【技巧】文本框内注入 文本, 技巧

柔肠寸断

当今ASP注入大行其道，网上随处可见注入方法的文章。但是这样的文章中的例子多数是针对x.asp?id=num这样的格式，对于一些表单元素像文本框内的注入方法提及很少。其实，有一些网站多数是过滤了id这样的参数值，却往往忽略了文本框这样的注入点；还有，有的后台密码是md5值，如果不能update密码值或破解不出来的话也头疼，这篇文章就是针对这样的注入点来提供几个思路。

[separator]

一、抓包转为常规注入

我写了个两个asp页，一个是e.asp，源码如下：
★
<form action=f.asp method=get>
密码：<input type=text size=100 name=password>
<input type=submit value=submit>
</form>
★
另一个是f.asp，源码如下：
★
<%   
strSQLServerName = "127.0.0.1" '服务器名称或地址
strSQLDBUserName = "sa" '数据库帐号
strSQLDBPassword = "lcx" '数据库密码
strSQLDBName = "bbs" '数据库名称
Set conn = Server.createObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
'连接MSSQL的句子，没什么好解释的，都和Access版的差不多
conn.open strCon

sql2="select * from bbsuser where password='"&request("password")&"'"
set rs2=server.createobject("adodb.recordset")
rs2.open sql2, conn,1,1
response.write rs2.recordcount & "<br />"
%>

<%="执行的SQL语句是："&sql2%>
<p>
执行后的数据库资料：
<p>

<%do while not rs2.eof%>
<%="id="&rs2.fields("id")%><br>
<%="username="&rs2.fields("username")%><br>
<%="password="&rs2.fields("password")%><br>
<%rs2.movenext%>
<BR>
<%loop%>

<%
rs2.close
set rs2=nothing
conn.close
set conn=nothing
%>
★
源码应当一看就懂，就是在图1所示的密码框内添入密码进行查盾，如果密码对了的话就是图2所示的样子了（我的数据库库名是bbs，表名是bbsuser，列名是id、username、password，都是varchar 类型的，列名值分别1、admin，12345，大家最好拿这两个源码试一下就是明白了）。


我在e.asp里用的是get提交，所以直接得到了http://221.219.xxx.xxx/ef/f.asp?password=12345这个链接。如果网站用的是post提交，大家可以用抓包工具来得到链接。然后将得到的链接放在nbsi里注入就可以了。
★
值得注意的是有两点，无论你密码对不对，都是可以直接注入的，假如对方网站有注入点的话。第二点注意的是，有时候你无法用nbsi默认选项进行注入，此时你将nbsi的get提交方式转为post就可以了。这一招对付有的网站很灵的。
★

二、工具无法利用的情况下

有的时候，你会发现像图1中那样你添入错误的密码后，抓包得到的链接是无法注入的，非得需要一个正确的值才可以，这时候只能手工来确定了。可以这样，用●' having 1=1--●确定了第一个表名和字段名，如图3、图4所示。


在图4中可以看到得到了表名是bbsuser，第一个列名是id。然后再用●' group by bbsuser.id having 1=1--●来确定出第二个列名是username，依次再用●' group by bbsuser.id,bbsuser.username having 1=1--●来确定第三个列名，依次类推，很快会推算出当前表中所有的列名。
写这个的主要原因是有两个，一个是像nbsi或hdis等工具都没有用到此语句，第二个是如果工具可以跑的话，当你一下跑出了100多个表和库的时候，你可以用此语句快速判断像后台的登陆密码在哪个表中。

类似的语句还有●' union select sum(id) from bbsuser--●这样的来确定列名的类型。

★
值得注意的是我在f.asp中用到的语句是●select * from bbsuser where password='"&request("password")&"'"●，所以我在每个注入语句中前边都写了个单引号，是为了打破sql语句中的引号限制，实际注入的时候，你可以去掉单引号，直接用注入语句来试一下。
★

三、巧妙union查循直接进后台

应当最有创意的地方就在这里了，我拿一个网站来做实地测试，然后再讲一下原理。网站页面如图5所示。我在email框内写入1'union select 1--的时候，密码我任意写，结果如图6所示。暴出路径是它网站做的设置不好，与注入语句关系不大；它的主要意思是说包含 union 运算符的 SQL 语句中的所有查询都必须在目标列表中具有相同数目的表达式。那么好，我就依个加1，当我试到'union select 1，1，1，1--的时候，密码我还是任意写，竟然直接进后台了，如图7所示。


为什么会是这样，我们回到e.asp和f.asp来做测试，我在图8所示内的文本框中添入了和前表名相等的1的个数（' union select 1,1,1--）后，可以看到图9所示的界面。图9中我们可以看到f.asp中语句中的●response.write rs2.recordcount●值是1，查循语句是●select * from bbsuser where password='' union select 1,1,1--'●，执行后得到的结果是●id=1、username=1、password=1●，是把union select 1,1,1中的1，1，1直接当作了数据库的一条记录了，所以我们通过了，进入后台了。当然这也要看源程序的具体写法了，像eof、end eof等的判断。


聪明的读者要问了，你这时只是用了一个假的密码，如果你用你原来的12345这个密码再来union查循呢？ 那好，我写入12345 'union select 1,1,1--，如图10所示，看一下结果，如图11，由于前后的列名类型不符，竟然把username的值暴出来了。


那么我们让它相符，写入12345 'union select '1','1','1'--，得到的结果如图12所示，嘿嘿，数据库里竟然多了一条记录。f.asp中语句中的●response.write rs2.recordcount●值是2了。

这个方法在你无法破解md5的时候是很有用的，或也省去了用工具猜后台密码的时间。

★
值得注意的是，我只是在mssql中测试过，e.asp和f.asp都是针对mssql版的，access未试。