计算机安全技术TOOLS教程课件6.1.1 实例：注入攻击MS SQL Server.docVIP

6.1.1 实例：注入攻击MS SQL Server 本节要注入的网站如图6-1所示，由于只是为了介绍注入网站的方法，并未实质入侵该网站，同时也是为了对该网站保密，因此在后面的截图中隐藏了该网站的相关信息。 图6-1 被注入网站的首页 图6-1显示的是要被注入网站的首页，将鼠标放在“我院召开‘平安奥运’工作部署会”上，在状态栏显示其URL是/detail.asp?productid=392。看到URL中有类似“detail.asp?productid”这样的信息，就可以猜测该网站是否存在注入漏洞了。 第1步：加单引号。 如图6.2所示是在浏览器地址栏中/detail.asp?productid=392后面加一个单引号，按Enter键后，服务器返回的错误提示。 图6.2 加单引号 第2步：测试“and 1=1”。如图6.3所示，在浏览器地址栏中/ detail.asp? productid=392后面加“and 1=1”，按Enter键后，服务器返回到正常页面。 图6.3 测试“and 1=1” 第3步：测试“and 1=2”。如图6.4所示，在浏览器地址栏中/ detail.asp?productid=392后面加“and 1=2”，按Enter键后，服务器返回错误提示。 图6.4 测试“and 1=2” 如果一个网站不可以被注入，那么：第2步和第3步都会显示错误提示。 第4步：判断数据库类型。 如图6.5所示，在浏览器地址栏中/detail.asp?productid=392后面加“and user0”，按Enter键后，服务器返回错误提示，可知是SQL Server数据库。 图6.5 测试“and user0” 如果是SQL Server数据库，那么该网址显示的页面与“/detail.asp? productid=392”是一样的，如图6.6所示。 使用下面的语句： /detail.asp?productid=392 and (select count(*) from msysobjects)0 如果是SQL Server数据库，由于找不到表msysobjects，服务器会返回错误提示“对象名msysobjects无效。”，如图6.7所示，如果Web程序有容错能力，那么服务器返回页面也与原页面不同。 使用下面的语句： /ReadNews.asp?NewsID=294 and (select count(*) from msysobjects)0，如图6.8所示，服务器会返回错误提示“不能读取记录；在msysobjects上没有读取数据权限。”，说明是SQL Server数据库。 使用下面的语句： /ReadNews.asp?NewsID=294 and (select count(*) from sysobjects)0，如图6.9所示，服务器会返回错误提示。 第5步：猜测表名。图6.8和图6.9是基于网站进行的测试。 如图6.10所示，在浏览器地址栏中/detail.asp?productid=392后面加“and (select count(*) from admin)=0”，按Enter键后，服务器返回错误提示，说明不存在“admin”表。 图6.10 猜测表名失败 继续猜测表名，如图6.11所示，在/detail.asp?productid=392后面加“and (select count(*) from adminuser)=0”，返回正常页面，说明存在“adminuser”表，猜测成功。 注意，猜测表名时也可以使用如下形式： /detail.asp?productid=392 and exists(select * from admin) /detail.asp?productid=392 and exists(select * from adminuser) 第6步：猜测字段名（用户名和密码字段）。 猜出表名以后，将count（*）替换成count（字段名），用同样的方法猜解字段名。 如图6.12所示，在浏览器地址栏中/detail.asp?productid=392后面加“and exists (select count(name) from adminuser)=0”，按Enter键后，服务器返回错误提示，说明不存在“name”用户名字段。 图6.12 猜测用户名字段名失败 继续猜测用户名字段名，如图6.13所示，在/detail.asp?productid=392后面加“and (select count(admin_name) from adminuser)=0”，返回正常页面，说明存在“admin_name”用户名字段名，猜测成功。 然后猜测密码字段名： 假设/detail.asp?