【正文】 應的 dll文件， ? 盡量不采用 SA權限連接數(shù)據(jù)庫 注入過程中的一些常見問題 ? 關鍵存儲過程被刪除 首先嘗試恢復 xp_cmdshell，提交如下語句： sp_addextendedproc Xp_cmdshell,dllname=39。 EXEC sp_dropextendedproc 39。 EXEC sp_dropextendedproc 39。 EXEC sp_dropextendedproc 39。 原因： 因為 ASP文件的時候，以“ %”為開頭，“ %”標記為結尾的語句都會當作 ASP語句執(zhí)行。通過它可以列出指定目錄下所有的子目錄和文件。ipconfig all39。并且使用 webshell一般不會在系統(tǒng)日志中留下記錄，只會在網(wǎng)站的 web日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗的管理員是很難看出入侵痕跡的。 user helen 123456 /add39。)。|。 提交： and (select count(*) from sysobjects)0 ?如果是 Access數(shù)據(jù)庫，因為不存在 sysobjects表，所以返回結果應該和正常頁面有很大區(qū)別； ?如果是 SQLServer，則應該返回一個查詢成功的正常頁面。 中。 ?這里我們就過濾掉其中的單引號“ 39。)。 admin1 amp。 39。 javascript:(1)/SCRIPT else session(admin)=rs(admin) session(password)=rs(password) session(aleave)=rs(aleave) end if set rs=nothing 一個經(jīng)典的 SQL注入漏洞 分析 ?在用戶名和密碼那里都填入 ‘ OR? ?=? ， ? SQL語句被構造成 select * from admin where admin=? 39?！?，即是把程序的頭兩行改為： admin1=replace(trim(request(admin)),39。 / ，行 8 Eg: 如果是 SQLServer數(shù)據(jù)庫，那么應該返回： Microsoft OLE DB Provider for ODBC Drivers 錯誤 39。 Access數(shù)據(jù)庫的注入 ?把 IE菜單 =工具 =Inter選項 =高級 =顯示友好 HTTP 錯誤信息前面的勾去掉，這樣可以顯示出現(xiàn)的錯誤信息。|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|or|char|declare Tc_Inf = split(Tc_In,|) 39。/Script SQLServer數(shù)據(jù)庫的注入 ? 判斷帳號的權限 ?帳戶有三種不同的權限： Sa權限、 Db_owner權限、Public權限 ? 。 。 如何利用 Sa權限取得 webshell？ ? 可以利用對 Access數(shù)據(jù)庫注入的方法，猜解管理員帳戶密碼，登陸后臺再通過上傳或者寫入配置文件等方法得到 webshell，如前介紹。 此方法用在可以得到命令回顯的情況下，用ipconfig命令得到 ip地址 方法二： 。這個擴展存儲過程同樣只需要 Public權限就可以運行它，它有三個參數(shù)，第一個參數(shù)是路徑，第二個是目錄深度，第三個表示是否列出文件。如果先在數(shù)據(jù)庫之中插入構造的 ASP木馬語句，然后再把數(shù)據(jù)庫備份到磁盤，命名為“ ”，就可以得到 webshell了。Sp_OAGetErrorInfo39。Sp_OAStop39。Xp_regenumvalues39。? 如果提示找不到 ，那就用webshell上傳 ，再執(zhí)行： Exec 39。,null,39。,cmd output exec sp_oamethod cmd,39。 2 PHP注入 ? PHP+MySQL注入的一些特征 ?Version4以下的版本不支持子語句。如過濾了空格可以用 /**/代替。屬于被動攻擊。aamp。) 2. 測試： javascript:alert(饒過第一個限制！ ) 解決方案 2： 替換“ :”為“：” str=replace(str,:,： ) 3. 測試： javascriptamp。) 測試用例： ， ? form action= ? input type=text name=a size=40 ? input type=submit value=提交 ? /form ? % ? str=request(a) ? str=replace(str,amp。x20。 = amp。 ?然后再訪問測試頁面 ，讀出cookie的值。 ? cookies的注入語句 :alert(=“id=”+escape(“這就是asp? id=xx后面 xx代表的數(shù)值 ) and (這里是注入攻擊代碼 )”))。 構造 cookie實現(xiàn)注入 舉例 ?首先提交正常的新聞頁面 ?接著在瀏覽器輸入javascript:alert(=“id=”+escape(“39 and 1=1”))。 Cookie注入 再讀源碼： %owen=request(id)% ?獲取參數(shù) ID，但是沒限制來源（關鍵） Set rsnews=() sql=update news set hits=hits+1 where id=amp。 。stramp。) ? str=replace(str,amp。58是“ :”的十進制格式 解決方案 3： 過濾 ASC字符的轉換代碼“ amp。?msg=39。 2:“”：我們在處理 cookie時 ,javascript將它保存為document對象的一個屬性 ,其屬性名稱是 cookie,利用這個屬性 ,我們可以創(chuàng)建和讀取 cookie數(shù)據(jù) ,在程序中可以使用 :“alert