SQL工具注入指导书.docVIP

SQL Server数据库工具注入 一、实验目的 通过工具注入，获得网站管理权限 了解SQL注入的基本原理。 了解注入工具的各种常用子功能。 二、实验要求 认真阅读和掌握本实验相关的知识点。 上机实现软件的基本操作。 得到实验结果，并加以分析生成实验报告。 注：因为实验所选取的软件版本不同，学生要有举一反三的能力，通过对该软件的使用能掌握运行其他版本或类似软件的方法。 实验步骤 1、找到有注入漏洞的目标网站 在本实验中预先配置好一个目标网站（某新闻发布系统）， 点击“检测”开始进行SQL注入检测，检测结果如下图： 图3 注入漏洞信息 从检测结果可以看出，“检测表段”的按钮变为可用，表示有注入的可能，在数据库的类型中，判断为MSSQL数据库显错模式，即网页会显示错误信息，有经验的攻击者可以根据故意制造错误的SQL语句，通过错误信息，得到更多的信息。如下图： 图4 检测漏洞出错界面 此外，结果还显示了数据库名称，当前使用的用户权限以及用户名等信息，这些信息都为进一步攻击提供了有力的帮助。 3.猜测表段名 点击“检测表段”，将自动检测可能得表段名。结果如下图： 图5 检测表名 猜测字段名： 攻击者根据从表段名中检测出来的表段，根据自己的需要选择需要猜测的表，并开始检测字段。本例中，目的是为获取管理员权限，因此选择admin表来猜测字段。猜测字段名，同样点击“检测字段”，如下图：