网站SQL注入语句分析 如何盗取网站管理权限

2023-10-08 15:40

本文主要是介绍网站SQL注入语句分析 如何盗取网站管理权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

我们知道网站后台需要验证用户的输入, 如果不这样做, 用户甚至可以输入一些SQL语句操作后台的数据库, 这么好玩的事情一直没有真正体验过. 前几日学校搞了一个"你最喜欢的辅导员"投票活动, 网站估计是给某个学生团队做的, 结果经同学破解了这个网站的管理员帐号和密码, 我遂向他请教了原理, 也了解了他破解的步骤, 自己又实践了一遍. 感谢经同学, 没有他我就不知道这些, 也不可能有这篇博客. 
        本文破解网站的网址是http://xgc.nuist.edu.cn/vote/vote_login.asp. 可能活动过后, 这个网址就打不开了, 也有可能写这个网站的同学意识到了漏洞的严重性, 并进行了改正, 那么本文的内容就不适用于这个网站了.我整理了详细的破解过程跟大家分享, 文中的逻辑比较强, 需要读者耐心的看.  但文本讲述的是破解步骤, 是一般思路, 如果您有疑问, 请留言, 我们交流讨论 :)

一  网站是否存在SQL注入漏洞

        网站一般包含一张用户表(用户名和密码)和一张管理员信息表(管理员名称和密码), 输入用户名和密码之后, 一般做法是后台都会执行一条SQL语句, 查询有没有对应的用户和密码, 比如SELECT * FROM SomeTable WHERE UserName = '$UserName' AND pwd = '$pwd', 如果这条语句返回真, 那么登录操作就完成了. 
        试想一下如果在学号和密码文本框中输入'or'='or', 并提交的话, 上面提到的SQL语句就变成了SELECT * FROM SomeTable WHERE UserName = ''or'='or'' AND pwd = ''or'='or'', 这个语语句变成了一个逻辑表达式, 表达式包含几段, 分别为:

1. SELECT * FROM SomeTable WHERE UserName = ''    (假) 
or 
2. '='    (真) 
or 
3. ''    (假) 
and

4. pwd = ''    (假) 
or 
5. '='    (真) 
or 
6. ''    (假)

        最后整个逻辑表达式为0|1|0&0|1|0, 这个结果为真(在执行到"0|1|..."的时候整个表达式省略号中的就不计算了, 因为"或"前面已经是真), 因此可以登录成功, 事实上也登录成功了.

二  破解后台数据库的原理

        在用户名和密码的文本框中输入'or'='or', 截至上面所示的第2步, 表达式值为真, 因为后面紧接了一个"或", 所以无论在这后面的表达式是什么, "真或者假""真或者真"都是为真的. 关键就是'or'='or'中间的那个'=', '='表示一个字符, 永远为真. 如果我们将这个'='改成某个SQL表达式, 如果这个表达式为真, 那么整个表达式就为真
        后面的几个步骤要求用户名和密码文本框中都输入同样的文本, 原因是: 后台的语句格式可能是SELECT * FROM SomeTable WHERE UserName = '$UserName' AND pwd = '$pwd', 也有可能是SELECT * FROM SomeTable WHERE pwd = '$pwd' AND UserName = '$UserName'无论哪一种情况, 只要用户名和密码都输入的文本是一样的, 只要文本中包含的SQL表达式为真, 那么整个表达式就为真. 这样写带来的另一个好处是复制粘贴很方便. 
        通过写一些SQL表达式来一次一次的测试出数据库里的内容.

三  获取后台数据库的表名

        如果将表达式替换为(SELECT COUNT(*) FROM 表名)<>0, 这个表达式用来获取一个表中有多少条记录, 需要做的就是猜这个表名是什么, 猜中了的话, 那么这个表中的记录条数肯定就不会等于0, 那么这个表达式的值就是真的. 常用的表名也就是那么一些, 一个个的代进去试, 最后发现有个叫做admin的表, 它的字段不为空. 很显然, 这个表是用来存放管理员信息的.

四  获取后台数据库表的字段名

        现在已经知道这个表叫做admin了, 接下来想办法得到这个表中的字段. 
        把表达式替换成(SELECT COUNT(*) FROM admin WHERE LEN(字段名)>0)<>0, 这个表达式用来测试admin这个表中是否包含这个字段. LEN(字段名)>0表示这个字段的长度大于0, 在这个字段存在的情况下, LEN(字段名)>0是始终为真的. 如果包含的话这个字段的话, 整条SELECT语句返回的数字肯定不为0, 也就是说整个表达式为真, 从而得到字段名. 
        按照这样的方法, 靠猜共得出了三个很关键的字段:id, admin, pass.

五  获取字段的长度

        目前已得到的信息是有个admin表, 表中有id, admin, pass字段. 后台中存储用户名和密码, 常规做法是存储它们进行MD5加密后的值(32位), 现在测试一下是不是这样.

        把表达式替换为(SELECT COUNT(*) FROM admin WHERE LEN(字段名)=32)<>0, 将admin和pass代进去结果是真, 说明后台存储管理员帐号和密码用的是加密后32位的字段.

六  获取管理员帐号和密码

        MD5加密后的字符串包含32位, 且只可能是由0-9和A-F这些字符组成. 
1. 获取管理员帐号
        将表达式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)='A')>0, 意思是我猜测某个adimin帐号的第一个字符是A, 如果成功则表达式成立. 失败的话, 把A换成0-9和B-F中的任意字符继续试, 知道成功. 如果成功了, 我再继续猜这个帐号的第二个字符, 假如第一个字符是5, 我猜测第二个字符是A, 那将表达式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,2)='5A')>0. 可以发现字符串中LEFT()函数中的1变成了2, 另外'5A'代码左边两个字符是5A, 其中5已经确定下来了. 就这样重复不断的猜, 直到得到整个32位的MD5加密后的字符串. 
2. 获取该帐号对应的的id
        为什么需要获取该帐号对应的id? 原因如下: 按照上一条是可以得到帐号和密码的, 但一张表中可以有若干个管理员帐号和密码, 怎么对应起来呢? 需要通过id. 一个id对应一条记录, 一条记录只有一对匹配的帐号和密码. 
        将表达式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)='5' AND id=1)>0, 上一条假设了某帐号第一个字符是5, 只要这个表达式中的"AND id = 1"正确, 那么就可以得知该帐号的id是1. 如果不是1, 换成其它的数字一个个的试一试. 
3. 获取帐号对应的密码
        现在已经猜出了某管理员的帐号, 并且知道对应的id是多少(假设得出来是4), 现在只要得到该条记录中记录的密码是什么. 同理, 将表达式改成(SELECT COUNT(*) FROM admin WHERE LEFT(pass,1)='A' AND id=4)>0, 注意id已经是知道了的4, 现在要一个个的猜pass中从第1个到第32个字符是什么, 方法同"获取管理员帐号"方法. 最后可以得到一个32位的MD5加密后的字符串(密码).

*注: 如果嫌手工得到每个字符是什么太麻烦, 可以自己用C#写一个程序, 模拟一下登录, 通过控制一个循环, 可以很快得到结果.

七  将MD5加密后的帐号和密码转成明文

        网上有一些网站数据库里存储了海量(几万亿条)的MD5加密后的暗文对应的明文, 只需输入你需要查找的MD5加密后的字符串就可以查看到明文是什么.

八  寻找网站管理员登录界面

        如果找不到管理员登录界面, 就算现在已经有了管理员的帐号和密码同样也登录不了. 针对这个网站, 提供给普通学生登录的地址是

http://xgc.nuist.edu.cn/vote/vote_login.asp.

        猜猜也知道管理员的登录地址很可能是http://xgc.nuist.edu.cn/vote/login.asp, 事实上就是它.

九  登录网站后台

十  总结

        回头看看这个网站安全性...

如果它在用户输入帐号密码之后进行一下验证, 或许后面的事情就不会发生... 
如果数据库的表名不是这么呆瓜的话, 或许后面的事情就不会发生... 
如果数据库的字段名不是这么呆瓜的话, 或许后面的事情就不会发生... 
如果管理员登录地址不是这么呆瓜的话, 或许后面的事情就不会发生...

        如何验证用户输入? 最简单的方法是过滤掉用户输入的'符号. 除此方法之外, 可以以参数的方式进行数据库查询, 如SELECT * FROM SomeTable WHERE UserName = '" & UserName & "' AND pwd = '" & pwd & "', 而不是直接的把用户输入的信息直接插入到数据库查询语句中. 如果想增加破解难度的话, 还可以在登录的时候要求输入验证码等等... 
        地球太危险了. 上面写的都是查询语句来获取想得到的信息, 如果输入的是一个DROP TABLE命令, 后果不堪设想! 以后自己做网站的时候, 一定要注意这些问题.

这篇关于网站SQL注入语句分析 如何盗取网站管理权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/166339

相关文章

SQL中的外键约束

外键约束用于表示两张表中的指标连接关系。外键约束的作用主要有以下三点: 1.确保子表中的某个字段(外键)只能引用父表中的有效记录2.主表中的列被删除时,子表中的关联列也会被删除3.主表中的列更新时,子表中的关联元素也会被更新 子表中的元素指向主表 以下是一个外键约束的实例展示

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

如何去写一手好SQL

MySQL性能 最大数据量 抛开数据量和并发数,谈性能都是耍流氓。MySQL没有限制单表最大记录数,它取决于操作系统对文件大小的限制。 《阿里巴巴Java开发手册》提出单表行数超过500万行或者单表容量超过2GB,才推荐分库分表。性能由综合因素决定,抛开业务复杂度,影响程度依次是硬件配置、MySQL配置、数据表设计、索引优化。500万这个值仅供参考,并非铁律。 博主曾经操作过超过4亿行数据

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

MySQL数据库宕机,启动不起来,教你一招搞定!

作者介绍:老苏,10余年DBA工作运维经验,擅长Oracle、MySQL、PG、Mongodb数据库运维(如安装迁移,性能优化、故障应急处理等)公众号:老苏畅谈运维欢迎关注本人公众号,更多精彩与您分享。 MySQL数据库宕机,数据页损坏问题,启动不起来,该如何排查和解决,本文将为你说明具体的排查过程。 查看MySQL error日志 查看 MySQL error日志,排查哪个表(表空间

MySQL高性能优化规范

前言:      笔者最近上班途中突然想丰富下自己的数据库优化技能。于是在查阅了多篇文章后,总结出了这篇! 数据库命令规范 所有数据库对象名称必须使用小写字母并用下划线分割 所有数据库对象名称禁止使用mysql保留关键字(如果表名中包含关键字查询时,需要将其用单引号括起来) 数据库对象的命名要能做到见名识意,并且最后不要超过32个字符 临时库表必须以tmp_为前缀并以日期为后缀,备份

[MySQL表的增删改查-进阶]

🌈个人主页:努力学编程’ ⛅个人推荐: c语言从初阶到进阶 JavaEE详解 数据结构 ⚡学好数据结构,刷题刻不容缓:点击一起刷题 🌙心灵鸡汤:总有人要赢,为什么不能是我呢 💻💻💻数据库约束 🔭🔭🔭约束类型 not null: 指示某列不能存储 NULL 值unique: 保证某列的每行必须有唯一的值default: 规定没有给列赋值时的默认值.primary key:

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

MySQL-CRUD入门1

文章目录 认识配置文件client节点mysql节点mysqld节点 数据的添加(Create)添加一行数据添加多行数据两种添加数据的效率对比 数据的查询(Retrieve)全列查询指定列查询查询中带有表达式关于字面量关于as重命名 临时表引入distinct去重order by 排序关于NULL 认识配置文件 在我们的MySQL服务安装好了之后, 会有一个配置文件, 也就