的HTML代码中插入的具有恶意目的的数据，用户认为该页面是可信的，但是当浏览器下载该页面时，嵌入其中的脚本将被解释执行 3. 跨站脚本 服务器所运行的脚本语言 当收到/a.asp?page=copy.htm 时显示copy.htm页面，否则返回页面不存在 Proof of Concept: /a.asp?page=scriptalert(‘aa’)/script 3. 跨站脚本 跨站脚本