asp网站SQL注入与网站定向爆破全过程

笔者前日无聊,看到公司附近某个服务行业机构的网站,asp语言,搭建于iis服务器中。一开始笔者并没有留意到这网站有sql注入漏洞,随手在某个news.asp?id=52的url上输入了一个单引号,随后服务器报500错误,并给出了出错的sql信息(汗,服务器相关的出错信息一定不要泄漏出来,不过貌似我以前做的站好像也没注意异常的问题),该页面获取id参数的时候应该有强制int,所以在当前页面构造了几次请求都没有发现注入点,笔者不服气的犟驴劲顿时出来了。
 

苦寻无果,笔者注册了该网站的会员,并登陆之,看有没有新的注入口。笔者登陆之后抓包发现cookie中明文存放了会员信息,如会员登录名,于是笔者改了一下该cookie,也是简单加了个单引号,结果。。。服务器也500了,并且给出了出错的信息。但这次的出错信息有所不同,出错信息里显示程序里直接使用了cookie,没有做任何过滤,就像

select * from xxx where username=’$_Cookie['username']‘

这样。。。然后,注入点出现了。

 于是笔者给网站管理员发了封邮件,告知网站会员系统有sql注入漏洞,希望网站在服务功能正式上线之前把它修复。

 
笔者下班之后,好奇害死猫,继续看怎么破之。

(1)笔者先猜他的后台管理系统登陆地址为 www.xxx.com/admin,果不其然,猜对了。

(2)笔者再猜他的管理员登陆表叫admin,注入了sql ‘exists(select * from admin)’,结果页面200,也猜对了。

(3)笔者猜他的管理员表admin里应该有一个字段名username,一个字段名password,结果一直500,没猜对

(4)于是笔者去看了下登录页面的html源码,希望从里面发现线索。笔者第一步看的是登陆表单,发现登陆表单名为admin,登陆密码表单名为UserPassword,于是笔者根据前面页面的报错信息猜测这个程序猿有把参数名和数据库设计映射一致的习惯,于是再猜测admin表里有个字段是admin,有个字段名是UserPassword…果然,笔者注入了sql ‘(select top 1 [admin] from admin)>0′,也成功了,相应的UserPassword也存在。。。额,这。。。

(5)笔者开始猜后台登陆用户名和密码的长度,继续注入了 sql ‘(select top 1 len(admin) from admin)=N’,使N一直递增,发现其网站第一个登陆用户名长度为5,密码长度为16.

(6)拿到了字段名,长度,接下来,笔者猜测这两者应该是字母,数字组合。笔者依次注入 sql ‘(select top 1 asc(mid(admin,N,1)))=M’,对于用户名N->[1,5],M->[0,128],密码N->[1,16],M->[0,128],依次拿出了用户名和密码每一位的ascii码。。。结果发现用户名是 admin,密码是加密的16位字符串

(7)笔者猜测这是md5加密的密码,于是笔者找了个网站反向解密了这个字符串,得到xxxxxxxxxx

(8)笔者跑到网站登陆页面www.xxxx.com/admin,输入破解的用户名和密码,结果。。。登陆进去了他们的后台!!!

 
走完这几步,已经基本完成了入侵的过程了,不过笔者没有打算再深入下去,直接关机睡觉了。
 

写这篇文章不是为了教大家如何去入侵一个网站,而是,通过入侵的思路,来总结一下网站系统安全建设中常见的坑,在工作中可以适当去避免。

(1)异常信息,要记得try catch,然后对外屏蔽

(2)表单之类的信息,不要跟数据库字段有强关联,最好能做一个映射

(3)不要相信来自客户端的任何输入,包括表单、url参数、cookie,需要用到时,一定要进行安全过滤

(4)如果要用cookie,不要在重要路径依赖cookie,实在没办法,请加密你的cookie

(5)如果网站有后台,不要轻易暴露入口,不要用常用的名入口命名,不要在表单里暴露太多信息

(6)即使是非系统级别的错误提示,也不要给用户太详细的信息。

(7)如果有密码,可以在加密串中加入其他信息,对反向解密加干扰~

那要如何防注入呢

一,利用asp防注入

在 Asp 中彻底封死注入的方法:

1、数字型:

 代码如下 复制代码

Dim Tmp
Tmp = Request("test")
IF Len(Tmp) > 9 then
    Response.Write "fuck you!"
    Response.End
ElseIF IsNumber(Tmp) = False Then
    Response.Write "fuck you!"
    Response.End
ElseIF Instr(Tmp, "+") > 0 Then
    Response.Write "fuck you!"
    Response.End
ElseIF Instr(Tmp, "-") > 0 Then
    Response.Write "fuck you!"
    Response.End
ElseIF Instr(Tmp, ".") > 0 Then
    Response.Write "fuck you!"
    Response.End
Else
    Response.Write "ok!"
End IF

2、字符型:

 代码如下 复制代码

Dim Tmp, I
Tmp = Request("test")
Tmp = Replace(Tmp, "'", "'")
Tmp = Replace(Tmp, """", """")
Tmp = Replace(Tmp, chr(10), "")
Tmp = Replace(Tmp, chr(13), "")
Response.Write "ok!"

一,sql参数化查询

接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢?

首先创建一张表Users:

 代码如下 复制代码

CREATE TABLE [dbo].[Users](

[Id] [uniqueidentifier] NOT NULL,

[UserId] [int] NOT NULL,

[UserName] [varchar](50) NULL,

[Password] [varchar](50) NOT NULL,

 CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED

(

[Id] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY]

 

插入一些数据:

 代码如下 复制代码

INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');

假设我们有个用户登录的页面,代码如下:

验证用户登录的sql 如下:

 代码如下 复制代码
select COUNT(*) from Users where Password = 'a' and UserName = 'b'

这段代码返回Password 和UserName都匹配的用户数量,如果大于1的话,那么就代表用户存在。

本文不讨论SQL 中的密码策略,也不讨论代码规范,主要是讲为什么能够防止SQL注入,请一些同学不要纠结与某些代码,或者和SQL注入无关的主题。

可以看到执行结果:

这个是SQL profile 跟踪的SQL 语句。

 注入的代码如下:

 代码如下 复制代码

select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'这里有人将UserName设置为了 “b' or 1=1 –”.

 实际执行的SQL就变成了如下:

 

  可以很明显的看到SQL注入成功了。

 

很多人都知道参数化查询可以避免上面出现的注入问题,比如下面的代码:

 代码如下 复制代码

class Program
{
    private static string connectionString = "Data Source=.;Initial Catalog=Test;Integrated Security=True";

    static void Main(string[] args)
    {
        Login("b", "a");
        Login("b' or 1=1--", "a");
    }

    private static void Login(string userName, string password)
    {
        using (SqlConnection conn = new SqlConnection(connectionString))
        {
            conn.Open();
            SqlCommand comm = new SqlCommand();
            comm.Connection = conn;
            //为每一条数据添加一个参数
            comm.CommandText = "select COUNT(*) from Users where Password = @Password and UserName = @UserName";
            comm.Parameters.AddRange(
            new SqlParameter[]{                       
                new SqlParameter("@Password", SqlDbType.VarChar) { Value = password},
                new SqlParameter("@UserName", SqlDbType.VarChar) { Value = userName},
            });

            comm.ExecuteNonQuery();
        }
    }
}

实际执行的SQL 如下所示:

 代码如下 复制代码
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(1)',@Password='a',@UserName='b'exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(11)',@Password='a',@UserName='b'' or 1=1—'  

 可以看到参数化查询主要做了这些事情:

1:参数过滤,可以看到 @UserName='b'' or 1=1—'2:执行计划重用

因为执行计划被重用,所以可以防止SQL注入。

 

首先分析SQL注入的本质,

用户写了一段SQL 用来表示查找密码是a的,用户名是b的所有用户的数量。

通过注入SQL,这段SQL现在表示的含义是查找(密码是a的,并且用户名是b的,) 或者1=1 的所有用户的数量。

 

可以看到SQL的语意发生了改变,为什么发生了改变呢?,因为没有重用以前的执行计划,因为对注入后的SQL语句重新进行了编译,因为重新执行了语法解析。所以要保证SQL语义不变,即我想要表达SQL就是我想表达的意思,不是别的注入后的意思,就应该重用执行计划。

 

如果不能够重用执行计划,那么就有SQL注入的风险,因为SQL的语意有可能会变化,所表达的查询就可能变化。

 

在SQL Server 中查询执行计划可以使用下面的脚本:

 代码如下 复制代码

DBCC FreeProccache

select total_elapsed_time / execution_count 平均时间,total_logical_reads/execution_count 逻辑读,
usecounts 重用次数,SUBSTRING(d.text, (statement_start_offset/2) + 1,
         ((CASE statement_end_offset
          WHEN -1 THEN DATALENGTH(text)
          ELSE statement_end_offset END
            - statement_start_offset)/2) + 1) 语句执行 from sys.dm_exec_cached_plans a
cross apply sys.dm_exec_query_plan(a.plan_handle) c
,sys.dm_exec_query_stats b
cross apply sys.dm_exec_sql_text(b.sql_handle) d
--where a.plan_handle=b.plan_handle and total_logical_reads/execution_count>4000
ORDER BY total_elapsed_time / execution_count DESC;

 

 

这里作者有一句话:”不过这种写法和直接拼SQL执行没啥实质性的区别”

任何拼接SQL的方式都有SQL注入的风险,所以如果没有实质性的区别的话,那么使用exec 动态执行SQL是不能防止SQL注入的。

 比如下面的代码:

 代码如下 复制代码

private static void TestMethod()
{
    using (SqlConnection conn = new SqlConnection(connectionString))
    {
        conn.Open();
        SqlCommand comm = new SqlCommand();
        comm.Connection = conn;
        //使用exec动态执行SQL 
        //实际执行的查询计划为(@UserID varchar(max))select * from Users(nolock) where UserID in (1,2,3,4)  
        //不是预期的(@UserID varchar(max))exec('select * from Users(nolock) where UserID in ('+@UserID+')')   
        comm.CommandText = "exec('select * from Users(nolock) where UserID in ('+@UserID+')')";
        comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
        //comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4); delete from Users;--" });
        comm.ExecuteNonQuery();
    }
}

执行的SQL 如下:

 代码如下 复制代码

exec sp_executesql N'exec(''select * from Users(nolock) where UserID in (''+@UserID+'')'')',N'@UserID varchar(max) ',@UserID='1,2,3,4' 可以看到SQL语句并没有参数化查询。 如果你将UserID设置为”1,2,3,4); delete from Users;—-

”,那么执行的SQL就是下面这样:exec sp_executesql N'exec(''select * from Users(nolock) where UserID in (''+@UserID+'')'')',N'@UserID varchar(max) ',@UserID='1,2,3,4); delete from Users;--'

不要以为加了个@UserID 就代表能够防止SQL注入,实际执行的SQL 如下:

 

 任何动态的执行SQL 都有注入的风险,因为动态意味着不重用执行计划,而如果不重用执行计划的话,那么就基本上无法保证你写的SQL所表示的意思就是你要表达的意思。 这就好像小时候的填空题,查找密码是(____) 并且用户名是(____)的用户。不管你填的是什么值,我所表达的就是这个意思。 最后再总结一句:因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。

时间: 2024-12-10 05:18:42

asp网站SQL注入与网站定向爆破全过程的相关文章

Asp.net SQL注入实例分享

 Asp.net SQL注入实例分享 1.web.config里加链接字段: <configuration> <connectionStrings > <add name="myConnectionString" connectionString="Server=10.231.248.177;Database=testdb;User ID=sa;Password=pa$$word;Trusted_Connection=False;"

电子商务网站SQL注入项目实战一例

故事A段:发现整站SQL对外输出:   有个朋友的网站,由于是外包项目,深圳某公司开发的,某天我帮他检测了一下网站相关情况. 我查看了页面源代码,发现了个惊人的事情,竟然整站打印SQL到Html里,着实吓我一跳: PS:2年前秋色园系列文章有分享一文是整站SQL打印用于分析网站性能,不过也只是本地优化调试,而服务器上也采用某特殊条件才打印. 于是把这赤祼祼的对外公开的SQL问题反映了过去,之后算是取消了.  故事B段:错误异常打印了SQL,诱人:    过了些许天,我又抽空看了看: 原始路径为:

Sqlmap+Nginx“地毯式”检测网站SQL注入漏洞教程

以安全防御方的角度来看,防御的广度比深度更具优先级,这也是信息安全中木桶原理的体现. Sqlmap是一个开源的SQL注入漏洞检测工具,Nginx是高性能的WEB服务器.今天我们将二者结合起来,对网站的SQL注入漏洞实现"地毯式"的检测! 思路 sqlmap可以批量导入http代理的日志,根据日志中的每一个请求进行分析和探测.(可参考sqlmap帮助文档) 所以,我们可以配置nginx记录下网站所有的http请求信息,格式化处理后提供给sqlmap,这样sqlmap就能根据网站的每一个请

白帽子发现美军网站SQL注入漏洞,可获取敏感数据

去年有报道称,美军收购软件漏洞为网战准备.而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞. 安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多. 美军网站惊现SQL注入漏洞 漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DCMA)网站子域中,存在严重漏洞.攻击者可以利用该漏洞泄露国防部(DoD)雇员的个人信息,其中包括姓名.住址等. 尽管MLT并没有对漏洞进行利用,他仍摆

如何防止sql注入攻击网站

防御SQL注入有妙法 第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试.可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点.然后只需要几分钟,你的管理员账号及密码就会被分析出来. 第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法.首先我们要知道SQL注入分析器是如何工作的.在操作过程中,发现软件并不是冲着"admin"管理员账号去的,而是冲着权限(如flag=1)去的.这样一来,无论你的

PHP+MySQL 网站 SQL 注入攻击测试用例

SQL注入攻击测试用例 说明 Night Night' and 1=1# Night' and 1=2# 判断注入点.第一次是正常请求,如果存在注入漏洞,那么第二次请求得到结果应该与第一次一样,并且第三次请求得到的结果应该与前两次不同 Night' or 1=1# 返回所有数据,常用于有搜索功能的页面 Night' union select version()# 返回数据库版本信息 Night' union select database()# 返回当前的库名 Night' union sele

ASP防SQL注入攻击程序

程序|攻击|攻击   SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的.SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击. I

用的ASP防SQL注入攻击程序

程序|攻击 SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的.SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击. IIS传递给

编写通用的ASP防SQL注入攻击程序

程序|攻击 SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击. IIS传递给asp.dll的get 请求是是以字符串的形式,,当 传递给Request.QueryString