当前位置: 首页 > 图文教程 > 数据库 > MSSQL > SQL注入不完全思路与防注入程序

MSSQL
在SQL Server 2005数据库中更改数据架构
建立适当的索引是实现查询优化的首要前提
巧用一条SQL 实现其它进制到十进制转换
处理SQL Server 2000的命名实例和多实例
解析:怎样掌握SQL Server中的数据查询
教你轻松掌握常用的子句、关键词和函数
如何获取SQL Server数据库元数据的方法
分析SQL Server中数据库的快照工作原理
汇总数据库备份 还原 压缩与数据库转移的方法
完全讲解 使用MSCS建立SQL Server集群
SQL Server 2005 内置工具建审查系统
在SQL Server计算机上运行病毒扫描软件
教你如何升级SQL Server数据库系统
SQL Server中处理空值时涉及的三问题
教你为SQL Server数据库构造安全门
在SQL Server中编写通用数据访问方法
针对SQL Server中业务规则链接的分析
运行SQL Server的计算机间移动数据库
怎样在不同版本SQL Server中存储数据
认识那些被忽略的SQL Server注入技巧

MSSQL 中的 SQL注入不完全思路与防注入程序


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 101 ::
收藏到网摘: n/a

 

  <一>SQL注入简介

  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  <二>SQL注入思路

  思路最重要。其实好多人都不知道SQL到底能做什么呢?这里总结一下SQL注入入侵的总体的思路:

  1. SQL注入漏洞的判断,即寻找注入点

  2. 判断后台数据库类型

  3. 确定XP_CMDSHELL可执行情况;若当前连接数据的帐号具有SA权限,且master.dbo.xp_cmdshell扩展存储过程(调用此存储过程可以直接使用操作系统的shell)能够正确执行,则整个计算机可以通过几种方法完全控制,也就完成了整个注入过程,否则继续:

  1. 发现WEB虚拟目录

  2. 上传ASP木马;

  3. 得到管理员权限

  具体步骤:

  一、SQL注入漏洞的判断

  如果以前没玩过注入,请把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。

  为了把问题说明清楚,以下以HTTP://www.163.com/news.asp?id=xx(这个地址是假想的),为例进行分析,xx可能是整型,也有可能是字符串。

  1、整型参数的判断

  当输入的参数xx为整型时,通常news.asp中SQL语句原貌大致如下:

select * from 表名 where 字段=xx,所以可以用以下步骤测试SQL注入是否存在。

  最简单的判断方法

HTTP://www.163.com/news.asp?id=xx’(附加一个单引号),

  此时news.asp中的SQL语句变成了

select * from 表名 where 字段=xx’,

  如果程序没有过滤好“’”的话,就会提示 news.asp运行异常;但这样的方法虽然很简单,但并不是最好的,因为:

  first,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。

  second,目前大多数程序员已经将“’“ 过滤掉,所以用” ’”测试不到注入点,所以一般使用经典的1=1和1=2测试方法,见下文:

HTTP://www.163.com/news.asp?id=xx and 1=1, news.asp运行正常,

  而且与HTTP://www.163.com/news.asp?id=xx运行结果相同;

HTTP://www.163.com/news.asp?id=xx and 1=2, news.asp运行异常;(这就是经典的 1=1 1=2 判断方法)

  如果以上面满足,news.asp中就会存在SQL注入漏洞,反之则可能不能注入。

  2、字符串型参数的判断

  方法与数值型参数判断方法基本相同

  当输入的参数xx为字符串时,通常news.asp中SQL语句原貌大致如下:

select * from 表名 where 字段='xx',所以可以用以下步骤测试SQL注入是否存在。

HTTP://www.163.com/news.asp?id=xx’(附加一个单引号),此时news.asp中的SQL语句变成了
select * from 表名 where 字段=xx’,news.asp运行异常;
HTTP://www.163.com/news.asp?id=xx and &#39;1'='1', news.asp运行正常,

  而且与HTTP://www.163.com/news.asp?id=xx运行结果相同;

HTTP://www.163.com/news.asp?id=xx and &#39;1'='2', news.asp运行异常;

  如果以上满足,则news.asp存在SQL注入漏洞,反之则不能注入

  3、特殊情况的处理

  有时ASP程序员会在程序员过滤掉单引号等字符,以防止SQL注入。此时可以用以下几种方法试一试。

  ①大小定混合法:由于VBS并不区分大小写,而程序员在过滤时通常要么全部过滤大写字符串,要么全部过滤小写字符串,而大小写混合往往会被忽视。如用SelecT代替select,SELECT等;

  ②UNICODE法:在IIS中,以UNICODE字符集实现国际化,我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B,空格=%20 等;URLEncode信息参见附件一;

  ③ASCII码法:可以把输入的部分或全部字符全部

  <4>出了上述方法以外,还有个更简单的方法就是使用现成的工具像NB联盟的NBSI就是一款很不错的工具,目前最新的版本为2.2

  二、判断数据库类型

  不同的数据库的函数、注入方法都是有差异的,所以在注入之前,我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer,网上超过99%的网站都是其中之一。

  怎么让程序告诉你它使用的什么数据库呢?来看看:

  SQLServer有一些系统变量,如果服务器IIS提示没关闭,并且SQLServer返回错误提示的话,那可以直接从出错信息获取,方法如下:
HTTP://www.163.com/news.asp?id=xx;and user>0

  这句语句很简单,但却包含了SQLServer特有注入方法的精髓,我自己也是在一次无意的测试中发现这种效率极高的猜解方法。