時(shí)間：2008-10-27 16:57 來源：未知 作者：Lovexysky 閱讀：次

SQL注入工具猜解法】

　　普通針對(duì)ACCESS數(shù)據(jù)庫的注入方法確實(shí)很煩，因?yàn)椴陆獗緛砭秃軣┑墓ぷ�，而且這些表段這些字段還要自己手動(dòng)猜解，所以人們想到了用程序去實(shí)現(xiàn)，于是網(wǎng)絡(luò)上出現(xiàn)了不少好的工具，隨著這些工具的出現(xiàn)，使SQL注入更加的容易。這一小節(jié)我們將為大家稍微演示一下SQL注入工具的使用。但是筆者還是想說，作為網(wǎng)絡(luò)安全愛好者，應(yīng)該懂點(diǎn)基礎(chǔ)的原理，會(huì)用工具并不代表你掌握了這個(gè)漏洞。

　　工具：啊D的SQL注入工具

　　檢測對(duì)象：雨點(diǎn)下載系統(tǒng)

　　URL：http://192.168.1.123/yd/

　　我們知道雨點(diǎn)下載系統(tǒng)list.asp view.asp對(duì)id參數(shù)過濾不嚴(yán)而產(chǎn)生了SQL注入漏洞，并且雨點(diǎn)下載系統(tǒng)是開放源碼的，所以我們很容易知道其數(shù)據(jù)庫的結(jié)構(gòu)。其賬號(hào)密碼的信息放在表userinfo里，對(duì)應(yīng)的分別為id usr pwd。

　　1．掃描注入點(diǎn)

　　填上要檢測的網(wǎng)址，點(diǎn)檢測，工具便開始自動(dòng)為你檢測了，如圖1：


圖1

　　這里可以看到，工具為我們掃到了兩個(gè)注入點(diǎn)，我們就拿其中一個(gè)繼續(xù)吧，選中一個(gè)網(wǎng)址，右鍵會(huì)出現(xiàn)菜單，點(diǎn)注入檢測，會(huì)跳到注入檢測的的畫面。

　　2．檢測表段

　　點(diǎn)檢測然后程序就做好準(zhǔn)備檢測表段了，點(diǎn)檢測表段，程序就會(huì)自動(dòng)開始為你檢測表段，不用再像以前輸入and exists (select * from 表段名)來判斷了，程序速度當(dāng)然比手工快多了。如圖2：


圖2 細(xì)心的讀者會(huì)看到軟件的狀態(tài)欄不停的顯示工具所猜解的表段呵呵，我們可以向軟件學(xué)習(xí)SQL注入的語法。

3．檢測字段

　　很遺憾，程序只檢測到一個(gè)表段落config，我們知道賬號(hào)密碼在另一個(gè)表段的userinfo，所以我們手動(dòng)添加一個(gè)userinfo，在檢測表段那欄點(diǎn)擊右鍵會(huì)出現(xiàn)相應(yīng)的菜單，選手動(dòng)添加表，見圖3：

圖3

　　填加userinfo然后選中它就可以開始檢測字段了。點(diǎn)檢測字段，程序就開始自動(dòng)猜解字段，如圖4：

圖4 猜解出三個(gè)字段usr pwd id，如果沒有猜解出來也可以自己手動(dòng)添加字段。

　　4．猜解字段內(nèi)容

　　選中你要猜解的字段點(diǎn)右邊的檢測內(nèi)容就可以幫你猜解長度并猜解其字符內(nèi)容，如圖5：


圖5

從圖中看出已經(jīng)猜出usr的內(nèi)容為admin pwd的內(nèi)容還在檢測中呵呵。最后它會(huì)猜解出其它的內(nèi)容，如圖6：

圖6 5．猜解后臺(tái)

　　對(duì)于ACCESS數(shù)據(jù)庫的網(wǎng)站，有了后臺(tái)管理員的賬號(hào)和密碼，沒有猜到后臺(tái)也沒有用，所以往往我是猜出有了后臺(tái)才會(huì)進(jìn)一步的SQL注入的，否則猜出賬號(hào)密碼也沒有多大的用處。當(dāng)然如果目標(biāo)是電影站，那用SQL注入就可以得到超級(jí)會(huì)員的賬號(hào)密碼，就可以收費(fèi)電影免費(fèi)看啦？點(diǎn)左邊的管理入口檢測并可以猜解后臺(tái)了。如圖7：

圖7

選中你認(rèn)為可能是管理入口的連接點(diǎn)右鍵會(huì)出現(xiàn)如圖8：

圖8

　　點(diǎn)用IE打開連接就可以打開后臺(tái)的頁面，輸入你剛才猜解出來的賬號(hào)密碼就可以進(jìn)后臺(tái)，至于進(jìn)了后臺(tái)你要做什么，就看你的了。

　　【Union查詢猜解法】

　　當(dāng)SQL注入的是ACCESS數(shù)據(jù)庫的時(shí)候，我們可以利用的就有子查詢與UNION查詢了。

　　子查詢?cè)诔跫?jí)篇里就講過了，就是常規(guī)的and exists (select * from admin)之類，比如list.asp文件訪問的是article這個(gè)表，我們利用子查詢可以查同一個(gè)數(shù)據(jù)庫下的admin表里的賬號(hào)密碼，也可以叫做跨表查詢。當(dāng)然不在同一個(gè)數(shù)據(jù)庫的話可以跨庫查詢，后面我們會(huì)講到。Union查詢其實(shí)就是用到SQL語法中的Union函數(shù)了，關(guān)于它的用法請(qǐng)參考第一小節(jié)，我們開始實(shí)戰(zhàn)Union查詢。

　　檢測對(duì)象：雨點(diǎn)下載系統(tǒng)

　　網(wǎng)站URL：http://down.jingshan.cn/list.asp?id=78

　　管理后臺(tái)：http://down.jingshan.cn/admin/

本來想本地調(diào)試的，可是我的系統(tǒng)出了點(diǎn)問題，所以上網(wǎng)找了個(gè)站測試一下Union查詢，沒有破壞的意思，見諒。至于如何判斷有SQL注入漏洞，前面已經(jīng)說的很詳細(xì)了，只不過這個(gè)服務(wù)器把IIS的錯(cuò)誤信息給屏蔽了，所以當(dāng)出錯(cuò)的時(shí)候會(huì)返回：處理 URL 時(shí)服務(wù)器上出錯(cuò)。請(qǐng)和系統(tǒng)管理員聯(lián)絡(luò)。呵呵，沒關(guān)系，我們繼續(xù)。前面我們已經(jīng)知道雨點(diǎn)下載系統(tǒng)的賬號(hào)密碼信息放在userinfo表段里面，其對(duì)應(yīng)的字段分別為id usr pwd，而這個(gè)注入點(diǎn)我們已經(jīng)確定其存在，所以我們構(gòu)造如下的語法：

　　union select 1 from userinfo 結(jié)果返回錯(cuò)誤的頁面，如圖9：

圖9

如果不出意外的話，本來該顯示的是指字段列數(shù)不一致，因?yàn)閁nion函數(shù)本身的特殊性。我們繼續(xù)構(gòu)造如下的語法：

　　union select 1,2 from userinfo

　　union select 1,2,3 from userinfo

　　一直到union select 1,2,3 from userinfo才返回正常的頁面，說明這里就要列三個(gè)字段了，并且發(fā)現(xiàn)剛才錯(cuò)誤的地方現(xiàn)在顯示為1，也就是說它可以用來顯示我們想要知道的數(shù)據(jù)。見圖10：


圖10

　　我們構(gòu)造語法：union select usr,2,3 from userinfo會(huì)顯示賬號(hào)的信息，如圖11：


圖11

　　我們構(gòu)造語法：union select pwd,2,3 from userinfo則會(huì)顯示出密碼的信息，如圖12：


圖12
當(dāng)我們用這個(gè)賬號(hào)密碼登錄后臺(tái)的時(shí)候，意外的發(fā)現(xiàn)出錯(cuò)了，如圖13：


圖13 讀者朋友們知道什么原因嗎？對(duì)，我們要看下數(shù)據(jù)庫的構(gòu)造，userinfo表里面有個(gè)userclassid字段，表示他們所對(duì)應(yīng)的權(quán)限，而userclass表很明確的告訴了我們什么ID對(duì)應(yīng)著什么權(quán)限，這里我們要進(jìn)管理后臺(tái)，當(dāng)然得要系統(tǒng)管理員的賬號(hào)密碼。數(shù)據(jù)庫表如圖14


圖14

　　既然知道了這些，所以我們?cè)跇?gòu)造Union查詢的時(shí)候要加個(gè)條件where userclassid=1，即我們要得到賬號(hào)信息就構(gòu)造語法：union select usr,2,3 from userinfo where userclassid=1，得到的賬號(hào)為fang，見圖15：


圖15
同理我們構(gòu)造語法：union select pwd,2,3 from userinfo where userclassid=1就可以得到密碼信息，如圖16：


圖16

　　我們登錄后臺(tái)試下，輸入得到的賬號(hào)密碼登錄，就可以進(jìn)到后臺(tái)，如圖17：


圖17

　　就這樣輕而易舉的進(jìn)了網(wǎng)站的后臺(tái)，知道Union查詢的威力了吧。

　　【ACCESS跨庫查詢】

　　前面我們講了ACCESS的SQL注入，用到了子查詢與聯(lián)合查詢，但是始終在一個(gè)數(shù)據(jù)庫里，如果我們遇到要測試的不在同一個(gè)數(shù)據(jù)庫里怎么辦，有沒有辦法突破。我可以告訴你，有，不過要有條件：

　　1．使用union查詢必須知道前一個(gè)select里表的字段數(shù)

　　2．必須知道目標(biāo)數(shù)據(jù)庫的所在位置，絕對(duì)路徑

　　如果玩過黑客防線第四輪攻防實(shí)驗(yàn)室的朋友，都知道當(dāng)時(shí)第一關(guān)就設(shè)置的2個(gè)asp+access的下載系統(tǒng)，一個(gè)是雨點(diǎn)下載系統(tǒng)，一個(gè)是盜帥下載系統(tǒng)。當(dāng)時(shí)的情況是這樣的：盜帥下載系統(tǒng)可以暴出數(shù)據(jù)庫但是不讓下載，似乎也沒什么地方可以注射，而雨點(diǎn)下載系統(tǒng)數(shù)據(jù)庫可以暴且可以直接下載，還可以注射。不過雨點(diǎn)的后臺(tái)很簡單，沒什么可以利用的地方，這個(gè)時(shí)候，你該如何突破。有人開始追尋盜帥下載系統(tǒng)的漏洞，后來還是發(fā)現(xiàn)了盜帥的漏洞，而有的人則是放棄了，是不是有點(diǎn)過早放棄呢，而當(dāng)時(shí)有人就通過雨點(diǎn)系統(tǒng)的注射點(diǎn)對(duì)盜帥系統(tǒng)的跨庫查詢而得到盜帥的后臺(tái)密碼，這可謂是跨庫查詢的經(jīng)典的例子。感興趣的可以參考下這里：http://www.4ngel.net/article/46.htm，本小節(jié)不再詳述

(責(zé)任編輯：admin)

上一篇：MS Jet SQL for Access 2000中級(jí)篇
下一篇：Oracle數(shù)據(jù)庫EXP、IMP命令語句使用方法

• ·VBA編程常用語句300句
• ·SQL基礎(chǔ):常用SQL語句詳解 （轉(zhuǎn)）
• ·Sql和Access操作數(shù)據(jù)庫結(jié)構(gòu)的常用Sql
• ·多表查詢技巧
• ·ACCESS學(xué)習(xí)日記
• ·Oracle數(shù)據(jù)庫EXP、IMP命令語句使用方法
• ·SQL注入的高級(jí)應(yīng)用ACCESS篇！
• ·MS Jet SQL for A
• ·代碼打開頁面設(shè)置
• ·龍芯千元電腦配置曝光 商用化產(chǎn)品
• ·神州數(shù)碼爭搶國內(nèi)IT人才 開始校園
• ·聯(lián)合證券研究所：IT專業(yè)連鎖 家電
• ·傳臺(tái)灣新浪將出售 新浪官方并未否
• ·朗科起訴索尼跨國專利案和解 雙方
• ·傳英特爾向?qū)κ滞�盛施�?nbsp;要求其退
• ·批量去除通過ODBC連接到SQL Serve