2.3 SQL注入攻擊前奏

在上節(jié)中，我們已經(jīng)對SQL注入攻擊的目的及原理有所了解。在本節(jié)中，將向大家詳細(xì)介紹SQL注入攻擊的分類、注入點(diǎn)的掃描及注入類型判斷等，這也是攻擊者在實(shí)施SQL注入攻擊前必須進(jìn)行的準(zhǔn)備工作。

2.3.1 網(wǎng)站平臺決定攻擊方式

大部分網(wǎng)站都是采用Web動態(tài)網(wǎng)頁結(jié)合后臺數(shù)據(jù)庫架設(shè)而成的。網(wǎng)頁從用戶的請求中得到某些參數(shù)，然后構(gòu)成SQL語句請求發(fā)給數(shù)據(jù)庫，再將從數(shù)據(jù)庫中得到的結(jié)果返回給網(wǎng)頁，從而完成網(wǎng)頁所執(zhí)行的功能。

在許多Web網(wǎng)站系統(tǒng)中，由于網(wǎng)站程序中的變量處理不當(dāng)，或者對用戶提交的數(shù)據(jù)過濾不足，很可能產(chǎn)生一種被為SQL注入（SQL Injection）的漏洞。惡意攻擊者可以利用用戶可提交或可修改的數(shù)據(jù)，構(gòu)造特殊的SQL語句，將SQL語句插入到系統(tǒng)實(shí)際執(zhí)行的SQL語句中，從而任意獲取數(shù)據(jù)庫中的某些重要信息，如管理員用戶名和密碼等；基至可以利用SQL注入漏洞控制整個(gè)網(wǎng)站服務(wù)器。

簡單說來，SQL注入漏洞就是由于用戶可構(gòu)造執(zhí)行特殊SQL語句的漏洞；所謂的SQL注入攻擊就是用戶利用SQL注入漏洞非法獲取數(shù)據(jù)庫信息或者入侵網(wǎng)站服務(wù)器的一種黑客攻擊手段。

根據(jù)網(wǎng)站所使用的Web腳本語言不同，SQL注入攻擊可以分為ASP注入、PHP、JSP、ASPX注入等多種方式。ASP注入與PHP及其他語言的注入原理是一樣的，但是由于Web語言環(huán)境不同，因此實(shí)際注入時(shí)所使用的語句也不盡相同。

同時(shí)，SQL注入攻擊并不僅局限在SQL Server數(shù)據(jù)庫中，后臺使用Access、MySQL、Oracle、Sybase等數(shù)據(jù)庫的網(wǎng)站等都可能存在注入漏洞，遭受SQL注入攻擊。

根據(jù)目前網(wǎng)絡(luò)上的具體情況而言，大部分網(wǎng)站主要是采用“ASP+SQL Server （Access）”或者“PHP+MySQL”結(jié)構(gòu)來架設(shè)的，因此本書也重點(diǎn)對這兩種注入方式分別進(jìn)行敘述。

2.3.2 攻擊前的準(zhǔn)備工作

攻擊者在實(shí)施SQL注入攻擊前，首先會進(jìn)行一些準(zhǔn)備工作，同樣，我們要對自己的網(wǎng)站進(jìn)行SQL注入漏洞的檢測，也需要進(jìn)行相同的準(zhǔn)備。

1．取消友好HTTP錯(cuò)誤信息

在進(jìn)行SQL注入攻擊時(shí)，要利用到從服務(wù)器返回的各種出錯(cuò)信息，但是在瀏覽器中默認(rèn)設(shè)置是不顯示詳細(xì)錯(cuò)誤返回信息的，不論服務(wù)器返回什么錯(cuò)誤，我們都只能看到“HTTP 500服務(wù)器錯(cuò)誤”（圖22）。因此，每次進(jìn)行SQL注入攻擊測試前，首先要對IE瀏覽器進(jìn)行一下設(shè)置：

打開IE瀏覽器，單擊菜單【工具】→【Internet選項(xiàng)】命令，打開“Internet選項(xiàng)”，選擇“高級”選項(xiàng)卡，在“設(shè)置”列表框中找到“瀏覽組”，將其下的“顯示友好HTTP錯(cuò)誤信息”前面的鉤去掉（圖23）。

2．準(zhǔn)備猜解用的工具

與任何攻擊手段相似，在進(jìn)行每一次入侵前，都要經(jīng)過檢測漏洞，入侵攻擊，種植木馬后門長期控制等這幾個(gè)步驟。同樣，進(jìn)行SQL注入攻擊也不例外。在這幾個(gè)入侵步驟中，黑客往往會使用一些特殊的工具，以大大提高入侵的效率和成功率。在進(jìn)行SQL注入攻擊測試前，需要準(zhǔn)備如下攻擊工具。

1）SQL注入漏洞掃描與猜解工具

ASP環(huán)境的注入掃描器主要有“WIS+WED”、NBSI2（圖24）、HDSI、pangolin_bin等。

PHP環(huán)境的注入攻擊工具主要有“二娃”和CASI（圖25）。

這些工具，大部分都是采SQL注入漏洞掃描與攻擊于一體的綜合利用工具，可以幫助攻擊迅速完成SQL注入點(diǎn)尋找與數(shù)據(jù)庫密碼破解、系統(tǒng)攻擊等過程。

2）Web木馬后門

ASP木馬后門：冰狐浪子、海陽頂端木馬、ASP站長助手（圖26）、藍(lán)屏木馬等，用于注入攻擊后控制ASP環(huán)境的網(wǎng)站服務(wù)器。

PHP木馬后門：PHPSpy、黑客之家PHP木馬等，用于注入攻擊后控制PHP環(huán)境的網(wǎng)站服務(wù)器。

3）注入輔助工具

ASC碼逆轉(zhuǎn)換工具、C2C注入格式轉(zhuǎn)換器、SQL注入字符轉(zhuǎn)換工具（圖27）等，主要用于在注入檢測過程中轉(zhuǎn)換注入語句編碼，突破過濾防護(hù)限制。

2.3.3 尋找攻擊入口

對一個(gè)網(wǎng)站要實(shí)施SQL注入攻擊檢測，當(dāng)然首先要找到存在SQL注入漏洞的地方，也就是所謂的尋找注入點(diǎn)。可能的SQL注入點(diǎn)一般存在于登錄頁面、查找頁面、添加頁面及信息條目瀏覽頁面等，用戶可提交修改數(shù)據(jù)的地方，比如常見的登錄用戶名和密碼輸入框或者信息條目ID顯示頁面等。

1．手工檢測SQL注入點(diǎn)

最常用的SQL注入點(diǎn)判斷方法，是在網(wǎng)站中尋找如下形式的網(wǎng)頁鏈接：

            http://www.＊＊＊＊＊.com/＊＊＊.asp? id=xx  （ASP注入）

或者

            http://www.＊＊＊＊＊.com/＊＊＊.php? id=xx  （PHP注入）

其中的“xx”可能是數(shù)字，也有可能是字符串，分別被稱為整數(shù)類型數(shù)據(jù)和字符型數(shù)據(jù)。

如果判斷某個(gè)網(wǎng)頁鏈接是否存在SQL注入漏洞呢？通常有兩種檢測方法。

1）“加引號”法

第一種檢測SQL注入漏洞是否存在的方法是“加引號”法。

對于整數(shù)類型數(shù)據(jù)，可以直接在瀏覽器地址欄中的網(wǎng)址鏈接后加上一個(gè)單引號，構(gòu)造如：

            http://www.＊＊＊＊＊.com/＊＊＊.asp? id=11'
            http://www.＊＊＊＊＊.com/＊＊＊.php? id=11'

之類的鏈接。如果瀏覽器返回如下類似信息（圖28）：

            Microsoft OLE DB Provider for ODBC Drivers 錯(cuò)誤 '80040e14'
            [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '8' ' 之前
            有未閉合的引號。
            /web/ChannelContent.asp，行 45

在返回的信息中，有詳細(xì)的數(shù)據(jù)庫SQL語句操作執(zhí)行錯(cuò)誤信息，并出現(xiàn)類似的提示信息的話，則往往表明存在SQL注入漏洞。

同樣，如果是字符型數(shù)據(jù)，我們也可以在后加上一個(gè)單引號，如果返回與上面類似的出錯(cuò)提示，那么也說明存在SQL注入漏洞。另外對于字符型數(shù)據(jù)來說，單引號的添加可以靈活些，可把單引號加入到字符串中去，構(gòu)造形如“http://www.*****.com/***.php? id=puma' xy”之類的鏈接請求。

為了便于讀者對“加引號法”有一個(gè)更直觀的了解，這里特意找了一個(gè)存在SQL注入的ASP網(wǎng)址“http://love.**.tj.cn/bbs/openarticlenew.asp? ID=11695”，分別截取了正常顯示與添加單引號后的錯(cuò)誤返回圖示，見圖29和圖30。

對于PHP網(wǎng)站返回的SQL注入漏洞錯(cuò)誤提示略有不同，注入點(diǎn)檢測后的返回信息往往是一些SQL出錯(cuò)的信息提示（圖31），通過這些信息，往往可以分析是否存在SQL注入漏洞。

2）經(jīng)典的“1=1和1=2”法

加引號法雖然很直接，但是由于SQL注入攻擊的普及，所以很多程序員已經(jīng)在網(wǎng)頁程序?qū)⒁栠^濾掉。很多時(shí)候檢測提交包含引號的鏈接時(shí)，會提示非法字符，或者不返回任何信息。但這并不等于不存在SQL注入漏洞，這時(shí)候黑客往往會使用經(jīng)典的“1=1和1=2”法進(jìn)行檢測。

首先提交網(wǎng)址鏈接http://www.*****.com/***.asp? id=xx and 1=1。

一般應(yīng)該運(yùn)行正常，而且與“http://www.*****.com/***.asp? id=xx”運(yùn)行顯示頁面相同。

再提交“http://www.*****.com/***.asp? id=xx and 1=2”，頁面運(yùn)行異常。

如果滿足上面的顯示，那么就說明當(dāng)前頁面中存在SQL注入漏洞，反之則可能不能注入。此方法對PHP站點(diǎn)同樣適用。

例如，某PHP站點(diǎn)鏈接地址為“http://www.he**.com.cn/superbaby/galleryint roduced.php? ID=5404”，正常頁面中顯示數(shù)據(jù)庫中相應(yīng)的“寶寶姓名”、“所在城市”等信息及圖片（圖32）。

采用上面的方法，先在鏈接地址后添加“and 1=1”，提交鏈接地址為：

            http://www.he＊＊.com.cn/superbaby/galleryintroduced.php? ID=54
            04 and 1=1

返回顯示與正常狀態(tài)相同（圖33）。

再在鏈接地址后添加“and 1=2”，提交鏈接地址為：

            http://www.he＊＊.com.cn/superbaby/galleryintroduced.php? ID=54
            04 and 1=2

返回的頁面中（圖34），沒有任何信息，說明該網(wǎng)頁鏈接存在著PHP注入漏洞。

2．快速掃描出網(wǎng)站的安全威脅

除了可以使用上述介紹的方法手工檢測某個(gè)網(wǎng)站中存在的SQL注入漏洞外，還有更為簡便的方法，那就是直接使用一些漏洞掃描工具對整個(gè)網(wǎng)站進(jìn)行掃描。這些安全檢測工具，一旦落入攻擊者的手中，就將成為攻擊的罪惡利器。

1）WIS掃描法

“WIS+WED”是一個(gè)SQL注入組合工具包，其中的WIS是一個(gè)命令行的SQL注入漏洞掃描工具，使用格式為（圖35）：

            wis  ＜Web Page＞

以掃描“http://net110.**.net/”網(wǎng)站中存在的SQL注入漏洞的網(wǎng)站為例，在命令行下輸入命令：

            WIS http://net110.＊＊.net/

命令執(zhí)行后，會將存在SQL注入漏洞的網(wǎng)址鏈接以紅色顯示（圖36）。

2）使用NBSI掃描

NBSI可以在圖形界面下對網(wǎng)站進(jìn)行注入漏洞掃描。運(yùn)行程序后，單擊工具欄上的“網(wǎng)站掃描”按鈕，然后在網(wǎng)站地址中輸入要掃描的網(wǎng)站鏈接地址，再選擇掃描的方式。如果是第一次掃描的話，可以選擇“快速掃描”，如果使用該方式?jīng)]有掃描到漏洞時(shí)，再使用“全面掃描”項(xiàng)。最后單擊【掃描】按鈕，即可在下面的列表中看到可能存在SQL注入的鏈接地址（圖37）。

請注意，在掃描結(jié)果列表中將會顯示注入漏洞存在的可能性，其中標(biāo)記為“可能性：較高”的注入成功的機(jī)率較大些。

上面介紹的兩種掃描工具都是運(yùn)行于ASP網(wǎng)站下的，對于使用PHP語言的網(wǎng)站，一般沒有直接進(jìn)行掃描的工具，還是手工檢測比較可靠些。

2.3.4 區(qū)分SQL注入點(diǎn)的類型

根據(jù)注入時(shí)提交的變量參數(shù)類型，SQL注入點(diǎn)有不同的分類，不同的注入點(diǎn)，其注入時(shí)需要注意的事項(xiàng)也有所不同。按提交參數(shù)類型，SQL注入點(diǎn)主要分為下面3種。

1．?dāng)?shù)字型注入點(diǎn)

形如“http://******? ID=50 ”，這類注入的參數(shù)是“數(shù)字”，因此稱為“數(shù)字型”注入點(diǎn)。

此類注入點(diǎn)提交的SQL語句，其原形大致為：

            Select ＊ from 表名 where 字段=50

當(dāng)我們提交注入?yún)?shù)為“http://******? ID=50 And [查詢條件]”時(shí)，向數(shù)據(jù)庫提交的完整SQL語句為：

            Select ＊ from 表名 where 字段=50 And [查詢條件]

2．字符型注入點(diǎn)

形如“http://******? Class=日期” 這類注入的參數(shù)是“字符”，因此稱為“字符型”注入點(diǎn)。

此類注入點(diǎn)提交的SQL語句，其原形大致為：

            Select ＊ from 表名 where 字段=’日期’

當(dāng)我們提交注入?yún)?shù)為“http://******? Class=日期And [查詢條件]”時(shí)，向數(shù)據(jù)庫提交的完整SQL語句為：

            Select ＊ from 表名 where 字段=’日期’ and [查詢條件]

3．搜索型注入點(diǎn)

這是一類特殊的注入類型。這類注入主要是指在進(jìn)行數(shù)據(jù)搜索時(shí)沒過濾搜索參數(shù)，一般在鏈接地址中有“keyword=關(guān)鍵字”，有的不顯示明顯的鏈接地址，而是直接通過搜索框表單提交。

此類注入點(diǎn)提交的SQL語句，其原形大致為：

            Select ＊ from 表名 where 字段like ‘%關(guān)鍵字%’

當(dāng)我們提交注入?yún)?shù)為“keyword=' and [查詢條件] and ‘%' =' ，則向數(shù)據(jù)庫提交的完整SQL語句為：

            Select ＊ from 表名 where字段like ‘%' and [查詢條件] and ‘%' =' %’

2.3.5 判斷目標(biāo)數(shù)據(jù)庫類型

目前，網(wǎng)上建站使用的一般是ASP+MS SQL Server/Access或PHP+MySQL這兩種架構(gòu)。因此，對于PHP網(wǎng)站使用的數(shù)據(jù)庫為可能是MS SQL、MySQL；對ASP網(wǎng)頁來說，使用的數(shù)據(jù)庫可能是Access、MS SQL，也可能是MySQL，針對不同的數(shù)據(jù)庫采用的注入方式法略有差異。

判斷注入漏洞網(wǎng)站數(shù)據(jù)庫類型，主要是為了決定采取的注入攻擊方式。一般來說，由于SQL Server有一些內(nèi)置的系統(tǒng)變量，因此在注入時(shí)可以利用一些查詢語句直接返回其表名或字段名；但是Access的SQL查詢功能就簡陋得多，無法返回正確信息，因此可構(gòu)造特殊的語句來進(jìn)行判斷。

如何判別這兩種數(shù)據(jù)庫類型呢？

1．過分體貼的錯(cuò)誤信息

為了方便網(wǎng)站管理者解決各種操作錯(cuò)誤的問題，網(wǎng)站通常會將各種錯(cuò)誤信息進(jìn)行詳細(xì)的反饋，顯示在網(wǎng)頁出錯(cuò)頁面中。這些“體貼”的設(shè)計(jì)，反而給攻擊者帶來了便利，攻擊者通過注入點(diǎn)的返回信息，可以判斷出網(wǎng)站所使用的數(shù)據(jù)庫類型。

例如，在返回信息中，看到如“Microsoft OLE DB Provider for SQL Server錯(cuò)誤 ’80040e14' ”，由此可以看出數(shù)據(jù)庫采用的是SQL Server；如果返回“Microsoft JET Database Engine錯(cuò)誤 ’80040e14' ”之類的信息，基本上可以確定采用的是Access數(shù)據(jù)庫（圖38）。如果提示信息為“Microsoft OLE DB Provider for ODBC Drivers錯(cuò)誤 ’80040e14' ”的語句，則有可能是Access數(shù)據(jù)庫，也可能是SQL數(shù)據(jù)庫。

例如，提示信息為：

            Microsoft OLE DB Provider for ODBC Drivers 錯(cuò)誤 '80040e14'
            [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '8' ' 之前
            有未閉合的引號。
            /web/ChannelContent.asp，行45

從上面的錯(cuò)誤信息“Microsoft OLE DB Provider”，可以看出數(shù)據(jù)庫采用OLE DB驅(qū)動；“[Microsoft][ODBC SQL Server Driver][SQL Server]”，則說明此網(wǎng)站使用的是SQL數(shù)據(jù)庫（圖39）。如果提示信息為：

            Microsoft OLE DB Provider for ODBC Drivers 錯(cuò)誤 '80040e14'
            [Microsoft][ODBC Microsoft Access Driver] 字符串的語法錯(cuò)誤 在查
            詢表達(dá)式 ' b_id=175' ' 中。
            /view.asp，行8

說明此網(wǎng)站數(shù)據(jù)庫采用OLE DB驅(qū)動，從“[Microsoft][ODBC Microsoft Access Driver]”看出采用的是Access數(shù)據(jù)庫。

2．報(bào)出數(shù)據(jù)庫類型

SQL Server有一些系統(tǒng)變量和系統(tǒng)表，如果服務(wù)器IIS提示沒關(guān)閉，并且SQLServer返回錯(cuò)誤提示的話，那可以直接從出錯(cuò)信息獲取判斷數(shù)據(jù)庫的類型。

1）內(nèi)置變量報(bào)出數(shù)據(jù)庫類型

其方法是在注入點(diǎn)之后加上“and user＞0”字符，示例如下：

            http://www.＊＊＊.com/jobs.asp? ID=1651 and user＞0

這條語句很簡單，但卻是很典型的SQL Server注入原理的體現(xiàn)。我們來看看它的含義：首先，前面的語句是正常的，重點(diǎn)在“and user＞0”, “user”是SQLServer的一個(gè)內(nèi)置變量，它的值是當(dāng)前連接的用戶名，類型為“nvarchar”。將一個(gè)“nvarchar”的值跟“int”的數(shù)“0”比較，系統(tǒng)會先試圖將“nvarchar”的值轉(zhuǎn)成“int”型。然而在轉(zhuǎn)換的過程中肯定會出錯(cuò)，因此SQL Server會報(bào)出錯(cuò)提示信息（圖40）：

            Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 '80040e07'
            將 nvarchar 值 ' ＊＊＊＊' 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語法錯(cuò)誤。
            /city/dz/lx/show.asp，行 8

其中的“***”正是變量“user”的值，這樣就拿到了數(shù)據(jù)庫的用戶名。這里重點(diǎn)不是在于用戶名，而是數(shù)據(jù)庫的判斷，凡是出現(xiàn)上面的錯(cuò)誤信息，都可以判斷是SQL數(shù)據(jù)庫。

用上面的方法可以很方便地測試出數(shù)據(jù)庫類型是否為SQL，但有時(shí)如果用戶是以“sa”登錄，那么提示信息將有所不同，提示信息為：

            將”dbo”轉(zhuǎn)換成int的列發(fā)生錯(cuò)誤
            這樣的情況下，也可以判斷是采用的SQL數(shù)據(jù)庫。

反之，如果采用的是Access數(shù)據(jù)庫的話，那么提示信息則會為：

            Microsoft OLE DB Provider for ODBC Drivers 錯(cuò)誤 '80040e10'
            [Microsoft][ODBC Microsoft Access Driver] 參數(shù)不足，期待是 1。
            /index/info/jobs.asp，行 8

從“參數(shù)不足，期待是1”信息，可以肯定這是一個(gè)Access數(shù)據(jù)庫（圖41）。

2）內(nèi)置數(shù)據(jù)表報(bào)出數(shù)據(jù)庫類型

在前面介紹經(jīng)典的“1=1和1=2”法進(jìn)行注入點(diǎn)檢測時(shí)，通常是用于服務(wù)器不返回錯(cuò)誤信息，或者過濾了單引號的情況。如果服務(wù)器IIS不允許返回錯(cuò)誤提示，怎么判斷數(shù)據(jù)庫類型呢？在這樣的情況下，只能通過數(shù)據(jù)庫內(nèi)置的系統(tǒng)數(shù)據(jù)表來進(jìn)行判斷。

Access和SQL Server數(shù)據(jù)庫都有自己的系統(tǒng)表，比如存放數(shù)據(jù)庫中所有對象的表，Access是在系統(tǒng)表[msysobjects]中，但在Web環(huán)境下讀該表會提示“沒有權(quán)限”, SQL Server是在表[sysobjects]中，在Web環(huán)境下可正常讀取。因此，根據(jù)Access和SQLServer數(shù)據(jù)庫系統(tǒng)表的區(qū)別，可以判斷這兩種數(shù)據(jù)庫類型。

在注入點(diǎn)后提交如下語句：

            http://www.＊＊＊＊com/showdetail.asp? id=49 and (select count(＊)
            from sysobjects)＞0
            http://www.＊＊＊＊.com/showdetail.asp? id=49 and (select count(＊)
             from msysobjects)＞0

如果數(shù)據(jù)庫是SQL Server，那么第一個(gè)網(wǎng)址的頁面與原頁面“http://www.***.com/showdetail.asp? id=49”是大致相同的（圖42）；而第二個(gè)網(wǎng)址，由于找不到表“msysobjects”，會提示出錯(cuò)，提示信息為：

            Microsoft OLE DB Provider for SQL Server 錯(cuò)誤 '80040e37'
            對象名 ' mssysobjects' 無效。
            /city/dz/lx/show.asp，行 8

就算程序有容錯(cuò)處理，不會返回錯(cuò)誤信息，但是頁面也與原頁面完全不同（圖43）。

如果數(shù)據(jù)庫采用的是Access，那么情況就有所不同：提交第一個(gè)網(wǎng)址鏈接的頁面與原頁面完全不同，提示錯(cuò)誤信息為（見圖44）：

            Microsoft OLE DB Provider for ODBC Drivers 錯(cuò)誤 '80040e37'
            [Microsoft][ODBC Microsoft Access Driver] Microsoft Jet 數(shù)據(jù)庫
            引擎找不到輸入表或查詢 ' mssysobjects' 。 確定它是否存在，以及它的名稱的
            拼寫是否正確。
            /index/info/jobs.asp，行 8

由于在Access中不存在“sysobjects”表，因此會提示“找不到輸入表或查詢'sysobjects' ”。在提交第二個(gè)網(wǎng)址鏈接，其返回信息根據(jù)數(shù)據(jù)庫設(shè)置是否允許讀該系統(tǒng)表，從而導(dǎo)致返回的錯(cuò)誤信息不同。一般在Access中是不允許讀取該表的，所以與原網(wǎng)址也是完全不同的。

一般來說，大多數(shù)情況下，提交第一個(gè)網(wǎng)址鏈接就可以得知系統(tǒng)所用的數(shù)據(jù)庫類型，第二個(gè)網(wǎng)址只作為開啟IIS錯(cuò)誤提示時(shí)的驗(yàn)證。

另外，通過自動化的注入工具，也可以自動進(jìn)行注入點(diǎn)的判斷。