虽然网上有很多网页有各种各样的安全漏洞,利用它们我们黑客可以暴出网站的账号和密码,但是经常会碰到找不到网站后台登录界面的情况,许多菜鸟做到这里就止步了。
但这还难不倒我,如果我暴出的账号分配的有DB_OWNER权限,我就可以利用DB的目录浏览权限来读取服务器目录,从而找到后台登录界面(当然完成这个过程需要一定的耐心),登录后即可上传木马了。
小提示:要上传木马,首先要成功找到网站系统后台地址,其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
首先在《啊D注入工具》(下载地址:http://www.cpcw.com/bzsoft)的“SQL注射检测”界面中,输入我们已经检测出该网站存在漏洞的网页地址,再点击“检测”按钮检测网站对应的信息,从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER(如图1)。如果网站的权限不是DB_OWNER就换一个网站试试。
B.找出后台地址
接着,我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”,在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看,发现系统的后台目录由Admin改成Admin_999。
现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp,并且利用先前已经得到的账号和密码进行登录就可搞破坏了。tW.WiNgWit.cOM如果运气不好,该网站的后台并没有数据库备份以及任何的上传功能,我们就无法上传ASP木马(如图2)。
C.巧用WebEditor上传木马
难道这样就算了?不!通过“目录查看”,在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器,网络编辑可以用它对网站进行编辑。
通过浏览器登录WebEditor(地址http://www.xxx.cn/WebEditor/admin_login.asp),接着在WebEditor的后台管理窗口中选择有编辑功能的样式,例如Standard,再点击后面的“拷贝”按钮复制该编辑样式(如图3)。
找到复制出的编辑样式后,点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮,选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接(如图4)。用浏览器打开ASP木马的链接,最终我们就可以控制这个网站了。
守:DB权限要严格分配
看了上面的讲解,是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标,再加上那么一点点的分析过程,就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢?
小编在这里提醒各位网站管理员,要定时到官方网站下载安全补丁,修复已知的网站系统漏洞,不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
当然,我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员,就可以分配DB_OWNER权限,以方便他对数据库进行备份操作。
如果仅仅是一些网络编辑的话,那么就可以不分配DB-OWNER权限。由于本身的权限很低,即使黑客得到这类账号和密码,想进行入侵都是非常困难的,从而有效地保护网站系统的安全。
From:http://tw.wingwit.com/Article/Network/201311/24470.html