【正文】 okie: __utma=。 s_vi=[CS]v1|289CC3EC851D1C92400001326012B18C[CE]。 elf_h=86b9fa33b1b652a3c73ea82f5e6263beConnection: keepalive該應用系統(tǒng)存在一個cookie注入漏洞，漏洞代碼下圖23，程序代碼沒有任何過濾就將用戶傳入的cookie參數(shù)帶入到數(shù)據(jù)庫中進行執(zhí)行。瀏覽到某頁面的URL如下：://**.。該錯誤表明遠程應用未能正確處理意外的數(shù)據(jù)。 check the manual that corresponds to your MySQL server version for the right syntax to use near 39。文件：D:/***root/general/vote/show/webst/不難發(fā)現(xiàn)，有些應用在處理用戶數(shù)據(jù)時會返意想不到的結果。+39。 數(shù)據(jù)庫響應測試SQL注入攻擊漏洞時，可能會從WEB服務器收到不同的數(shù)據(jù)庫錯誤響應，所以對于這些錯誤的意義需要熟悉和掌握。2. WEB服務器接收到用戶端的請求數(shù)據(jù)，并向數(shù)據(jù)庫服務器發(fā)送SQL查詢。下面列舉常見的SQL錯誤。265039。MYSQL可以在很多架構和操作系統(tǒng)下執(zhí)行，兼容性很好，常見的配置是在裝有l(wèi)inux操作系統(tǒng)的apache web服務器上運行php，但它也可以出現(xiàn)在很多其他場合中。若想自動尋找SQL注入漏洞，主要問題在于檢測遠程服務器響應中的異常。所以，自動發(fā)現(xiàn)SQL注入存在著一定的局限性，自定義的測試和手動測試也顯得非常重要。服務器沒有了攻擊者期望的錯誤回顯，對于攻擊者來說沒有了非常重要的SQL注入攻擊“調(diào)試信息”，所以攻擊者必須找到一個方法來從側(cè)面驗證注入的SQL語句是否得到成功執(zhí)行。這次入侵事件，就是因為一個SQL盲注漏洞引起的。在這里，TinKode[4]利用“SQL盲注”的一個技巧：Timing Attack，用來確認漏洞是否存在。hello39。hello39。hello39。這個攻擊利用技巧在盲注中被稱為Timing Attack。這樣，攻擊者就可以通過構造攻擊Payload猜解遍歷出所有的庫名字母，直到將整個數(shù)據(jù)庫名全部猜解完成為止，然后進一步可以猜解遍歷出數(shù)據(jù)表明、列明和數(shù)據(jù)內(nèi)容，將可以將整個數(shù)據(jù)中的內(nèi)容下載過來。0:0:539。同時，攻擊者還可以利用應用服務器的回顯輸出來進行判斷。=39。=39。其基本思想是：將正常的請求參數(shù)進行拆分，然后使用SQL語句關鍵字對它們進行修改，最終需保證與原數(shù)據(jù)不同，使得后臺數(shù)據(jù)庫服務器解析執(zhí)行帶入的參數(shù)時，與正常的參數(shù)請求一樣的同時也帶入了“非法”的請求?？梢允褂锰囟ǖ臄?shù)據(jù)庫運算符將dllk字符串拆分，向Web服務應用提供與dllk相對應的不同的參數(shù)輸入。lk39。通常WEB架構技術可以使我們猜測驗證出數(shù)據(jù)庫系統(tǒng)。如果數(shù)據(jù)庫響應返回出SQL注入的錯誤消息，一般都會在報錯的響應中可以找到是何數(shù)據(jù)庫系統(tǒng)的線索。圖32 SQL Server錯誤信息在錯誤消息中明確提到了“MySQL”，還附加了一些關于出錯內(nèi)容的有用細節(jié)。somestring39。表33 從數(shù)字函數(shù)推斷DBMS版本 注入語句獲取數(shù)據(jù)UNION語句是數(shù)據(jù)庫管理員經(jīng)常使用函數(shù)之一。如果想在查詢的結果中將重復的值也顯示出來，只需要稍微修改下語法即可：SELECT column1,column2,...,columnN FROM table1UNION ALLSELECT column1,column2,...,columnN FROM table2在SQL注入測試攻擊中，數(shù)據(jù)庫的UNION查詢方法對于攻擊來說作用很大：如果服務器可以正常返回第一個查詢得到的數(shù)據(jù)，若想修改加入數(shù)據(jù)庫UNION查詢，便可以利用讀取到攻擊者想要讀取的該數(shù)據(jù)庫用戶，然后就可以訪問的其他的任何一張數(shù)據(jù)表。因此，如果攻擊者想提取一個數(shù)據(jù)庫字符串值，就可以通過它來保存正在尋找的數(shù)據(jù)，以便找到一個字符串類型的列。,null,null,null://**.+union+select+null,39。,null://**.+union+select+null,null,null,39。假設攻擊者已經(jīng)得到當前數(shù)據(jù)庫包含一張名為users的表，表中包含userid、first_name、和second_name列。因為權限的不同，所能進行的查詢和操作就不同，在后續(xù)的擴大滲透中，在數(shù)據(jù)庫上執(zhí)行的敏感的提權操作也會有所不同，對于攻擊者的攻擊的程度也不同。0:0:539。0:0:639。該Payload的SQL查詢語句尾部的兩條橫線是注釋作用，可以注釋掉所有可能影響原查詢結果的除偽造拼接的SQL攻擊查詢代碼。)is_srvrolemember()也是SQL Server中的TSQL函數(shù)，當它被執(zhí)行，可以返回下列值：1：用戶屬于該組。如果當前的用戶并不是webadmin組中的成員，那么此時URL中的id值就是12/0；這樣的話將會導致SQL語句查詢失敗，Web應用返回的結果是一個錯誤。不過，可以稍作修改優(yōu)化，例：://**.(case+when+(system_user=39。sa39。通常一個數(shù)據(jù)庫系統(tǒng)都可能包含了很多個數(shù)據(jù)庫，但是攻擊者利用的數(shù)據(jù)庫的用戶權限只能訪問其中某一個數(shù)據(jù)庫，在正常的情況下，其他的數(shù)據(jù)庫都不能進行任何操作，但是攻擊者目前掌控的數(shù)據(jù)庫中并沒有想要的信息。 SQL Server數(shù)據(jù)庫的提權在Microsoft SQL Server中，使用命令OPENROWSET是一個很好也比較典型的的數(shù)據(jù)庫攻擊方法。,39。pwd=password39。SQL Server的OPENROWSET在SQL注入攻擊中有多種攻擊方式和技巧。,39。pwd=dllktest39。sa39。SQLOOLEDB39。uid=sa。)該語句查詢嘗試以sa帳號、密碼為12345 Server發(fā)出登錄驗證請求。因為在Oracle數(shù)據(jù)庫中，大多數(shù)的提權攻擊方法都需要前提是PL/SQL注入，而PL/SQL這種注入漏洞通常都很少見。大多數(shù)提權過程都是用的以下的步驟：（1） 首先創(chuàng)建一DBA權限并授權給public的Payload。 獲取口令hashSQL注入利用要想攻擊得到口令hash，所以也必須構造一定的SQL語法傳入數(shù)據(jù)庫服務器進行查詢檢索。舉例若是數(shù)據(jù)庫為SQL Server 2000，hash是存儲在master數(shù)據(jù)庫的sysxlogins表里。如下是可以獲取用戶名等的SQL查詢語句：SELECT name,password FROM 。$表中包含Oracle數(shù)據(jù)庫的用戶以及hash。創(chuàng)建一個文本文件，如圖311所示：圖311 然后在MySQL控制臺下運行下列命令，作用是創(chuàng)建一張表來保存信息，如圖312所示：圖312 創(chuàng)建表然后使用下面的命令導入數(shù)據(jù)到表中，如圖313所示：圖313 導入數(shù)據(jù)到表然后查詢剛新建的表，可以看到文本文件已經(jīng)導入到數(shù)據(jù)庫中，如圖314所示：圖314 表中導入的數(shù)據(jù)MySQL數(shù)據(jù)庫還提供了LOAD_FILE函數(shù)來進行文件的讀取，該函數(shù)可以不用創(chuàng)建數(shù)據(jù)表就可以直接查看到結果，如圖315所示：圖315 LOAD_FILE文件讀取攻擊者通常利用上面的命令函數(shù)來讀取應用系統(tǒng)的配置文件，甚至可以通過讀取的編碼轉(zhuǎn)換變形等讀取到系統(tǒng)的hash文件。 SQL Server數(shù)據(jù)庫的文件讀寫對于Microsoft SQLServer的文件讀取方法，攻擊者通常借用的最多的就是BULK INSERT語句。Oracle中通過三種不同的接口來訪問文件：Utl_fiel_dir/Oracle directoriesJavaOracle Text在默認情況下，非特殊權限的用戶是沒有權限在操作系統(tǒng)層讀寫文件的。下表34所示列舉的就是使用utl_file_dir/Oracle directories的方法基于Oracle數(shù)據(jù)庫來讀取文件的情景：表34 Oracle數(shù)據(jù)庫utl_file_dir/Oracle directories的方法讀文件下面提供的就是一個Oracle讀取文件的示例，示例中利用PL/，讀取了其中的1000個字節(jié)?？梢栽贛acro Ivaldis的Web站點上找到該方法的示例代碼，網(wǎng)址為：除以上方法外，還有一種是利用Oracle Text，這是一種比較少見的讀取文件的技術。其中，DBMS_ADVISOR基本是創(chuàng)建文件最快捷的方式，內(nèi)容為dllk test： Create directory EXT as 39。. 39。)從Oracle 10g以后，可以使用外部表創(chuàng)建一個包含用戶名和密碼的文件，如圖324所示 ：圖324 從外部創(chuàng)建包含用戶名和密碼的文件　　可以在Macro Ivaldi的Web站點上找到Java的示例代碼：　　 執(zhí)行系統(tǒng)命令 執(zhí)行系統(tǒng)命令根據(jù)數(shù)據(jù)庫來操作分別有以下幾種方式:u MySQL執(zhí)行系統(tǒng)命令MySQL數(shù)據(jù)庫本身并不支持執(zhí)行shell命令。但是系統(tǒng)管理員還是可以通過使用sp_configure的方法來啟用“xp_cmdshell”，這樣就給攻擊者有了可趁之機。EXEC sp_configure ‘xp_cmdshell’, 1 –。從Oracle ，便不能再以Oracle數(shù)據(jù)庫系統(tǒng)的用戶身份來執(zhí)行系統(tǒng)命令，需要以nobody用戶權限才能執(zhí)行，方法如圖326所示：圖326 利用DBMS_SCHEDULER執(zhí)行系統(tǒng)命令（2）本地PL/SQL下列的示例代碼使用的是本地PL/SQL為Public授予為DBA權限。第4章 SQL注入高級手法 過濾繞過機制 概述Web應用通常會使用過濾應用，設計這些過濾的目的就是防御SQL注入在內(nèi)的常見攻擊。這些受到保護的web應用層，要是想利用漏洞，則需要尋找一種能避開過濾器防護的方法以便惡意輸入傳遞給易受攻擊的代碼。 UNION SELECT password FROM webUsers WHERE username=39。admin39。而在有時，基本的URL編碼確實被一些防御過濾軟件或者過濾機制過濾掉了，但是攻擊者還可以將編碼轉(zhuǎn)換為雙URL編碼，這種情況通常就是用在有些Web應用本身會將用戶輸入的內(nèi)容多次解碼，而攻擊者就使攻擊的參數(shù)在解碼完畢之前繞過濾防護。l 使用空字節(jié)繞過過濾機制對于在應用代碼外部實現(xiàn)的SQL注入過濾，如入侵檢測系統(tǒng)或WAF，很多時候?qū)τ谶@些情況，都可以嘗試使用空字節(jié)來繞過過濾。在Microsoft SQL Server中，參數(shù)化查詢必須為每個字符串參數(shù)指定最大長度。 dllk39。前面提到的SQL注入在單個HTTP請求和響應中的流程如下所示：（1） 攻擊者HTTP請求中插入了精心構造的參數(shù)；（2） 應用服務器處理輸入的參數(shù)，參數(shù)經(jīng)過了拼接導致SQL查詢被執(zhí)行；（3） 應用服務器有可能會對攻擊者請求的參數(shù)返回輸出結果。下面舉例說明，假設一個通訊簿的應用，在應用系統(tǒng)中，用戶可以保存朋友的聯(lián)系信息。這個過程的流程圖如圖42所示如下：圖42 通訊薄應用更新數(shù)據(jù)流程圖假設上例中引號雙重編碼可以有效的防止常規(guī)的SQL注入。a39。39。,39。應用首先檢索已存在聯(lián)系人的信息：SELECT * RROM webUsers where contactid=123檢索出來的信息保存在內(nèi)存中。+version+39。,...WHERE contactid = 123到上面這個語句后，攻擊以成功執(zhí)行并修改了應用的查詢。若進行SQL注入利用攻擊的時候，應用服務器并沒有給出返回的輸出回顯，可以利用該漏洞與反射XSS漏洞相結合來側(cè)面判斷SQL注入攻擊是否成功執(zhí)行來當成返回回顯。根據(jù)SQL注入攻擊的過程設計開發(fā)一個SQL注入攻擊程序，實現(xiàn)以下功能：（1） 能夠自動掃描識別兩種以上類型的SQL注入攻擊；（2） 能夠利用SQL注入漏洞，進行數(shù)據(jù)庫攻擊，如猜測帳號、口令等；（3） 至少具有對四種類型的數(shù)據(jù)庫進行進行攻擊檢測，能夠?qū)?shù)據(jù)庫的結構信息進行猜解，能對數(shù)據(jù)庫進行數(shù)據(jù)操作；（4） 能夠利用SQL注入執(zhí)行系統(tǒng)命令，能對有一定權限的目標進行文件操作和提權操作；（5） 能一定程度上自定義注入攻擊以繞過簡單防注入機制。然后通過遍歷發(fā)送HTTP請求以及特殊數(shù)據(jù)來觸發(fā)和進一步驗證，通過服務器處理發(fā)送的數(shù)據(jù)所產(chǎn)生的反應來一步步的判斷SQL注入。若想對于目標進行鏈接爬取，首先需要解析URL，通過Python的urlparse模塊可以很輕松的分解URL并重新組裝。對于HTML文件中包含的鏈接內(nèi)容，可以使用read()函數(shù)讀取將數(shù)據(jù)傳遞給HTMLParser對象，HTMLParser的feed函數(shù)可以接收到數(shù)據(jù)，這樣就可以抓取到頁面內(nèi)的鏈接了。這時就可以利用搜索引擎搜索的關鍵字來定位與目標相關的Web鏈接，然后直接將抓取的鏈接進行SQL注入檢測。對于SQL注入頁面判斷來說，常規(guī)的注入，基于錯誤的頁面可以通過判定訪問的正常頁面與返回的頁面進行比較。同樣在Python中，可以使用HTMLParser模塊，使用覆蓋handle_data()的方法來解析文本數(shù)據(jù)。 提取Cookie信息使用Python從頁面中提取cookies信息，可以使用cookielib模塊中的LWPCookieJar()函數(shù)創(chuàng)建一個cookie jar來實現(xiàn)。利用爬蟲技術來對Web目標的鏈接進行抓取確實不失為一個好方法，但很多時候，由于服務器安全設置或者是防火墻的設置，并不允許同一臺服務器的與目標服務器建立大量的連接請求。對于網(wǎng)頁的穩(wěn)定性測試，因為只有動態(tài)的網(wǎng)頁才會有數(shù)據(jù)的交互，對于純粹的html頁面是沒有直接的數(shù)據(jù)庫交互的，所有可以通過多次訪問來確定服務器響應的網(wǎng)頁的md5值是否完全匹配。同時不同的數(shù)據(jù)庫提交的注入?yún)?shù)不同，通過返回的數(shù)據(jù)版本信息特征碼來區(qū)分數(shù)據(jù)庫版本。（2）對測試過程必須進行詳細記錄，便于日后查驗