一次很“邪恶”的投票网站安全 -电脑资料

    author:Blackhumor

    team:[B.H.S.T]

    Blog:http://hi.baidu.com/admi520

    文章没有技术含量，也不怎么成功，只是过程还是蛮曲折，想了N久决定还是发出来，希望对比我还菜的菜菜有帮助，

一次很“邪恶”的投票网站安全

    这几天经常收到辅导员的短信还有QQ消息叫我们去一个网址给我们学校参加xxxx歌手大赛的XX同学投票，让人心烦着呢，这不，在班级群里又发出来了，今天有空了就打开看看，

    一看这同学貌似见过，地震期间同学们都困在学校里他还为我们表演了N多节目，歌唱得非常棒！于是呢就去顶了，投票呀留言什么的，可是人气还是不够，才XXX票，于是就想刷

    一下票数，这不正好有同学也来给我说这事，我就说试试吧，就想着用用那可怜的十几台肉鸡来刷刷票。二话不说开工，用winsock expert抓包工具打开ie投票页面，然后点击投

    票，查看抓包结果，很走运！没什么可利用的东东，这条路子就断了呵呵，继续找另外方法，点开选手风采栏目，随便点开一个选手，url变成xx.asp?xxx=xxxxx,在后面加个单引

    号'返回不正常页面，

    （图1）

    于是再分别在url后面加上and 1=1f返回正常和and 1=11返回了脚本出错页面，

    （图2）

    还暴出了文件物理路径和表名还有字段名，mssql数据库， 请出啊D

    来扫扫看，dboner权限，我得意的笑~~然后猜表，加了暴出的表名进去也是什么也没猜中，dbo备份一句话木马试了N多工具N次也没连接成功，于是漫长的旁注之旅开始了，，两天

    以来只要一有时间就“工作”，服务器上面十几个站点，cookies注入进了几个其它站后台，都没拿到webshell，有几个后台有ewebeditor的，但默认密码改了，数据库目录也设了

    权限没法下载数据库,唯一一个能进ewebeditor后台，设置样式，添加允许asa格式的图片，预览然后上传asa大马，查看代码后得到大马地址后访问，又是大失所望，目录被限制执

    行脚本，再改上传目录，改成其它目录或者../../跳到跟目录这类，但上传不了，也不行，又遇到一个有mssqlDBO权限注入点的站点，跨库也不行，后台也没拿到webshell,又扫描

    同C段IP，想拿到同C一台服务器来嗅探，先扫描iis 写权限的，找到一个，得到webshell，服务器是win2k iis5.0,不支持fso，不支持.net,php就更不用说了，这下webshell也没

    有用了，同C段没有mssql弱口令，没有FTP弱口令，没有溢出漏洞，开80,8080,的也少，看样子都不想继续了，还是回到目标主站，既然是msssql数据库，只要知道表名，字段名，

    相应的参赛选手ID就可以直接update更新数据库了，就目前只知道表名，singer_user,参赛选手ID：usernumber，继续在站点上面找其他地方看有没有注入点可以爆投票相关字段，可是其他地方也爆不出来，再手工猜一下，url+;update singer_user set piaoshu='1000' where usernumber=08xxxx,08xxxx就是参赛选手号码，看返回页面结果证明字段不存在，再用VB临时编写一个一点都不高级的小工具，

    在文本框中填入常用字段继续进行猜测，

    可惜都没有猜中，郁闷，于是想啊，数据库备份里面有乱码，应该还有数据库、表、字段相关信息，于是再次进行备份到网站目录，不过这次是生成txt文本，然后访问，由于文件太大容易ie卡死，就用迅雷下载到本地，再用记事本打开，

    开始找，这下就辛苦了，找了差不多半小时，终于找到了相关字段，最终是tpph字段才是票数，于是马上url+;update singer_user set tpph='5043' where usernumber='08xxxxxx'刷新一下页面，果然票数5043，名次也上升了，

电脑资料

    兴奋ing~~~,

    不过想想对于其他选手来说就不公平了，心里又过不去，马上又给他改回来，联系到他后问他需要多少票让他们自己改。

    总结：该程序未对浏览者提交的参数进行过滤，导致浏览者可以提交一些危险的sql查询语句对数据库进行修改。