记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

让你飞速学会手工注入

2015-06-30 10:40

扔掉工具 跟我一起学ASP手工注入!

 

 

 

前言:

现在的网络,脚本入侵十分的流行,而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜,都会为它那巨大的威力和灵活多变的招式所着迷!

正是因为注入攻击的流行,使的市面上的注入工具层出不穷!比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等!这大大方便的小菜们掌握注入漏洞!可是,工具是死的,注入的手法却是活的,能否根据实际情况灵活地构造SQL注入语句,得到自己想要的信息,是[被屏蔽的不受欢迎关键词]高shou与小菜的根本区别!只用工具,而不去管它的原理,是不可能得到提高的,当然,在遇到一些特殊情况的时候,那些只会用工具的小菜们也只能放弃了!所以学会手工注入自己构造SQL注入语句是一个黑客爱好者必上的一堂课!我希望这篇文章能够给那些还不会手工注入的朋友一点启发!帮助大家早日摆脱工具,早日踏入[被屏蔽的不受欢迎关键词]高shou的行列!

 

 

 

 

恶补基础:

要想学会手工注入,有一个名词是不得不提的,那就是数据库系统!

 

1。简介

数据库系统分为数据库和数据库管理系统!数据库是存放数据的地方,数据库管理系统则是管理数据库的软件!数据库中数据的存储节构叫数据模型!有四种常见的数据模型,分别是层次模型、网状模型、关系模型和面向对象模型。其中关系数据模型是最主要的数据模型,ACCESS、MSSQL、ORACLE等都是关系模型数据库系统。其中以ACCESS、MSSQL数据库系统最为常见!这些都是理论的知识,希望大家理解!

 

2。基本概念

表:表是一个关系数据库的基本组成元素!它按行与列组合排列成相关信息。通常行称为记录,列称为域。每个域称为一个字段!每一条记录都由多个字段组成。每个字段的名字叫做字段名,每个字段的值叫估字段值。表中的每一行即每一条记录都拥有想同的结构!如图1。

图1中的这张表里有14行,即14条记录。有4列,即4个字段,4个字段的名字分别叫:job_id(下面对应的1、2、3等都是这个字段的值,后面三个字段的值举一反三!) 、job_ desc、 min_lvl、max_lvl。因为本文不是专讲数据库知识的,所以这里只讲一些最重要的概念,有兴趣的朋友可以自己去查看数据库的有关资料!

 

3。注入的条件

只有调用数据库的动态页面才有可有存在注入漏洞,动态页面包括asp php jsp cgi等。本文只讲对ASP页面的注入。那什么是调用数据库的页面呢?比如这样的形势:

asp?id= php?id=  这样的样子的都是调用数据库的页面。”?”后面加的id的名字叫变量,注意这个变量是可以随便换的,”=”号后面的值名字叫参数!这个参数也是可以变的!大家的思路一定要灵活,要学会举一反三,不要太死板!

 

4。注入漏洞的原理分析:

程序对用户提交的变量没有进行有效的过滤,就直接带入查询语句中,这样,我们就可以提交具有数据查询功能的语句,加入到程序将要提交的信息中去,再根据服务器返回的信息来判断数据库里的内容!光这样说大家可能不太好理解,不要紧,接着往下看。

 

 

 

 

实战部分:

 

如果是刚刚接触注入的新手朋友,我们要做的第一步就是,用鼠标右键点击桌面上的IE图标,再点属性,然后再点“高级”,然后往下拉滚动条,找到“显示友好HTTP错误信息”,把前面的勾去掉,再点“确定”,这样做是为了让我们得到更多的服务器返回的信息!

 

第一部分:ACCESS数据库手工注入

 

1。判断是否存在注入漏洞:

这个相信大家都应该知道! 就是在一个调用数据库的网址后面加上分别加上 and 1=1和 and 1=2 ,如果加入and 1=1返回正常(就是和原来没有加 and 1=1时页面样子的一样),而加入 and 1=2返回错误(和原来没有加 and 1=2时页面的样子不一样),就可以证明这个页面存在注入漏洞。比如:

http://www.xxx.com/a.asp?id=7,这个网页,我们在后面加上 and 1=1(两个空格,and前面一个,and和1=1之间一个!),网址就变成了

http://www.xxx.com/a.asp?id=7 and 1=1,用IE打开这个网页,返回正常!再尝试在后面加上and 1=2,网址就变成了

http://www.xxx.com/a.asp?id=7 and 1=2,同样用IE打开这个网页,返回错误!这就说明这个网页http://www.xxx.com/a.asp?id=7存在注入漏洞,是一个注入点!(存在注入漏洞的网页叫注入点!)可是,并不是所有的页面都可以这样判断,有的页面不管你加入 and 1=1 还是 and 1=2,返回的都是错误的页面,难道这样的页面就没有注入漏洞吗?不一定!比如这个页面:http://www.xxxxxx.com/b.asp?id=ade7, 不管我们在后面上的是and 1=1还是and 1=2,它都返回错误的页面!这个时候我们就要尝试用另一种方法来测试漏洞了,这种方法可以说是and 1=1和and 1=2的变种方法。原来的网址是这样的:http://www.xxxxxx.com/b.asp?id=ade7,现在我们把它变成这个样子:http://www.xxxxxx.com/b.asp?id=ade7′ and ‘1’=’1 ,用IE打开它,看看返回正不正常!如果正常,那就可以接着用这个地址来进一步测试漏洞是否存在(如果返回不正常那这个页面就很有可能不存在注入漏洞!):http://www.xxxxxx.com/b.asp?id=ade7′ and ‘1’=’2 ,用IE打开这个网址,如果返回错误的话,那这个网址http://www.xxxxxx.com/b.asp?id=1就存在注入漏洞!

 

A。数字型参数注入点分析!

这时肯定有朋友要问了,为什么用一开始那种and 1=1 and 1=2不行呢!呵呵,先不要急,先看看这两个存在注入漏洞的页面有什么不一样?

(你不要告诉偶第二个网址比第一个网址多了几个X),相信大家已经看到了,第二个网址后跟的参数是ade7,是字符!而第一个网址后跟的参数是7,是数字!就是因为这里,才引起了测试漏洞的语句的不同!学过数据库的朋友们应该知道,在查询中,字符型的值,是要用单引号包起来的,也就是这个样子’字符型数据’。这里假设第一个注入页面所对应的查询语句是这样的(凡是调用数据库的页面都会有一条或者几条对应的查询语句,用来对数据库里的内容进行查询!)

:select * from 表名 where id=7。这是原来的那条查询语句,这条语句是正确的,可以在数据库中查询出相应的内容!可是如果我们在网址后面加上了 and 1=1,那这条查询语句就会变成select * from 表名 where id=7 and 1=1(这下知道了注入漏洞原理分析那里讲的变量没有过滤的意思了吧!),这里有必要说一些数据库的有关知识,这条语句里,and是逻辑运算符!(这个记住就行了),用中文翻译过来就是“和”的意思!在高中的数学里讲过,用“和”来连接的两个句子,必须都是真的,不然整个句子就不是真的!比如:苹果和大象都是水果。这句话就是错的,苹果是水果,可是大象不是!这下大家应该可以理解“用“和”来连接的两个句子,必须都是真的,不然整个句子就不是真的”这句话了吧。如果换成苹果和梨都是水果,那这句话就是对的。知道了and的用处后,再回来看select * from 表名 where id=7 and 1=1这个句子,and 前面的select * from 表名 where id=7肯定是对的,(为什么呢,如果这条查询语句都不对,那这个注入页而就有问题了!所以and前面的那个句子一定是对的!)。再看and后面,1=1,不用我说了吧,也是对的(难道一不等于一吗?)根据刚才说的and用处,现在我们可以判定select * from 表名 where id=7 and 1=1这条查询语句,仍然是对的!所以它还是可以正确地从数据库里查询出信息,返回给我们!

举一反三,那这个句子:select * from 表名 where id=7 and 1=2,肯定是不对的了,那这条查询语句就不能正确地从数据库里查询出信息,所以我们就会看到一个错误的页面! 以上是注入点参数是int(整数型)时的分析!

 

B。字符型参数注入点分析

和刚才一样,我们先来看第二个字符型注入页面里的查询语句,比如是这个select * from 表 where id=’ade7′(为什么加引号

 

 

 

 

 

 

 

4。猜解列的值!

 

这是重点了,相信大家看到这里也会激动起来吧?好,费话不多说,现在我就教大家怎么来猜!用到的语句是

and (select top 1 asc(mid(列,X,1)) from 表)>N,这个句子里的N和X都是数字!先来给大家讲一下这个语句中用到的两个函数!第一个就是asc(),这个函数是用来得到()里的字符串的ASCII码。什么 是ASCII码呢?计算机内部采用二进制的方式计数,那么它为什么又能识别十进制数和各种字符、图形呢?其实,不论是数值数据还是文字、图形等,在计算机内部都采用了一种编码标准。通过编码标准可以把它转换成二进制数来进行处理,计算机将这些信息处理完毕再转换成可视的信息显示出来。常用的字符代码是ASCII码,它原来是美国的国家标准,1967年被定为国际标准。 这是我从网上找的,因为我也不知道怎么跟大家说,大家知道一下就行了,能理解更好!简单地说任何字符都可以用数字来表示,这个数字就是这个字符所对应的ASCII码。(不知道对不对,我是这么理解的)!比如a所对应的ASCII码就是97,好了,这个明白了,下面再看另一个函数:mid(字符串,A,N) ,这个函数是用来截取()里字符串从第A个长度起往后截取N个字符!比如吧,mid(username,2,3),这个小句子的意思呢,就是从username的第二位截取3个字符!截取完后也就是ser了!明白了吧!注意,我们在注入的时候用这个函数的时候都是这么用的!mid(列,A,1),最后面那个数字是1,为什么呢!因为asc()这个函数一下就只把一个字符转换成ASCII码,所以我们用mid()函数来截取列值的时候只截取一位!函数介绍到这里!大家看完这两个函数后应该就可以看明白上面那个句子的意思了吧。就是:(再讲一下SQL语句是有运算先后顺序的,就好像数学一样,先算乘除,后算加减,不过如果加了括号就先算括号里的,SQL也是这样归定的!)先用mid函数截取出从第X位开始往后一位的字符(注,包括第X位,其实说白了就是截取第X位的字符)!然后再用asc()函数来得到这个字符的ASCII码,前面的select top 1前面已经讲过了。from 表 就更不用说了!那个>X呢,就像刚才猜列值长度一样,用来猜所截获的字符的ASCII码的大小的!光这么说可能有的朋友还是不懂,所以我打算做一下教程出来。不过时间可能慢点!用这个句子就可以把列值的第一位的ASCII码猜出来:select top 1 asc(mid(username,1,1) from admin)>N

就这样把username列值的第一位猜出来!如果要猜第二位怎么办呢,很简单,把mid(username,1,1)改成mid(username,2,1)就可以了,刚才我们不是已经用上面讲过的猜列值长度的句子把长度猜出来了么,那如果一个列值的长度是7 我们就一直改变到mid(username,7,1)就可以把值全部猜出来!如果想猜别的列就把username改成别的列的名字!对了,现在说一下,在注入过程中,会有一些特殊的情况!这些情况以后再给大家讲。再说一点,我以后用的例子都是参数是数字型 的注入点!如果是字符型的,就按我前面说的方法稍微把语句改动一下就可以了!

 

 

5。懒人的绝招!union联合查询!

 

先简单地介绍一下union,这个也是数据库里的一个小知识了。所以,劝大家去学学数据库,对脚本入侵很有帮助的!!union是用来把两个查询语句联合起来的,所以用union的语句我都叫它联合查询语句!比如这两个查询语句!select * from admin, select * from user,我想把它们的查询结果保存到一个表里,这个时候union就起到作用了!我们可以用这个语句来实现我们的目的!select * from admin union select * from user!怎么样?很简单吧?对,它就是这么简单!不过他在入侵时的作用可不简单哦!现在来说用union联合查询来快速得到列值的方法!注:union所连接的两个查询语句,它们所查询的字段数据一定要相同,不然会出错的!比如前面那个句子查询了一个字段,后面那个句子查了两个,那这个句子就是错的!一定要一样哦!根据union的这个性质!我们要想用union联合查询,就一定要知道注入点所对应的SQL查询语句查询了多少个字段!我们可以一个一个地猜,比如注入点是

http://www.xxx.com/xx.asp?x=1,那我们就可以用这个句子来猜这个注入点所对应的查询语句查询了多少个字段!http://www.xxx.com/xx.asp?x=1 union select 1,2 from 表!如果返回的信息是

Microsoft JET Database Engine 错误 ‘80040e14′

在联合查询中所选定的两个数据表或查询中的列数不匹配。

这就说明我们猜的字段数不对,然后我们接着猜,一个一个数往后加,注意喽!有的注入点查询了几十个字段呢!哈哈!那什么时候算是猜对字段了呢?那当然是不报错的时候啦!还要注意,这里的不报错指的是不报出刚才那个错误,而是在网面里显示出了几个数字!这个时候就说明我们查询字段查对了!现在我们就可以直接得到列值了,再注意,表名和列名我们一定要事先已经知道或者已经猜出来了。不然没用!如果我们猜到第10个字段的时候,页面里显示出了数字!

http://http://www.xxx.com/xx.asp?x=1 union select 1,2,3,4,5,6,7,8,9,10 from admin  。比如语句是这样的,这个时候我们就看页面里显出了哪几个数字!比如显出了3,那我们就把3换成我们要猜的列名!比如我们要猜username,就把注入语句改成

http://www.xxx.com/xx.asp?x=1 union select 1,2,username,4,5,6,7,8,9,10 from admin 。要猜其它的也一样!呵呵,这样快多了吧!如果在猜查询多少个字段的时候显示的错误不是上面那个 “在联合查询中所选定的两个数据表或查询中的列数不匹配。” 那就说明不可以用联合查询了,这招也就没用了! 可能又有朋友要说了,如果查询的字段很多,那一个一个猜不是要累死么?呵呵,真是的!哪有那么多的牢骚!好,再教你们另一个快速猜字段的方法!

order by!这两个单词在SQL里是给查询结果排序用的!这个大家知道就行!怎么用这个句子来猜字段数呢!大家看!还是这个注入点!

http://www.xxx.com/xx.asp?x=1,在后面加上order by N (N是数字!),就成了http://www.xxx.com/xx.asp?x=1 order by N,这里我让N为10,就是http://www.xxx.com/xx.asp?x=1 order by 10,如果返回正常!就接着加大这个数字,如果加到20返回正常,到21返回错误,那就是查询了20个字段!就是这样猜查询了多少个字段!如果我们猜出来它查询了20个,就和刚才一下提交这个语句:

http://www.xxx.com/xx.asp?x=1 union select 1,2,3……..20 from 表! 然后看看哪个数字会显示在页面里,把那个数字改成你要猜的字段,就可以了!呵呵!如果这招不行就只能一个一个猜列值喽!

 

 

6。汉字的猜解!

 

刚才忘了这里了,直到在做教程的时候碰到一个用户名是汉字的,才想起来!

有的时候大家会遇到这样的情况,用逐字猜解列值的方法,有的时候是 >0 页面还是返回错误!看到这样的情况不要慌!不大于0就说晚这个值的ASCII码是负数,也就是汉字喽!这个时候我们要想得到它的ASCII码,就要用到一个函数了!abs()这个函数是用来返回一个值的绝对值的!我们只要把这个函数加在句子里,就可以按照平常的方法猜ASCII码了。具体是这么加的:and (select top 1 abs(asc(mid(列,X,1))) from admin)>N 就是这样了,不过等猜出来后不要忘了加负号哦!猜出ASCII码后就可以用字符转换工具转换成字符了!我以前写了一个小工具,大家可以下载用用!这里提醒大家一下,汉字的ASCII码都是很小的,也就是说在取它们的绝对值后他们会变的很大!所以最好从10000猜起,这样快点!

 

 

 

 

 

 

7。跨库查询!

 

大家可能都遇到过这种情况!就是在找到注入点的时候,猜不出来表名或者是列名!这个时候可能好多刚接触这方面的小菜就要犯难了,有的还专程到论坛里去问!(我那个时候就问过这种问题,郁闷,被一群SB取笑了!)其实,猜不出来是正常的!既然叫“猜”!当然不能每次都猜中了!工具只会按预先设定好的表名或者列名来猜!如果网站所用的数据库里存在一张工具里没有存着的表名或者列名,那工具就猜不出来喽!MSSQL是用爆的,不是用猜的!这点大家要知道!。大家肯定认为那些猜不出来列或者表的注入点就没有用了吧!其实不然,说它的用处大,也不大,用处小,也不小!为什么这么说呢!因为它有另一个用法!不过这个用法在入侵中不常用,有的时候甚至用不了!什么用法呢?就是跨库查询!相信大家还记的,猜表名的语句是这样的!

and exists(select count(*) from 表),是这样的吧?什么?忘了?去看看前面的教程去!这里我告诉大家,其实from后面可以跟路径的!不过要绝对路径!这个路径指向一个数据库,就可以实现跨库查询!比如吧,有一个数据库的路径是 D:\hack\1.mdb ,我们想要跨库查询它的内容!就要用到这个语句:and exists (select count(*) from D:\hack\1.mdb.admin),大家可能看到了,1.mdb后面跟了“.admin”,这是什么呢!其实admin是这个1.mdb里的一个表!当然,在注入网站的时候,我们是不知道要跨的那个数据库是有哪些表的,所以我们要用这种方法去猜!把admin改成别的表,就可以猜别的表存在不存在了!记的哦!如果刚才我们构造的那个注入语句返回正常的话,就说明1.mdb 这个数据库里存在admin这张表!接着就是猜列!和以前的猜法一样,只不过from后面跟的变了变,这里也给大家写一下吧!其实我更希望大家自己思考, 有帮助的!猜列的语句是and (select count(列名) from 数据库路径.表名)>0,知道了吧 ,就是from后面跟的东东变了变!别的没变!一定要记的,数据库路径后面还要加上一个点和一个表名!这就是简单的跨库查询!可能有朋友要问了,这个有什么用呢!现在我告诉大家,当我们知道了一个对我们有用的数据库的绝对路径,可是不能下载,也没有注入点是连接到这个数据库的,这个时候我们就可以随便找一下注入点,前提是这个注入点连接的数据库和你要跨的数据库在同一服务器上!这个时候我们就可以通过这个注入点来跨库查询那一个数据库的内容!明白了吧!其实也不只这一点用处!大家想想,from后面不是可以跟路径么!这个时候我们可不可以用它来猜服务器上的文件内容呢!当然是可以的,只要把from后面跟的数据库站径改成我们要猜的就可以了。这里来一个例子!

and exists (select count(*) from 路径),就可以了(这里我记的不太清了,应该是这样没错,如果有错的话请告诉我一下!)我们把路径改成

C:\windows\1.c  ,(注意:这个c可以是任意的字母!)这个时候如果提示 ‘c:\windows\a.mdb’ 不是一個有效的路徑,就说明不存在c:\windows\这个文件夹!(不要想是不是我写错了或者是忘了找mdb了,没有,等你们自己试验的时候就知道了!)。可是如果提示找不到文件 的话呢,说明存在这个文件夹,可是不存在1.mdb这个文件!这个时候可能大家要问了,这样不是只可以猜mdb的数据吗?因为不管在文件名后面加上什么字母,都会自己变成mdb格式的文件来检测!其实可以查询其它的文件格式的。这么写就可以了。把1.c改成1.exe.c就可以查询这个1.exe是不是存在!如果存在的话,就会提示c:\windows\1.exe不是一个有效的数据库文件!(或者有别的不同的提示,反正不会提示找不到文件!)如果提示找不到文件的话,就说明没有这个文件!这样可以大概确定是服务器是什么系统了!如果存在c:\winnt\的话就是2000以,存在c:\windows\的话应该就是2003了!好!跨库查询的作用就写到这里!等下我给大家制作一下教程!其实还有一个比较实用的方法。就是只要知道一个列名就可以爆所有列名的值。这个方法用到了联接查询join语句!因为我也没有理解这个方法是什么意思,所以这里就不做介绍了!大家如果想要学的话自己到网上找一下相应的资料!当然,如果哪一天 我理解了的话就再补充给大家!

 

8。补充!

 

在注入的时候,可能没有那么顺利,有的时候程序过滤了这个字符或者过滤了那个。或者干脆用了防注入程序。!或者监控器!这个时候我们就没有办法了吗?不!肯定有的!只不过我们没有发现而已,因为这方面的知识我知道的很少,所以只能给大家一点点的思路!如果谁还有知道的就请补充一下!第一,如果程序过滤了空格,我们可以用/**/来代替,也可以用空格的URL编程%20来代替,最近在论坛里看到了另一种方法,我没有试过!地址是这个:http://www.hackerxfiles.net/viewthread.php?tid=16791&highlight=%E7%A9%BA%E6%A0%BC  大家有时间试一下!第二,过滤了”>”或者”<“,我们可以用between用代替!有点英语基础的朋友都知道它是什么意思! 如果程序过滤了><号的话,就证明我们不可以用以前那种方法猜字符的ASCII码了!这个时候我们可以用between!比如,这里我猜admin第一位a的ASCII码!以前我们用到的方法是select asc(mid(admin,1,1))>X 这样猜。可是现在过滤了”>”

了,我们不能用这个句子了。我们就可以这样select asc(mid(admin,1,1)) between 80 and 100(有点记不清了,如果说错了还靖见谅!)如果返回正常,就说明admin的每一个字符a的ASCII码处在80到100之间,这样我们就一点点的缩小范围!直到猜出ASCII码! 第三,如果用了防注入程序,我们就从防注入程序的漏洞下手!以前在网上看过一篇文章,是讲通用防注入程序3。0的漏洞的。地址多少忘了,朋友们自己找一下吧!这方面突破过滤的知识我只知道一点点,不好意思了!

好了,这次ACCES的手工注入教程算是不圆满的结束了!我会以最快的速度学好MSSQL的,到时候再来给大家

 

 

扫“安全盒子”二维码,获取最新互联网资讯!

转载让你飞速学会手工注入请注明出自:安全盒子

知识来源: www.secbox.cn/hacker/4504.html

阅读:110261 | 评论:0 | 标签:黑客 注入

想收藏或者和大家分享这篇好文章→复制链接地址

“让你飞速学会手工注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云