【原创】成功入侵一政府网站——善后工作 政府, 善后, 原创

柔肠寸断

今天成功入侵一政府网站，一进webshell看到的东西吓死人
- v5 D! t  ~) G3 M5 Z
- x/ M, R. M1 a有个10MB左右的数据库，全是人才信息方面的，一个表有1w多条记录！！！
8 Q* B2 b( u8 ?4 q( P9 K  k3 _, o3 V/ u0 V
入侵的方法不方便说，关键是修补他们的漏洞6 H8 S6 G8 s1 s. [5 R1 i
$ s3 b: |0 U, ^& ~1 g% J
首先修补了他们的注入漏洞，他们只修补了conn.asp
$ C& ~6 B0 ~1 l( k% Z- E
9 I4 b% r5 [8 V4 x& u% f/ B. A) l但是数据库连接文件竟然是dbconn.asp，写入一下代码

1. <%
   
2. Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr
   
3. flashack_In = "'※;※and※exec※insert※select※delete※update※count※*※%※chr※mid※master※truncate※char※declare"
   
4. flashack_Inf = split(flashack_In,"※")
   
5. If Request.Form<>"" Then
   
6. For Each flashack_Post In Request.Form
   
7. 
   
8. For flashack_Xh=0 To Ubound(flashack_Inf)
   
9. If Instr(LCase(Request.Form(flashack_Post)),flashack_Inf(flashack_Xh))<>0 Then
   
10. Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>"
    
11. Response.Write "非法操作！<br>"
    
12. Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>"
    
13. Response.Write "操作时间："&Now&"<br>"
    
14. Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>"
    
15. Response.Write "提交方式：POST<br>"
    
16. Response.Write "提交参数："&flashack_Post&"<br>"
    
17. Response.Write "提交数据："&Request.Form(flashack_Post)
    
18. Response.End
    
19. End If
    
20. Next
    
21. Next
    
22. End If
    
23. If Request.QueryString<>"" Then
    
24. For Each flashack_Get In Request.QueryString
    
25. For flashack_Xh=0 To Ubound(flashack_Inf)
    
26. If Instr(LCase(Request.QueryString(flashack_Get)),flashack_Inf(flashack_Xh))<>0 Then
    
27. Response.Write "<Script Language=JavaScript>alert('柔肠寸断[3.A.S.T]提示你↓\n\n请不要在参数中包含非法字符尝试注入,QQ:790653916！\n\nHTTP://WWW.3AST.COM.CN');</Script>"
    
28. Response.Write "非法操作！br>"
    
29. Response.Write "操作IP："&Request.ServerVariables("REMOTE_ADDR")&"<br>"
    
30. Response.Write "操作时间："&Now&"<br>"
    
31. Response.Write "操作页面："&Request.ServerVariables("URL")&"<br>"
    
32. Response.Write "提交方式：GET<br>"
    
33. Response.Write "提交参数："&flashack_Get&"<br>"
    
34. Response.Write "提交数据："&Request.QueryString(flashack_Get)
    
35. Response.End
    
36. End If
    
37. Next
    
38. Next
    
39. End If
    
40. %>

复制代码

OK，注入漏洞解决8 x( Z8 S  X) R
5 R0 H/ M7 s, H6 S/ W3 @) H. k# }
还有上传漏洞，我分析了一下上传处理页面的asp代码，竟然一点不完善

1. <%
   
2. set upload=new upload_5xSoft
   
3. set file=upload.file("file1")
   
4. formPath="../../photo/work/"
   
5. if file.filesize>1000 then
   
6. fileExt=lcase(right(file.filename,3))
   
7. if fileExt="asp" then
   
8. Response.Write"文件类型非法"
   
9. end if
   
10. end if
    
11. randomize
    
12. ranNum=int(9000000*rnd)+10000
    
13. filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
    
14. if file.FileSize>0 then
    
15. file.SaveAs Server.mappath(FileName)
    
16. end if
    
17. response.write "图片上传成功,[<a href='upload.asp'>返回继续上传</a>]<br>图片是：<a href=Javascript:minipic('"&filename&"');>缩略图</a>      <a href=Javascript:pic('"&filename&"');>放大图</a>"
    
18. %>
    
19.     </td>
    
20.   </tr>
    
21. </table>
    
22. </body>

复制代码

其中

if fileExt="asp"

* U+ k+ C& w6 Z3 y5 w4 C! N
! @+ {7 v- I( _/ E. {: Q
原来只要上传的文件名包含asp就不允许上传，找知道我就不费劲了，直接上传个asa、cer的就可以了，哎~~~- _! F  k+ J0 F0 f
9 ~, C  w4 T3 {# ?3 F8 J/ D  ~) F
而且不要进入后台只要找到上传页面就可以直接上传了* ?# u9 h$ e7 ~9 L! h) B

  ~1 `) E* a: i4 @6 E

帮他改了下代码fileExt="asp"改成了fileExt<>"gif"  & fileExt<>"jpg"

. W7 l0 D# |/ C/ ^
9 q9 }: \+ V; r0 w9 M1 d- f5 v但是貌似问题没有解决，奇怪，代码有问题？？？谁能解决下？？？$ I7 H+ c. C+ W: T( ]9 d9 e% _
) x3 o! F) d7 F( g3 ~0 H. M# Y8 ~9 W
实在没有办法，只有改了他的这个危险的页面，原来的代码我全变注释，又加了些话提醒管理员4 k0 {2 {& C) k* ]2 H

, k, I0 j6 k: v$ S: U

wmmy

还真有好心人啊,

chengyichen

政府会不会理解你的好心呢

平湖秋月

管理员该挨骂了

柔肠寸断

管理员已经清除了漏洞，一切还原了。。。。。。。。。。。。。。

冰吻六秒钟

嗯 不错不错 好心人~~~~~顶你

240366619

老大得人心了哦 。

qq672821099

黑客真的不是坏人

hong1314hong

鱼儿无心

只能说算他们有良心