SQL注入与XSS漏洞

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求 的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网 站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容 易受到SQL注入式攻击

当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。

在某些表单中,用户输入的内容直接用来构造(或者影响)动态 sql 命令,或者作为存储过程的输入参数,这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时,没有对用户输入的合法性进行判断或者程序中本身的变量处理不当,使应用程序存在安全隐患。这样,用户就可以提交一段数据库查询的代码,根据程序返回的结果,获得一些敏感的信息或者控制整个服务器,于是sql注入就发生了。

注入大致方法:

1、先猜表名 And (Select count(*) from 表名)<>0

2、猜列名 And (Select count(列名) from 表名)<>0

3、或者也可以这样 and exists (select * from 表名) and exists (select 列名 from 表名) 返回正确的,那么写的表名或列名就是正确

这里要注意的是,exists这个不能应用于猜内容上,例如 and exists (select le n(user) from admin)>3 这样是不信的,现在很多人都是喜欢查询里面的内容,一旦 iis 没有关闭错误提示的,那么就可以利用报错方法轻松获得库里面的内容 获得数据库连接用户名:;and user>0 ,《SQL 注入天书》里面的一段话:


重点在and user>0,我们知道,user是SQLServer的一个内置变量,它的值 是当前连接的用户名,类型为nvarchar拿一个 nvarchar 的值跟 nt的数 0 比较, 系统会先试图将nvarchar的值转成 int 型,当然,转的过程中肯定会出错,SQL Server的出错提示是:将 nvarch"


看到这里大家明白了吧,报错的原理就是利用SQL server内置的系统表进行转换查询,转换过程会出错,然后就会显示出在网页上,另外还有类似的 and 1=(sele t top 1 user from admin),这种语句也是可以爆出来的.and db_name()>0 则是暴数据库名。

一旦关闭了 IIS 报错,那么还可以用union(联合查询)来查内容,主要语句就是:

Order by 10 And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin

上面的order by 10 主要就是查字段数目,admin 就是表名,可以自己猜,user, passwd是列名,反正就是返回正确即对,返回异常即错,另外还有十分常用的 ascll 码拆半法,先要知道指定列名,例如 user 里的内容的长度 “and (select len(user) from admin)=2” 就是查询长度为不为 2 位,返回错误的增加或减少数字,一般这个数字不会太大,太大的就要放弃了,猜也多余,后面的逻辑符号可以根据不同要求更改的, >大于 <小于 =等于咯,更新语句的话,=也可以表示传递符号 <>就是不 等 知道了长度后就可以开始猜解了“ And (Select top 1 asc(mid(user,n,1)) from admin)>100” 。

n就是猜解的表名的第几位,最后的长度数字就是刚才猜解出来的列名长度了,“And (Select top 1 asc(mid(user,1,1)) from admin)>100” 就是猜解 user 里内容的第一位的ASCLL字符是不是大于100正确的话,那么表示USER第一个字符的ASCLL码大于100,那么就猜>120,返回错误就是介于100--120之间,然后再一步一步的缩少,最终得到正确字符XXX 。

然后用ASCLL转换器吧这个转换成普通字符就可以了,然后就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100一直猜下去,加在url后面,列名表名还是先猜解,返回正确的代表帐号的ascll码大于100, 那么就再向前猜,指导报错,把猜出来的ascll码拿去ascll转换器转换就可以了,中文是负数,加上asb取绝对值,And(Select top 1 asb(asc(mid(user,n,1))) from admin)>15320。

得到之后就记得在数字前加“-”号,不然 ASCLL转换器转换不来的,中文在 ASCLL码里是"-23423"这样的,所以猜起来挺麻烦,这个猜解速度比较慢,但是效果最好,最具有广泛性 2.2.后台身份验证绕过漏洞 验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是"AND"和"OR"的运算规则, 从而造成后台脚本逻辑性错误 例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是:

user=request("user") passwd=request("passwd") sql='select admin from adminbate where user='&'''&user&'''&' and passwd ='&'''&passwd&'''

那么我使用'or 'a'='a 来做用户名密码的话,那么查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'=' a'

这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是 假 or 真 and 假 or 真,先算 and 再算 or,最终结果为真,这样就可以进到后台了,这种漏洞存在必须要有2个条件:

第一个:在后台验证代码上,账号密码的查询 是要同一条查询语句,也就是类似

sql="select * from admin where username='"&username&'&"passwd='"&pas swd&'

如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。

第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就 要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了。

防御方法

对于怎么防御SQL注入呢,

如果自己编写防注代码,一般是先定义一个函数,再在里面写入要过滤的关键词, 如 select ; “”;form;等,这些关键词都是查询语句最常用的词语,一旦过滤了,那么 用户自己构造提交的数据就不会完整地参与数据库的操作。

当然如果你的网站提交的数据全部都是数字的,可以使用这种方法:

Function SafeRequest(ParaName,ParaType) '--- 传入参数 ---

'ParaName:参数名称-字符型 'ParaType:参数类型-数字型(1 表示以上参数是数字,0 表示以上参数为字符) Dim ParaValue ParaValue=Request(ParaName) If ParaType=1 then If not isNumeric(ParaValue) then Response.write "参数" & ParaName & "必须为数字型!" Response.end End if Else ParaValue=replace(ParaValue,"'","''") End if SafeRequest=ParaValue End function

然后就用 SafeRequest()来过滤参数 ,检查参数是否为数字,不是数字的就不能通过

XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动 且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服 务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。

XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs 的 showerror.asp 存在的跨站漏洞。另 一类则是来来自外部的攻击,主要指的自己构造 XSS 跨站漏洞网页或者寻找非目标 机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务 器的管理员打开。

然后利用下面的技术得到一个shell,如何利用传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道, 因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而 本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员 等功能得到一个高权限。

原文发布于微信公众号 - 数据库SQL(SQLdba)

原文发表时间:2016-04-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Seebug漏洞平台

从补丁到漏洞分析——记一次joomla漏洞应急

作者:LoRexxar'@知道创宇404实验室 2018年1月30日,joomla更新了3.8.4版本,这次更新修复了4个安全漏洞,以及上百个bug修复。 ht...

32712
来自专栏BinarySec

CVE-2010-2553分析[漏洞战争]

CVE 2010-2553漏洞,也称为MicrosoftWindows Cinepak 编码解码器解压缩漏洞,影响的操作系统版本有:Microsoft Wind...

3276
来自专栏信安之路

XPath注入:攻击与防御技术

相信大家都非常熟悉 “注入” 这种攻击方式。 “注入” 这种攻击方式被列为了 OWASP 十大攻击的榜首。然而,本文所要讲述的不是被人熟知的SQL 注入攻击。而...

1040
来自专栏小白安全

可以被XSS利用的HTML标签和一些手段技巧

XSS让我们在渗透中有无限的可能,只要你发挥你的想象。  引用一位前辈总结的很贴切的一句话——“XSS使整个WEB体系变得具有灵性” 。 网上关于XSS的教程数...

3509
来自专栏数据小魔方

多表合并——MS Query合并报表

今天要跟大家分享的仍然是多表合并——MS Query合并报表! excel中隐藏着一个强大的查询工具——MS Query,但是隐藏的很深,可能很多人都不知道。它...

4077
来自专栏Seebug漏洞平台

Django CSRF Bypass (CVE-2016-7401) 漏洞分析

Author: p0wd3r (知道创宇404安全实验室) Date: 2016-09-28 0x00 漏洞概述 1.漏洞简介 Django是一个由Python...

2855
来自专栏日常学python

一步一步教你如何用python操作mysql

这是日常学python的第九篇原创文章 首先祝大家新年快乐哈!学生的估计明天也要上课了,工作的估计早就去上班了,我也快要上课了,哈哈,新年这段时间一直没有写过文...

54010
来自专栏北京马哥教育

运维工程师笔试真题:美团点评 2017 春招真题

1634
来自专栏安恒网络空间安全讲武堂

RCE+OOB+一道HCTF实战

两则需要知道的RCE实战trick RCE-trick1 前言 想必大家遇到RCE的题目不算少数,那么如果题目可以命令执行,却没有回显,那么我们应该如何有效打击...

22310
来自专栏Seebug漏洞平台

从补丁到漏洞分析——记一次joomla漏洞应急

2018年1月30日,joomla更新了3.8.4版本,这次更新修复了4个安全漏洞,以及上百个bug修复。

4108

扫码关注云+社区