面对近些年网站入侵检测中的"注入"与"旁注”，很多稍有些安全防护意识的网管都都会对自己的网站代码进行敏感代码过滤或增强数据验证等防注措施，以免被黑客轻易得手而导致城池失陷。正所谓有时候是“道高一尺，魔高一丈”，网管做安全维护其实是要高于黑客入侵的难度，或许网站某个细微的地方仅只是存有一丝安全隐患，但最终它带来的后果是极其严重的。今天与大家共享一下这样的网站入侵与检测案例：面对已经做过“防注”处理的网站，黑客是先通过转换代码绕过防注而进行联合查询，然后进行数据库备份，最终拿到了网站的Webshell——他是如何实现的呢?

一、注入被堵，代码给力，得到账号和MD5密码

目标网站的域名是http://www.xxdell.en/(己做过处理，下同)，通过点击网站首页的"产品展示"发现浏览器地址栏的URL是在网站域名之后添加了

图1

"produetshow.asp"，暴露出网站所使用的是ASP。然后再点击第一项产品"XPS 14zd-1l8"得到其链接地址是http://www . xxd ell.en/productshopxp. asp? id = 608，是一项非常标准的注入检测记录形式，直接复制并粘贴到"啊D注入工具"的"SQL注入检测"中，点击"检测"按钮。因为网管已经提前做过了"防注"处理，因此"啊D"要经过快速的扫描之后马上就提示"这个连接不能SQL;注入!请试别的连接!:("(如图1)，貌似注入就成了死路一条?

遭遇了注入失败，黑客陷入沉思一一试试到http://tool.ehinaz.eom/port扫描网站服务器所开放的 端口?还是到http://www.114besLeomlip/进行"同IP站点查询"来尝试旁注呢?或者，用X-Scan工具进行各种漏洞及账号密码的扫描猜解?不过，黑客很快就否定了自己的这些想法，因为链接中的"shopxp"字眼儿令他似乎想到了什么。不错，就是"网上购物系统"，网上还有不少"ShopXP漏洞入侵"之类的人侵教程呢!通过Google搜索，黑客很快就找到了Shopxp曾经有个v8.0的ODay漏洞，可以精心构建字符串来转换代码以绕过防注，然后进行联合查询，从而直接暴出网站的账号和密码!实现方法非常简单，将那串长长的漏洞利用代码(TEXTBOX2.ASP? act ion = mod if y & new s % 6 9 d = 1 22 % 2 0 and % 2 0 1 = 2 % 2 0 u n ion % 2 0 s e lee t % 20 1，2,ad min%2bpassword,4,5,6,7 %20from%20shopxp_ admin)附加在目标网站的域名( http://www. xxdell.en/)之后，放到360浏览器地址中访问，果然，一下就暴出了管理员账号及MD5加密密码：admin58a7696e059flbee(如图2)!账号是最为常见的 "admin"，后面的16位字符串"58a7696e059flbee"就是待破解的MD5密码了。

图2

二、在线破解MD5密码，用"啊D"扫描出后台登录地址

接着，将这个MD5密码"58a 7696e059f1bce"拿到http://www.cmd5.com/在线网站上进行破解，很快就查 询出结果是"cdyckj"，一个强度非常弱的密码。再接着，就应该是到后台登录了，不过后台地址是什么呢?经Google得知:这套网上购物系统所默认的管理后台地址应该是"admin_shopxp/index.asp"，但经过与域名组合成..http://www.xxdell.cn/admin_shopxplindex.asp"进行尝试访问时却吃到了闭门羹，浏览器提示"无法找到该页"。

一定是管理员更改访问路径，此时的黑客又停下了人侵检测的脚步一一拿不到后台登录地址，即使你有账号和密码也是没什么威胁的。不过，既然管理员设置了这样的一个轻易就被破解的MD5密码，说明他的安全防护意识也绝对强不到哪儿去，所以猜解网站后台登录地址的难度应该不是太大!虽然刚才的"啊D"在搜索注入点时表现不太给力，但用来找找后台应该还是有几分把握的。将URL链接粘贴到"管理人口检测"中，很快就出来了，原来是http://www.xxdell.cn/admin/login .asp，无非只是简单地将默认的"_shopxp"取消了而已。复制这个扫出的后台登录 链接并粘贴到浏览器中访问，出现了欢迎界面，将账号、密码和验证码分别输入，点击"管理登陆"按钮，成功进入了后台管理界面(如图3)。

图3