SQL注入——网络安全问题不容忽视！（二）

写上一篇文章是好几天前的事情了。中间去百度笔试去鸟。现在接着更新。

 

 

今天室友发现了一个可以 用 ' or 1=1 --攻入进去的网站 http://www.iliyu.com/  并且一进去直接就是管理员的身份。可以进行编辑和删除等一些操作。

 

当然，用上述的操作时一些很菜鸟的。一般注重安全意识的系统这个问题已经解决了。不会让你这样简单的攻入进去。所以我们还得另想办法，打入内部。获取系统的数据库相关表的信息。这样我们才能得到更多的信息。

 

我们就对这个党中南大学党校考试系统来进行攻击

 

http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41

 

我们先进行判断，这个系统是不是有错误。判断方法很简单，在41后面加上'单引号

 

http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 ' 

 

如果此时页面和刚才的一样那么说明这个系统是安全的。当然，也许只是对 单引号这些关键词过滤了。而没有对其他关键词过滤，这个我们后面讨论。

如果页面出错。也就是此时的页面和不加单引号的页面不一样。那么我们就考虑它是有问题的，为了进一步进行验证。我们再在url后面加上and 1=1

 

即http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 and 1=1

 

如果此时。页面和不加and 1=1的页面是相同的话，那么说明这个系统是有问题的。

 

 

原理：

 

我们探究一下为什么上述的操作能够证明系统是好的还是坏的。如果系统有问题那么后台的代码就是下面的情况！

 

   首先，没有对获取的值进行判断，是字符串还是整形数据。

 

 

 

String  id=request.getparameter("id");

select  * from   table  where id = id;

    后台是上述代码的话，假如我们在url中输入的是

 

http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 '

 

 那么在后台就运行的sql语句就是下面的形式；

 

select * from table where  id=41'

 

而在数据库中保存的记录是id=41.这样找不到id=41 ' 的。所以就会出错。和正确输入id=41是不一样的页面。

 

 

如果输入的是

 

http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 and 1=1

 

 

那么后台执行的sql语句就是如下

 

select * from table where id=41 and 1=1

 

sql语句当where 条件成立的时候才会执行。1=1 成立，如果存在id=41.那么where语句显然是成立的。

 

加上and 1=1是为了测试是不是后台加了过滤函数之类的。比如过滤and 关键字。

 

 

今天到这！接下节！敬请期待。

 

 

 

评论

4 楼 王树雄 2012-05-08  

2楼说的不无道理，我这几天好好研究下mysql和其他数据库相关漏洞问题。与大家共勉。

3 楼 王树雄 2012-05-08  

我已经搞定了管理员账户和密码。只是密码是md5加密的。md5加密的特性是只能加密不能解密。网上流传的md5加密其实是在数据库里面去搜索是不是有某个字符串用md5加密是我们要解密的结果。

2 楼 zhuyifeng 2012-05-08  

话说用sql server感觉方便很多,不过用mysql的话就另当别论了~~~
首先,mysql查询字段的时候可以用双引号""扩住或是单引号'',而sql server只能用单引号'';
其次mysql的注释符和sql server的也有所区别:
mysql注释符有三种：
1、#...
2、"--  ..."
3、/*...*/
这倒不是重要的,主要是最后一条:
单引号和双引号被用来标志一个被引用字符串的开始，即使是在一个注释中。如果注释中的引号没有另一个引号与之配对，那和语法分析程序就不会认为注释结束。如果你以交互式运行 mysql，你会产生困惑，因为提示符从 mysql> 变为 ’> 或 ">。
所以从客户端查询会因报错而无法进入系统~~~~

1 楼 JuliaAilse 2012-05-08  

坐等你帮我改党课成绩哦！