第一节、SQL注入的一般步骤
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。
有点跑题了,话说回来,对于SQLServer的库,还是有办法让程序告诉我们表名及字段名的,我们在高级篇中会做介绍。
最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:
http://www.19cn.com/showdetail.asp?id=49 and (select top 1 len(username) from Admin)>0
先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。
第二节、SQL注入常用函数
有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII码
Access:chr(数字) SQLServer:nchar(数字)
作用:与asc相反,根据ASCII码返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access:abc(数字) SQLServer:abc (数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access:A between B And C SQLServer:A between B And C
作用:判断A是否界于B与C之间
第三节、中文处理方法
在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有所了解,“中文恐惧症”很快可以克服。
先说一点常识:
Access中,中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。
SQLServer中,中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码,必须用函数unicode ()返回unicode值,再用nchar函数取得对应的中文字符。
了解了上面的两点后,是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意、猜解范围大一点外,方法是没什么两样的。
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句:
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
ID=49 And (Select Count(*) from Admin)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。
有点跑题了,话说回来,对于SQLServer的库,还是有办法让程序告诉我们表名及字段名的,我们在高级篇中会做介绍。
最后,在表名和列名猜解成功后,再使用SQL语句,得出字段的值,下面介绍一种最常用的方法-Ascii逐字解码法,虽然这种方法速度很慢,但肯定是可行的方法。
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:
http://www.19cn.com/showdetail.asp?id=49 and (select top 1 len(username) from Admin)>0
先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。
第二节、SQL注入常用函数
有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII码
Access:chr(数字) SQLServer:nchar(数字)
作用:与asc相反,根据ASCII码返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access:abc(数字) SQLServer:abc (数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access:A between B And C SQLServer:A between B And C
作用:判断A是否界于B与C之间
第三节、中文处理方法
在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其实只要对中文的编码有所了解,“中文恐惧症”很快可以克服。
先说一点常识:
Access中,中文的ASCII码可能会出现负数,取出该负数后用abs()取绝对值,汉字字符不变。
SQLServer中,中文的ASCII为正数,但由于是UNICODE的双位编码,不能用函数ascii()取得ASCII码,必须用函数unicode ()返回unicode值,再用nchar函数取得对应的中文字符。
了解了上面的两点后,是不是觉得中文猜解其实也跟英文差不多呢?除了使用的函数要注意、猜解范围大一点外,方法是没什么两样的。
第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断...
据外电报道,据博客网站Liveside.Net和微软自己的一个网站显示,微...
如何将fat 分区转换为ntfs?虽然ntfs格式分区比较优越,但是在这个...
概述 本文是 Microsoft 和 Dell 公司共同合作的成果,用来说明...
Windows蓝屏,这个现象对于电脑人士来说,是个头痛的问题.下面列出W...
当创建新表时,新表不包含任何数据。要将新的行输入表中,使用 IN...
由于担心大量下载会堵塞网络影响用户收看世界杯比赛,微软公司于日...
可以为每个数据库都设置若干个决定数据库特点的数据库级选项。只有...
本文介绍如何从命令提示符执行 Internet 信息服务 (IIS) 中的管理...
Windows XP操作系统能够很好的使用网络感知(network-aware)应用...
据国外媒体报道,微软正计划将Vista系统的全部功能集成到一起发布,...
每当微软发布新版Windows,全球PC用户都在观望是否需要及时跟进,...
可能有不少朋友遇到过这样的问题: update或delete语句忘带了w...
比以往更灵活 MFC 数据库策略 一系列选项 MFC 的 ODB...
微软公司的下一代通讯平台被授予了“Exchange 12”的名称,本周三...
适用于:Microsoft SQL Server? 2000 Analysis Services 摘要:...
建立高可用性的数据库群集 摘要:本文探讨群集化技术以在大数...
微软公司最近推出了第二个社区技术预览版(Community Technical Pr...
最近,笔者帮朋友配置了一台性能不错的电脑。看着欣喜若狂的朋友,...
面向Web的数据挖掘 Web上有海量的数据信息,怎样对这...
不得不面对的Web QoS 伴随着网络QoS技术研究和应用的不...
我看了一篇病毒的防治文章之后,给管理员帐号设置了密码。但是现在...
自己编的SQL服务端加客户端,具有语法解析和简单的数据库操作功能...
可以为每个数据库都设置若干个决定数据库特点的数据库级选项。只有...
阻塞定义 当来自应用程序的第一个连接控制锁而第二个连接需...
18、MS ODBC数据库连接溢出导致NT/9x拒绝服务攻击 漏 洞 描 述...
北京时间11月17日据外电的最新报道称,微软首席执行官史蒂夫?鲍尔...
简介 无论是撰写电子邮件、信函还是其他文档,都没有任何一种程...
随着Vista推出日子的接近,大家可能都感到很兴奋,想尽快体验一下...
如果你是菜鸟,而且你的电脑里有一些不想让人知道的文件,那你最好...
在本月周二补丁日,微软如期发布两个新安全补丁,一个定级为“重要...
我们单位是一所医疗机构,整个医院的网络是由一台安装有WIN2000 服...
在重新安装Windows XP系统前,为了避免重要数据文件丢失,笔者将“...
什么是 Internet Information Server? Microsoft Internet...
在把Oracle查询转换为SQL Server的时候要特别当心一些不容易注意到...
2006年2月6日,北京江民科技反病毒研究中心监测到,微软的两个新漏...
微软公司MSN搜索事业部副总裁Christopher Payne透露:“新兴的移动...
如果测试通过,微软将于下一周发布针对其Windows Meta文件漏洞的补...
简介 Microsoft Windows 2000 引入了一个全新的 Microsoft W...
微软公司似乎正在发动一场针对Linux的全面战争,而且不顾一切地使...
根据我们获得的微软内部消息透露,全球第一大软件巨人正酝酿新一波...
本文主要通过调用SQL Server7的系统存储过程和系统表,在程序中动...
将新行添加到表或视图。 语法 INSERT [ INTO] ...
从1985年Windows 1.0正式发布算起,Windows 已经伴随着我们走过了...
问题真的出在 DNS 上吗? 在开始讨论如何排除 DNS 问题之前,...
如果你的数据库设计在任何一栏中都允许NULL值的话,你需要了解一下...
近日召开的微软IT Forum上透露了许多有关Exchange 12的新消息。bi...
/****************************************** 下面的SP是...
大多数数据库开发小组通过数据库所有者(dbo)掌握数据库对象的。...
动态SQL的第4种方法通过SQLDA(The SQL Descriptor Area)和oracl...
有人说一台不和外面联系的电脑是最安全的电脑,一个关闭所有端口,...
在Windows 95及Windows 98的应用过程中(大部分是企业联网环境下)...
文件丢失引起的故障很多,几乎所有用过电脑的人都碰到过,文件丢失...
颁发成功以后我们在颁发的证书里找到刚才颁发的证书,双击其属性栏...
扫一扫
4593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
