MySQL盲注点

MySQL盲注

得到管理员帐号和密码（顺利破解），登陆后台（后台地址在网站前台就有链接），呦！这网站后台的UI竟然还用的是ExtJS，打开速度还挺快的啊！我开发过的基于ExtJS系统几乎都是跑在内网的，一直还觉得放在公网，这个JS库很拖速度呢！咳咳…扯远了，咱继续。

ExtJS文件上传

端口扫描

nginx

nginx

nginx

您可能也喜欢：
WEB服务器与数据库服务器分离情况下的入侵	PPTV(PPLIVE)某分站MySQL盲注	入侵检测XXX师范大学XXX学院JSP网站	对某钢铁公司网站的安全检测	JSP SQL注入攻击防范
无觅

WVS扫描结果

话说这网站目录结构，爬虫还是厉害呀！比人肉效率多了！从结果来看，可能可以利用的就是4个盲注和11个上传，经过逐一检查，盲注不可用，上传也不可用。从目录名一眼就能看出来是用的ewebeditor（如“ed”，“eweb”统统都是），用默认帐号密码登录失败，数据库下载失败，版本都是2.8的，远程文件上传也失败了，爬出来的网站后台，猜了几个口令也失败了，陷入僵局了。
无意中把一个URL中的文件名去掉敲了个回车，看到了“转到父目录”，眼前亮了许多啊！翻呀翻，找呀找，找到了个后台的ACCESS数据库备份文件，down下来这个rar无法解压，想了一下，改成mdb后缀，顺利打开。

数据库备份文件

找到了几条管理帐号和密码记录，不过都是经过MD5加密的，其中只有一条记录能反查出明文，登录后台后发现功能很少，不知道是权限不够还是咋的，打开好几个编辑文章的地方都是404，⊙﹏⊙b汗，有个数据库备份的地方但是报找不到要备份的文件，看到有个可以修改网站配置信息的功能（只能修改标题和描述），想了一下，数据库后缀是asa，那我直接插个一句话进去，然后连数据库不就可以了，试了一下，结果那个数据库文件访问的时候始终报500错误，这后台再没啥功能了，再次陷入僵局了。

网站管理后台

接着遍历目录，发下一个ewebeditor的数据库名有点意思，直接拿去搜了一下，还真有相关的网站源码，打开源码中ewebeditor的数据库，反查出明文，然后拿去登录，结果还是失败了- -#。

ewebditor数据库

对了，差点忘记说了，在后台中有个上传的地方，点击之后弹出来的上传窗口报的是404，右键查看上传按钮的源码：

文件上传

虽然报的是404，但是这个学校的网站后台比较多，貌似每个部门学科都有一个后台，会不会在其它后台下有这个文件？继续接着遍历目录，果然被我找到了一个WVS没有爬出来的上传页面，从上面的源码可以看出，上文件类型和存储路径都是变量，是我们可控的，那不带参数直接上传那就应该是任意文件且上传后在网站根目录吧？实践出真理啊！看看：

文件上传

文件上传

默认的asp权限比较低，虽然可以浏览所有盘符（其实只有一个C盘 -_-|||），既然支持aspx咱干嘛不换个权限高点的呢？换完之后，可以执行DOS命令了，但是net user的时候出现“发生系统错误 5。拒绝访问。”，上传了个从某黑阔的博客上下的iis6.txt，成功添加管理员。

net localgroup administrators

ipconfig得到服务器是内网的，然后上传了个htran.exe被杀了，tasklist了一下发现用的是金山，然后用VMProtect保护了一下htran.exe成功免杀。然后端口转发，然后登录服务器，然后发现内网还有其它机器。

ipconfig

远程终端桌面

回头看看WVS的扫描结果，服务器外网是开了3389的，然后直接连上去从登录界面看出是个64位的win2003，和我转发出来的这台不一样，估计是用了端口映射把外网映射到内网某台机器上了。唉，不管啦，等候老婆发落吧！当然，咱绝对不会搞破坏！

1.弱口令漏洞

解决方案：最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码，应存储MD5加密后的密文，由于目前普通的MD5加密已经可以被破解，最好可以多重MD5加密。

2.未使用用户名及密码登录后台可直接输入后台URL登录系统。

解决方案：通过配置filter来过滤掉无效用户的连接请求。

3．JSP页面抛出的异常可能暴露程序信息。有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案：自定义一个Exception，将异常信息包装起来不要抛到页面上。

4.合法用户“注销”后，在未关闭浏览器的情况下，点击浏览器“后退”按钮，可从本地页面缓存中读取数据，绕过了服务端filter过滤。

解决方案：配置filter对存放敏感信息的页面限制页面缓存。如：

httpResponse.setHeader("Cache-Control","no-cache"); 
httpResponse.setHeader("Cache-Control","no-store");
httpResponse.setDateHeader("Expires", 0);
httpResponse.setHeader("Pragma","no-cache");

5.SQL注入漏洞。

解决方案：在数据库访问层中不要使用“+”来拼接SQL语句！如：

String sql= “SELECT * FROM USERS WHERE 1=1”;
if(null != user.getUserName() && !””.equals(user.getUserName())){
	sql += “ and UNAME = ‘”+user.getUserName()+”’”;
}

而应使用PreparedStatement。如：

PreparedStatement pstmt = con.prepareStatement("SELECT * FROM USERS WHERE UNAME=?");
pstmt.setString(1, “Neeke”);

如果项目中使用了Hibernate框架，则推荐使用named parameter。如：

String queryString = "from Users where uname like :name";

冒号后面是一个named parameter，我们可以使用Query接口将一个参数绑定到name参数上：

List result = session.createQuery(queryString)
                  .setString("name", user.getUserName())
                  .list();

6.文件上传漏洞。前台仅使用JS对文件后缀做了过滤，这只能针对普通的用户，而恶意攻击者完全可以修改表单去掉JS校验。

解决方案：前台JS过滤加服务器端程序过滤。具体过滤掉哪些文件类型视具体情况而定。

7.可执行脚本漏洞。对用户提交的数据未转义，一些用户提交的含有JavaScript脚本的信息被直接输出到页面中从而被浏览器执行。

解决方案：使用org.apache.commons.lang.StringEscapeUtils对用户提交的数据进行转义。如：

@RequestMapping(params="method=addTopic",method=RequestMethod.POST)
public ModelAndView addTopic(HttpServletRequest request, HttpServletResponse response, BbsTopic topic)
{
BaseAdmin user = (BaseAdmin) request.getSession().getAttribute(Constant.SESSION_USER);
topic.setBaseAdmin(user);
topic.setTopicDate(new Timestamp(System.currentTimeMillis()));
topic.setTopicContent(StringEscapeUtils.escapeHtml(topic.getTopicContent()));
topic.setTopicTitle(StringEscapeUtils.escapeHtml(topic.getTopicTitle()));
this.bbsTopicService.save(topic);
return new ModelAndView(new RedirectView("bbs.do?method=topicList&bfid="+ topic.getBfid()));
}

8.Java WEB容器默认配置漏洞。如TOMCAT后台管理漏洞，默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案：最好删除，如需要使用它来管理维护，可更改其默认路径，口令及密码。