第一节SQL注入的一般步骤
首先判断环境寻找注入点判断数据库类型这在入门篇已经讲过了
其次根据注入参数类型在脑海中重构SQL语句的原貌按参数类型主要分为下面三种
(A)ID= 这类注入的参数是数字型SQL语句原貌大致如下
Select * from 表名 where 字段=
注入的参数为ID= And [查询条件]即是生成语句
Select * from 表名 where 字段= And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型SQL语句原貌大致概如下
Select * from 表名 where 字段=连续剧
注入的参数为Class=连续剧 and [查询条件] and = 即是生成语句
Select * from 表名 where 字段=连续剧 and [查询条件] and =
(C) 搜索时没过滤参数的如keyword=关键字SQL语句原貌大致如下
Select * from 表名 where 字段like %关键字%
注入的参数为keyword= and [查询条件] and %= 即是生成语句
Select * from 表名 where字段like % and [查询条件] and %=%
接着将查询条件替换成SQL语句猜解表名例如
ID= And (Select Count(*) from Admin)>=
如果页面就与ID=的相同说明附加条件成立即表Admin存在反之即不存在(请牢记这种方法)如此循环直至猜到表名为止
表名猜出来后将Count(*)替换成Count(字段名)用同样的原理猜解字段名
有人会说这里有一些偶然的成分如果表名起得很复杂没规律的那根本就没得玩下去了说得很对这世界根本就不存在%成功的黑客技术苍蝇不叮无缝的蛋无论多技术多高深的黑客都是因为别人的程序写得不严密或使用者保密意识不够才有得下手
有点跑题了话说回来对于SQLServer的库还是有办法让程序告诉我们表名及字段名的我们在高级篇中会做介绍
最后在表名和列名猜解成功后再使用SQL语句得出字段的值下面介绍一种最常用的方法-Ascii逐字解码法虽然这种方法速度很慢但肯定是可行的方法
我们举个例子已知表Admin中存在username字段首先我们取第一条记录测试长度
?id= and (select top len(username) from Admin)>
先说明原理如果top 的username长度大于则条件成立接着就是>>>这样测试下去一直到条件不成立为止比如>成立>不成立就是len(username)=
当然没人会笨得从一个个测试怎么样才比较快就看各自发挥了在得到username的长度后用mid(usernameN)截取第N位字符再asc(mid(usernameN))得到ASCII码比如
id= and (select top asc(mid(username)) from Admin)>
同样也是用逐步缩小范围的方法得到第位字符的ASCII码注意的是英文和数字的ASCII码在之间可以用折半法加速猜解如果写成程序测试效率会有极大的提高
第二节SQL注入常用函数
有SQL语言基础的人在SQL注入的时候成功率比不熟悉的人高很多我们有必要提高一下自己的SQL水平特别是一些常用的函数及命令
Accessasc(字符)SQLServerunicode(字符)
作用返回某字符的ASCII码
Accesschr(数字)SQLServernchar(数字)
作用与asc相反根据ASCII码返回字符
Accessmid(字符串NL)SQLServersubstring(字符串NL)
作用返回字符串从N个字符起长度为L的子字符串即N到N+L之间的字符串
Accessabc(数字)SQLServerabc (数字)
作用返回数字的绝对值(在猜解汉字的时候会用到)
AccessA between B And CSQLServerA between B And C
作用判断A是否界于B与C之间
第三节中文处理方法
在注入中碰到中文字符是常有的事有些人一碰到中文字符就想打退堂鼓了其实只要对中文的编码有所了解中文恐惧症很快可以克服
先说一点常识
Access中中文的ASCII码可能会出现负数取出该负数后用abs()取绝对值汉字字符不变
SQLServer中中文的ASCII为正数但由于是UNICODE的双位编码不能用函数ascii()取得ASCII码必须用函数unicode ()返回unicode值再用nchar函数取得对应的中文字符
了解了上面的两点后是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意猜解范围大一点外方法是没什么两样的
