本文詳細講述了 sql注入的原理及防范技巧，目的是讓初學者利用SQL注入技術來解決他們面臨的問題, 成功的使用它們,并在這種攻擊中保護自己。希望能對大家有所幫助。

一、 介紹

　　當一臺機器只打開了80端口, 你最依賴的漏洞掃描器也不能返回任何有用的內(nèi)容, 并且你知道管理員經(jīng)常為機器打補丁, 我們就不得不使用web攻擊方式了. SQL注入是web攻擊的一種類型 ,這種方式只需要開放80端口就夠了并且即使管理員打了全部的補丁也能工作. 它攻擊的目標是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服務器或系統(tǒng)上運行的服務.

　　本文不介紹任何新的東西, SQL注入已經(jīng)被廣泛的討論和使用. 我們寫這篇文章目的是因為我們想要使用SQL注入進行一些演練測試,希望這個能對各位有用. 你可以在這里找到一兩個竅門但是請你關注下"9.0 哪里有更多的信息?" 可以得到關于SQL注入更多，更深入的技術.

　　1.什么是SQL注入：

　　通過網(wǎng)頁的輸入項來注入SQL查詢或命令是一種技巧。許多網(wǎng)頁會從用戶那里獲取參數(shù)，并構建SQL查詢來訪問數(shù)據(jù)庫。以用戶登錄為例，頁面收集用戶名和密碼然后構建SQL去查詢數(shù)據(jù)庫，來校驗用戶名和密碼的有效性。通過SQL注入，我們可以發(fā)送經(jīng)過精心編造的用戶名和/或密碼字段，來改變SQL查詢語句并賦予 我們其它一些權限。

　　2.你需要什么：

　　任意web瀏覽器。

二、 你應該尋找什么

　　嘗試尋找那些允許你提交數(shù)據(jù)的頁面，即: 登錄頁面，查詢頁面，反饋信息等等。有時，HTML頁面會用POST命令來把參數(shù)發(fā)送到另外一個ASP頁面上去。那么，你可能在URL中看不到參數(shù)。不過，你可以查看頁面的HTML源代碼，查找"FORM"標簽。你會在一些HTML源代碼中看到類似下面的東東:

　　位于<FORM>和</FORM>之間的所有內(nèi)容都可能暗含著有用的參數(shù)(利用你的智慧)。

　　2.1 如果你找不到任何帶有輸入框的頁面怎么辦?

　　你應該尋找諸如ASP, JSP, CGI, 或 PHP這樣的頁面。尤其要找那些攜帶有參數(shù)的 URL，比如:

三、如何測試它是否是易受攻擊的

1.從一個單引號技巧開始。輸入類似這樣的內(nèi)容:

　　到登錄頁面中，或者密碼中，甚至直接在URL中。例如:

　　假如你必須在一個hidden字段中來這樣做，就把HTML源代碼下載下來，保存到硬盤上，修改URL和相應的 hidden字段。例如:

　　如果夠幸運，不需要任何用戶名和密碼你就可以登錄。

2.為什么是 ' or 1=1--

　　讓我們通過另外一個例子來展示' or 1=1-- 的重要性。除了能繞過“登錄”驗證，它還能展示一些在正常情況下很難看到的額外信息。假設，有一個ASP頁面，其功能是將我們導航到下面的URL：

　　在URL中，'category'是變量名；food是賦給變量的值。為了完成導航功能，我們猜想ASP頁面應該包含下面的代碼（這些代碼是我們?yōu)榱送瓿纱藴y試而編寫的真實代碼）：

　　如上所示，變量v_cat獲取了參數(shù)category的值，SQL語句將變成：

　　該SQL語句將返回符合where條件的的結果集。在本例中，where條件是PCategory='food' 。

　　下面，假設我們將URL改成下面的形式：

　　現(xiàn)在，變量v_cat等于"food' or 1=1-- "。將變量v_cat在SQL中進行替換，我們將得到下面語句：

　　該語句將得到product表中所有記錄，無論PCategory是否等于'food'。“--”告訴MS SQL server忽略其后面的所有內(nèi)容（筆者注：其實可以理解為注釋，“--”后面所有的內(nèi)容都為注釋），方便我們處理單引號。在某些情況下，"--"可以被替換成”#“。

　　如果后臺的數(shù)據(jù)庫不是SQL Server，查詢語句的單引號就不能被忽略。在這種情況下，我們可以嘗試下面的查詢條件：

　　此時，SQL語句將變成：

　　根據(jù)真實的SQL語句，我們還可以嘗試以下各種變形：

四、如何通過SQL注入來進行遠程執(zhí)行

　　能夠注入SQL命名通常意味著我們可以隨意執(zhí)行任何SQL查詢。默認安裝的MS SQL 服務是作為SYSTEM來運行的， 它相當于 Windows系統(tǒng)中的Administrator。我們可以利用存儲過程，比如master..xp_cmdshell 來進行遠程執(zhí)行:

　　如果單引號(')不管用，可以試試雙引號 (")。

　　分號會終止當前的SQL查詢，這就允許你開始一個新的SQL命名。要驗證命令是否執(zhí)行成功，你需要監(jiān)聽來自10.10.1.2的 ICMP數(shù)據(jù)包，檢查是否收到來自服務器的數(shù)據(jù)包:

　　如果你沒有收到任何來自服務器的ping請求，并且收到了暗示許可錯誤的信息，則有可能是管理員限制了Web用戶對存儲過程的訪問。

五、如何獲取SQL查詢的輸出

　　可以通過使用sp_makewebtask把你的查詢寫入到HTML:

　　注意這個目標IP的文件夾"share"的共享權限是Everyone.

六、如何從數(shù)據(jù)庫的ODBC錯誤消息中獲取數(shù)據(jù)

　　我們幾乎可以在MS SQL服務器產(chǎn)生的錯誤消息中得到任何我們想要的數(shù)據(jù). 通過類似下面的這個地址:

　　我們將試圖把這個整數(shù)'10'和另外的字符串進行UNION聯(lián)合操作:

　　系統(tǒng)表 INFORMATION_SCHEMA.TABLES 包含了服務器上所有表的信息. 這個TABLE_NAME 字段包含數(shù)據(jù)庫中每個表的字段. 這樣就不存在無此表無此字段的問題了. 看我們的查詢語句:

　　這個語句將會返回數(shù)據(jù)庫中第一個表的名字. 當我們使用這個字符串值和一個數(shù)字'10'進行UNION操作, MS SQL 服務器將會試圖轉換這個字符串(nvarchar)為一個數(shù)字. 這會產(chǎn)生一個錯誤, 因為我們不能把nvarchar類型轉換成數(shù)字. 服務器將會產(chǎn)生以下錯誤信息:

　　這個錯誤消息清楚的告訴我們這個值不能轉換為數(shù)字. 同時呢,里面也包含了數(shù)據(jù)庫中第一個表的名字 ,就是"table1".

　　想獲取下一個表的名字,我們使用下面的語句:

　　我們也可以使用LIKE關鍵詞來搜索數(shù)據(jù):

　　輸出:

　　這個匹配, '%25login%25' 的結果和 %login% 是一樣的在SQL Server服務器中.這樣,我們將得到 匹配的第一個表的名字, "admin_login".

1.如何挖掘到表所有列的名稱

　　我們可以使用另一個非常有用的表INFORMATION_SCHEMA.COLUMNS 來標出某一個的表所有列名:

　　輸出:

　　注意錯誤提示,里面已經(jīng)包含了第一個列名, 下面我們使用NOT IN ()來取得下一個列的名稱:

　　輸出:

　　按上面的步驟繼續(xù)下一個,我們就能獲得剩下的所有列的名稱, 即"password", "details"等列. 當我們得到下面的這個錯誤提示時,就表示我們已經(jīng)找出所有的列名了.

　　輸出:

2.如何檢索到我們想要的數(shù)據(jù)

　　現(xiàn)在我們已經(jīng)確認了一些重要的表，以及它們的列名,我們可以用同樣的技巧從數(shù)據(jù)庫中挖掘任何我們想要的信息.

　　現(xiàn)在,讓我們從這個"admin_login"表中得到第一個login_name的值吧:

　　輸出:

　　根據(jù)上面的錯誤提示我們知道這里有一個管理員的登錄名是"neo".下面,我們從數(shù)據(jù)庫中到"neo"的密碼:

　　密碼就在錯誤提示里了,現(xiàn)在讓我們用"neo"和密碼"m4trix"登錄試試吧.

3.如何獲取數(shù)字型字符串的值

　　上面所述的技術具有局限性。在我們試圖轉換包含有效數(shù)字（即只是0-9之間的字符）的時候，我們沒有得到任何錯誤信息。讓我們試著獲取"trinity"的密碼"31173":

　　我們可能得到"此頁面不存在“的錯誤。原因在于：在于整數(shù)（這時是10）聯(lián)接之前，密碼"31173"將轉換為一個數(shù)字。由于這是一個有效地聯(lián)接（UNION）語句，因此SQL Server不會拋出ODBC錯誤信息，因此我們將不能獲取到任何數(shù)字型的項。

　　為了解決這個問題，我們給數(shù)字型字符串后面提交一些字母，這樣可以確保轉換失效。讓我們看看下面這個查詢：

　　我們只是給我們需要的密碼文本后添加了加號（+）。（“+”的ASCII編碼是0x2b）。我們將給真正的密碼后添加“（空格）休眠符“。因此，即使我們有一個字符型字符串”31173“，它最終將變?yōu)?rdquo;31173休眠符“。通過手工調(diào)用convert()函數(shù)試圖把“31173休眠符“轉換為整數(shù)時，SQL Server拋出ODBC錯誤信息：

　　現(xiàn)在，你就可以使用密碼為"31173"的"trinity"用戶登陸了。

七、如何向數(shù)據(jù)庫中更新或插入數(shù)據(jù)

　　當我們成功的獲取到一張表的所有字段名后，我們就有可能UPDATE甚至INSERT一條新記錄到該表中。例如，修改"neo"的密碼:

　　下面INSERT一條新記錄到數(shù)據(jù)庫中:

　　現(xiàn)在我們可以用用戶名"neo2"和密碼"newpas5"來登錄了。

八、如何避免SQL注入

　　過濾參數(shù)中的單引號、雙引號、斜杠、反斜杠、分號等字符；以及NULL、回車符、換行符等擴展字符。這些參數(shù)可能來自于：

前臺表單（form）中的用戶輸入
URL中的參數(shù)
cookie
　　對于數(shù)字，在將其傳入SQL語句之前將其從字符串(String)轉換成數(shù)字(Number)；或者用ISNUMERIC函數(shù)確定其確實是數(shù)字。

　　將SQL Server的運行用戶修改為低權限用戶（low privilege user)。

　　刪除不再需要的存儲過程，例如：master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask

最新評論