网络安全系列之八 Cookie注入（注入中转）

在前面的几篇博文中，我们已经成功拿下了南方数据2.0的模板网站，接下来我们将目标网站换成南方数据5.0模板，下载地址：http://down.51cto.com/data/553330 。实验环境跟之前一样，目标服务器IP地址192.168.80.129，黑客主机IP地址192.168.80.128。
首先我们仍是找一个有参数传递的页面，在URL后面加上“and 1=2”进行测试，可以发现这些常用的sql注入命令已经被过滤掉了。



这里我们可以使用一种更为高级的注入方式——cookie注入。cookie注入其原理也和平时的注入一样，只是将参数以cookie的方式提交，而一般的注入我们大都是使用get方式提交，get方式提交就是直接在网址后面加上需要注入的语句。
下面我们借助于工具sqlHelper来进行cookie注入，下载地址http://down.51cto.com/data/1881323 。
首先将存在有参数传递的页面完全打开，并将url复制下来：http://192.168.80.129/shownews.asp?id=15。
运行sqlHelper中的“注入中转”工具，选择“cookie注入”，并按下图的格式进行填写。注意“post提交值”一定要用默认的“jmdcw=”，后面的“15”就是刚才所打开的网页所传送的参数值。



设置好之后，点击“生成ASP”，此时会在sqlHelper软件目录下生成两个asp网页文件jmCook.asp、jmPost.asp。



下面我们在黑客主机上也安装小旋风ASPWeb服务器搭建一个Web环境，并将jmCook.asp和jmPost.asp这两个文件复制到网站主目录wwwroot中。
打开浏览器，在地址栏中输入“127.0.0.1/jmCook.asp?jmdcw=15”来访问刚才所生成的网页，此时就在本地打开了之前曾访问的那个页面。



在这个页面中，我们就可以使用之前的那些注入语句来实现注入了。
为了简化操作，我们也可以利用明小子之类的工具来快速注入。将地址“127.0.0.1/jmCook.asp?jmdcw=15”复制到明小子的SQL注入菜解检测中，很快就能爆出管理员账号以及密码。



可以发现admin的密码仍然是“3acdbb255b45d296”，也就是0791idc。
在地址栏中输入“http://192.168.80.129/admin/Login.asp”登录网站后台，可以看到网站虽然安全性有所增强，但数据库备份的漏洞仍然存在。
我们仍是先将webshell以图片的形式上传，得到路径“http://192.168.80.129/UploadFiles/20141011145142292.jpg”，然后在数据库备份中指定所上传的图片路径，并将备份后的文件后缀更改为.asp，这样就又成功上传了WebShell。



后续就又是提权的过程，具体操作可参考之前的博文。