SQL注入攻擊入門介紹

2015-01-10 20:44:00
admin
原創
1861
摘要:現今為止,網上大量充斥的黑客攻擊以SQL注入居多,只有學好攻擊的原理,才能更好的防范。

服務器安全管理員和攻擊者的戰爭仿佛永遠沒有停止的時候,針對國內網站的 ASP 架構的 SQL 注入攻擊又開始大行其道。本篇文章通過 SQL 注入攻擊原理引出 SQL 注入攻擊的實施方法,旨在企業安全管理員能夠通過技術學習提升自己的安全意識。

 

第一節、 SQL 注入原理

 

以下我們從一個網 www.kdorbw.live 開始(注:都是假的)。

 

在網站首頁上,有名為“ IE 不能打開新窗口的多種解決方法”的鏈接,地址為: http://www.kdorbw.live/showdetail.asp?id=49 ,我們在這個地址后面加上單引號’,服務器會返回下面的錯誤提示:

 

Microsoft JETDatabase Engine 錯誤 '80040e14'

 

字符串的語法錯誤 在查詢表達式 'ID=49'' 中。

 

/showdetail.asp ,行 8

 

從這個錯誤提示我們能看出下面幾點:

 

1. 網站使用的是 Access 數據庫,通過 JET 引擎連接數據庫,而不是通過 ODBC

 

2. 程序沒有判斷客戶端提交的數據是否符合程序要求。

 

3. SQL 語句所查詢的表中有一名為 ID 的字段。

 

從上面的例子我們可以知道, SQL 注入的原理,就是從客戶端提交特殊的代碼,從而收集程序及服務器的信息,從而獲取你想到得到的資料。

 

第二節、判斷能否進行 SQL 注入

 

看完第一節,有一些人會覺得:我也是經常這樣測試能否注入的,這不是很簡單嗎?

 

其實,這并不是最好的方法,為什么呢?

 

首先,不一定每臺服務器的 IIS 都返回具體錯誤提示給客戶端,如果程序中加了 cint( 參數 ) 之類語句的話, SQL 注入是不會成功的,但服務器同樣會報錯,具體提示信息為處理 URL 時服務器上出錯。請和系統管理員聯絡。

 

其次,部分對 SQL 注入有一點了解的程序員,認為只要把單引號過濾掉就安全了,這種情況不為少數,如果你用單引號測試,是測不到注入點的

 

那么,什么樣的測試方法才是比較準確呢?答案如下:

 

http://www.kdorbw.live/showdetail.asp?id=49

 

http://www.kdorbw.live/showdetail.asp?id=49 ;and 1=1

 

http://www.kdorbw.live/showdetail.asp?id=49 ;and 1=2

 

這就是經典的 1=1 1=2 測試法了,怎么判斷呢?看看上面三個網址返回的結果就知道了:

 

可以注入的表現:

 

正常顯示(這是必然的,不然就是程序有錯誤了)

 

正常顯示,內容基本與①相同

 

提示 BOF EOF (程序沒做任何判斷時)、或提示找不到記錄(判斷了 rs.eof 時)、或顯示內容為空(程序加了 on error resume next

 

不可以注入就比較容易判斷了,①同樣正常顯示,②和③一般都會有程序定義的錯誤提示,或提示類型轉換時出錯。

 

當然,這只是傳入參數是數字型的時候用的判斷方法,實際應用的時候會有字符型和搜索型參數,我將在中級篇的“ SQL 注入一般步驟”再做分析。

 

第三節、判斷數據庫類型及注入方法

 

不同的數據庫的函數、注入方法都是有差異的,所以在注入之前,我們還要判斷一下數據庫的類型。一般 ASP 最常搭配的數據庫是 Access SQLServer ,網上超過 99% 的網站都是其中之一。

 

怎么讓程序告訴你它使用的什么數據庫呢?來看看:

 

SQLServer 有一些系統變量,如果服務器 IIS 提示沒關閉,并且 SQLServer 返回錯誤提示的話,那可以直接從出錯信息獲取,方法如下:

 

http://www.kdorbw.live/showdetail.asp?id=49;and user>0

 

這句語句很簡單,但卻包含了 SQLServer 特有注入方法的精髓,我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義:首先,前面的語句是正常的,重點在 and user>0 ,我們知道, user SQLServer 的一個內置變量,它的值是當前連接的用戶名,類型為 nvarchar 。拿一個 nvarchar 的值跟 int 的數 0 比較,系統會先試圖將 nvarchar 的值轉成 int 型,當然,轉的過程中肯定會出錯, SQLServer 的出錯提示是:將 nvarchar abc 轉換數據類型為 int 的列時發生語法錯誤,呵呵, abc 正是變量 user 的值,這樣,不廢吹灰之力就拿到了數據庫的用戶名。在以后的篇幅里,大家會看到很多用這種方法的語句。

 

順便說幾句,眾所周知, SQLServer 的用戶 sa 是個等同 Adminstrators 權限的角色,拿到了 sa 權限,幾乎肯定可以拿到主機的 Administrator 了。上面的方法可以很方便的測試出是否是用 sa 登錄,要注意的是:如果是 sa 登錄,提示是將” dbo ”轉換成 int 的列發生錯誤,而不是” sa ”。

 

如果服務器 IIS 不允許返回錯誤提示,那怎么判斷數據庫類型呢?我們可以從 Access SQLServer 和區別入手, Access SQLServer 都有自己的系統表,比如存放數據庫中所有對象的表, Access 是在系統表 [msysobjects] 中,但在 Web 環境下讀該表會提示“沒有權限”, SQLServer 是在表 [sysobjects] 中,在 Web 環境下可正常讀取。

 

在確認可以注入的情況下,使用下面的語句:

 

http://www.kdorbw.live/showdetail.asp?id=49;and (select count(*) from sysobjects)>0

 

http://www.kdorbw.live/showdetail.asp?id=49;and (select count(*) from msysobjects)>0

 

如果數據庫是 SQLServer ,那么第一個網址的頁面與原頁面 http://www.kdorbw.live/showdetail.asp?id= 49 是大致相同的;而第二個網址,由于找不到表 msysobjects ,會提示出錯,就算程序有容錯處理,頁面也與原頁面完全不同。


  如果數據庫用的是 Access ,那么情況就有所不同,第一個網址的頁面與原頁面完全不同;第二個網址,則視乎數據庫設置是否允許讀該系統表,一般來說是不允許的,所以與原網址也是完全不同。大多數情況下,用第一個網址就可以得知系統所用的數據庫類型,第二個網址只作為開啟 IIS 錯誤提示時的驗證。

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富