设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:SecYe > 网络安全 > Web安全 > 正文

cookie注入&中转注入笔记

时间:2012-07-23 20:23 来源:未知 作者:www.secye.com 阅读:

ASP脚本中,Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合

名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,cookies是保存在客户端计算机的一

个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.

我们首先还是来看看中网景论坛的最新版本"(CNKBBS2007)中网景论坛2007v5.0 "官方下载地址"http://www.cnetking.com/websys2.asp?id=26"发布时间是2007-06-06,打开系统的源代码后,

在"user_RxMsg_detail.asp"文件中,有如下代码:

(调用opendb.asp文件)

(调用fzr.asp文件)

..................

以现它是连接数据库的文件,其中调用了fzr.asp文件,我们再打开fzr.asp文件

<%

\'--------版权说明------------------

\'SQL通用防注入程序

\'Aseanleung

\'--------定义部份------------------

Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr

Dim fso1,all_tree2,file1,files,filez,fs1,zruserip

If Request.QueryString<>"" Then (对Request.QueryString提交(客户采用GET方式提交)的数据进行判断,并没有指明对其它方式提交的数据进行判断)

\'自定义需要过滤的字串,用"|" 分隔

Fy_In = "\'|;|%|*|and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare|script" (阻止了常用的SQL注入的语句)

Fy_Inf = split(Fy_In,"|")

For Each Fy_Get In Request.QueryString

For Fy_Xh=0 To Ubound(Fy_Inf)

If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then

zruserip=Request.ServerVariables("HTTP_X_FORWARDED_FOR")

If zruserip="" Then zruserip=Request.ServerVariables("REMOTE_ADDR")

Response.Write "内容含有非法字符!请不要有\'或and或or等字符,请去掉这些字符再发!!
"

Response.Write "如是要攻击网站,系统记录了你的操作↓
"

Response.Write "操作IP:"&zruserip&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:GET
"

Response.Write "提交参数:"&Fy_Get&"
"

Response.Write "提交数据:"&Request.QueryString(Fy_Get)

......................

很明显的看出它是一个SQL通用防注入程序文件

代码看好了,我们来整理下思路:由于程序员的出错,导致了id没有被过滤就被带到SQL语句中查询,这是注入漏洞产生的原因,虽然程序引入了防注入程序,阻止了常用的SQL语句使用,但只对客户采用GET方

式提交的数据进行判断,而没有对其它方式提交的数据进行判断,这样导致了客户可以使用Request.cookie方式来提交变量的值,而绕过了SQL防注入程序(总结下:cookie注入产生的条件:系统直接使

用"request("name")"获取客户提交的数据,并对客户提交的变量没有过滤,而且在防注入程序中没有限制Request.cookie,现在防注入程序3.0只是对客户采用GET和POST提交方式进行了限制).

原理讲好了,下面我们来学学coolie注入语句吧

cookies的注入语句:javascript:alert(document.cookie="id="+escape("这就是asp? id=xx后面xx代表的数值) and (这里是注入攻击代码)"));

举例:

例:

http://www.2cto.com /view.asp?id=189

先访问http://xxxx/view.asp?id=189

接着在浏览器里输入:

javascript:alert(document.cookie="id="+escape("189 and 1=1"))

再访问http://xxxx/view.asp(未出错)

再输入:javascript:alert(document.cookie="id="+escape("189 and 1=2"))

再访问:http://xxxx/view.asp(出错)

该页面出错就表示可以用Cookie注入。

=======================================================================

1:"alert()"显示信息对话框的alert()方法,它生成的是一个独立的小窗口,称作对话框,用来显示一条信息和一个按钮.(我们在跨站中常用到)

2:"document.cookie"我们在处理cookie时,javascript将它保存为document对象的一个属性,其属性名称是cookie,利用这个属性,我们可以创建和读取cookie数据,在程序中可以使用:"alert

(document.cookie)"调用当前页面的cookie数据项值.在我们启动浏览器打开页面后,如果存在相应的cookie,那么它被装入到document对象的cookie属性中,document.cookie属性采用name=value对应方式

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%