網(wǎng)站SQL注入語句分析 如何盜取網(wǎng)站管理權(quán)限

 我們知道網(wǎng)站后臺需要驗證用戶的輸入, 如果不這樣做, 用戶甚至可以輸入一些SQL語句操作后臺的數(shù)據(jù)庫, 這么好玩的事情一直沒有真正體驗過. 前幾日學(xué)校搞了一個"你最喜歡的輔導(dǎo)員"投票活動, 網(wǎng)站估計是給某個學(xué)生團隊做的, 結(jié)果經(jīng)同學(xué)破解了這個網(wǎng)站的管理員帳號和密碼, 我遂向他請教了原理, 也了解了他破解的步驟, 自己又實踐了一遍. 感謝經(jīng)同學(xué), 沒有他我就不知道這些, 也不可能有這篇博客.
        本文破解網(wǎng)站的網(wǎng)址是http://xgc.nuist.edu.cn/vote/vote_login.asp. 可能活動過后, 這個網(wǎng)址就打不開了, 也有可能寫這個網(wǎng)站的同學(xué)意識到了漏洞的嚴(yán)重性, 并進行了改正, 那么本文的內(nèi)容就不適用于這個網(wǎng)站了.我整理了詳細(xì)的破解過程跟大家分享, 文中的邏輯比較強, 需要讀者耐心的看.  但文本講述的是破解步驟, 是一般思路, 如果您有疑問, 請留言, 我們交流討論 :)

一  網(wǎng)站是否存在SQL注入漏洞

        網(wǎng)站一般包含一張用戶表(用戶名和密碼)和一張管理員信息表(管理員名稱和密碼), 輸入用戶名和密碼之后, 一般做法是后臺都會執(zhí)行一條SQL語句, 查詢有沒有對應(yīng)的用戶和密碼, 比如SELECT * FROM SomeTable WHERE UserName = '$UserName' AND pwd = '$pwd', 如果這條語句返回真, 那么登錄操作就完成了.
        試想一下如果在學(xué)號和密碼文本框中輸入'or'='or', 并提交的話, 上面提到的SQL語句就變成了SELECT * FROM SomeTable WHERE UserName = ''or'='or'' AND pwd = ''or'='or'', 這個語語句變成了一個邏輯表達式, 表達式包含幾段, 分別為:

1. SELECT * FROM SomeTable WHERE UserName = ''    (假)
or
2. '='    (真)
or
3. ''    (假)
and

4. pwd = ''    (假)
or
5. '='    (真)
or
6. ''    (假)

        最后整個邏輯表達式為0|1|0&0|1|0, 這個結(jié)果為真(在執(zhí)行到"0|1|..."的時候整個表達式省略號中的就不計算了, 因為"或"前面已經(jīng)是真), 因此可以登錄成功, 事實上也登錄成功了.

二  破解后臺數(shù)據(jù)庫的原理

        在用戶名和密碼的文本框中輸入'or'='or', 截至上面所示的第2步, 表達式值為真, 因為后面緊接了一個"或", 所以無論在這后面的表達式是什么, "真或者假""真或者真"都是為真的. 關(guān)鍵就是'or'='or'中間的那個'=', '='表示一個字符, 永遠(yuǎn)為真. 如果我們將這個'='改成某個SQL表達式, 如果這個表達式為真, 那么整個表達式就為真.
        后面的幾個步驟要求用戶名和密碼文本框中都輸入同樣的文本, 原因是: 后臺的語句格式可能是SELECT * FROM SomeTable WHERE UserName = '$UserName' AND pwd = '$pwd', 也有可能是SELECT * FROM SomeTable WHERE pwd = '$pwd' AND UserName = '$UserName', 無論哪一種情況, 只要用戶名和密碼都輸入的文本是一樣的, 只要文本中包含的SQL表達式為真, 那么整個表達式就為真. 這樣寫帶來的另一個好處是復(fù)制粘貼很方便.
        通過寫一些SQL表達式來一次一次的測試出數(shù)據(jù)庫里的內(nèi)容.

三  獲取后臺數(shù)據(jù)庫的表名

        如果將表達式替換為(SELECT COUNT(*) FROM 表名)<>0, 這個表達式用來獲取一個表中有多少條記錄, 需要做的就是猜這個表名是什么, 猜中了的話, 那么這個表中的記錄條數(shù)肯定就不會等于0, 那么這個表達式的值就是真的. 常用的表名也就是那么一些, 一個個的代進去試, 最后發(fā)現(xiàn)有個叫做admin的表, 它的字段不為空. 很顯然, 這個表是用來存放管理員信息的.

四  獲取后臺數(shù)據(jù)庫表的字段名

        現(xiàn)在已經(jīng)知道這個表叫做admin了, 接下來想辦法得到這個表中的字段.
        把表達式替換成(SELECT COUNT(*) FROM admin WHERE LEN(字段名)>0)<>0, 這個表達式用來測試admin這個表中是否包含這個字段. LEN(字段名)>0表示這個字段的長度大于0, 在這個字段存在的情況下, LEN(字段名)>0是始終為真的. 如果包含的話這個字段的話, 整條SELECT語句返回的數(shù)字肯定不為0, 也就是說整個表達式為真, 從而得到字段名.
        按照這樣的方法, 靠猜共得出了三個很關(guān)鍵的字段:id, admin, pass.

五  獲取字段的長度

        目前已得到的信息是有個admin表, 表中有id, admin, pass字段. 后臺中存儲用戶名和密碼, 常規(guī)做法是存儲它們進行MD5加密后的值(32位), 現(xiàn)在測試一下是不是這樣.

        把表達式替換為(SELECT COUNT(*) FROM admin WHERE LEN(字段名)=32)<>0, 將admin和pass代進去結(jié)果是真, 說明后臺存儲管理員帳號和密碼用的是加密后32位的字段.

六  獲取管理員帳號和密碼

        MD5加密后的字符串包含32位, 且只可能是由0-9和A-F這些字符組成.
1. 獲取管理員帳號
        將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)='A')>0, 意思是我猜測某個adimin帳號的第一個字符是A, 如果成功則表達式成立. 失敗的話, 把A換成0-9和B-F中的任意字符繼續(xù)試, 知道成功. 如果成功了, 我再繼續(xù)猜這個帳號的第二個字符, 假如第一個字符是5, 我猜測第二個字符是A, 那將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,2)='5A')>0. 可以發(fā)現(xiàn)字符串中LEFT()函數(shù)中的1變成了2, 另外'5A'代碼左邊兩個字符是5A, 其中5已經(jīng)確定下來了. 就這樣重復(fù)不斷的猜, 直到得到整個32位的MD5加密后的字符串.
2. 獲取該帳號對應(yīng)的的id
        為什么需要獲取該帳號對應(yīng)的id? 原因如下: 按照上一條是可以得到帳號和密碼的, 但一張表中可以有若干個管理員帳號和密碼, 怎么對應(yīng)起來呢? 需要通過id. 一個id對應(yīng)一條記錄, 一條記錄只有一對匹配的帳號和密碼.
        將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(admin,1)='5' AND id=1)>0, 上一條假設(shè)了某帳號第一個字符是5, 只要這個表達式中的"AND id = 1"正確, 那么就可以得知該帳號的id是1. 如果不是1, 換成其它的數(shù)字一個個的試一試.
3. 獲取帳號對應(yīng)的密碼
        現(xiàn)在已經(jīng)猜出了某管理員的帳號, 并且知道對應(yīng)的id是多少(假設(shè)得出來是4), 現(xiàn)在只要得到該條記錄中記錄的密碼是什么. 同理, 將表達式改成(SELECT COUNT(*) FROM admin WHERE LEFT(pass,1)='A' AND id=4)>0, 注意id已經(jīng)是知道了的4, 現(xiàn)在要一個個的猜pass中從第1個到第32個字符是什么, 方法同"獲取管理員帳號"方法. 最后可以得到一個32位的MD5加密后的字符串(密碼).

*注: 如果嫌手工得到每個字符是什么太麻煩, 可以自己用C#寫一個程序, 模擬一下登錄, 通過控制一個循環(huán), 可以很快得到結(jié)果.

七  將MD5加密后的帳號和密碼轉(zhuǎn)成明文

        網(wǎng)上有一些網(wǎng)站數(shù)據(jù)庫里存儲了海量(幾萬億條)的MD5加密后的暗文對應(yīng)的明文, 只需輸入你需要查找的MD5加密后的字符串就可以查看到明文是什么.

八  尋找網(wǎng)站管理員登錄界面

        如果找不到管理員登錄界面, 就算現(xiàn)在已經(jīng)有了管理員的帳號和密碼同樣也登錄不了. 針對這個網(wǎng)站, 提供給普通學(xué)生登錄的地址是

http://xgc.nuist.edu.cn/vote/vote_login.asp.

        猜猜也知道管理員的登錄地址很可能是http://xgc.nuist.edu.cn/vote/login.asp, 事實上就是它.

九  登錄網(wǎng)站后臺

十  總結(jié)

        回頭看看這個網(wǎng)站安全性...

如果它在用戶輸入帳號密碼之后進行一下驗證, 或許后面的事情就不會發(fā)生...
如果數(shù)據(jù)庫的表名不是這么呆瓜的話, 或許后面的事情就不會發(fā)生...
如果數(shù)據(jù)庫的字段名不是這么呆瓜的話, 或許后面的事情就不會發(fā)生...
如果管理員登錄地址不是這么呆瓜的話, 或許后面的事情就不會發(fā)生...

        如何驗證用戶輸入? 最簡單的方法是過濾掉用戶輸入的'符號. 除此方法之外, 可以以參數(shù)的方式進行數(shù)據(jù)庫查詢, 如SELECT * FROM SomeTable WHERE UserName = '" & UserName & "' AND pwd = '" & pwd & "', 而不是直接的把用戶輸入的信息直接插入到數(shù)據(jù)庫查詢語句中. 如果想增加破解難度的話, 還可以在登錄的時候要求輸入驗證碼等等...
        地球太危險了. 上面寫的都是查詢語句來獲取想得到的信息, 如果輸入的是一個DROP TABLE命令, 后果不堪設(shè)想! 以后自己做網(wǎng)站的時候, 一定要注意這些問題.