sql注入實驗報告

1、實驗報告 課程名稱： SQL 注入 專 業(yè)： 班 級： 姓 名： 學 號： 指導教師： 2016 年 3 月 8 日第 頁1、實驗?zāi)康?、掌握 SQL 注入的基本概念。2、掌握 SQL 注入的總體思路。3、掌握通過腳本訪問網(wǎng)站數(shù)據(jù)庫的基本方法。二、實驗原理1、SQL 注入 SQL 是結(jié)構(gòu)化查詢語言的簡稱，它是訪問數(shù)據(jù)庫的事實標準。SQL 注入能使攻擊者繞過認證機制，完全控制遠程服務(wù)器上的數(shù)據(jù)庫。目前，大多數(shù) Web 應(yīng)用都使用 SQL 數(shù)據(jù)庫來存放應(yīng)用程序的數(shù)據(jù)。幾乎所有的 Web 應(yīng)用在后臺都使用某種 SQL 數(shù)據(jù)庫。跟大多數(shù)語言一樣，SQL 語法允許數(shù)據(jù)庫命令和用戶數(shù)據(jù)混雜在一起的。如果開

2、發(fā)人員不細心的話，用戶數(shù)據(jù)就有可能被解釋成命令，這樣的話，遠程用戶就不僅能向 Web 應(yīng)用輸入數(shù)據(jù)，而且還可以在數(shù)據(jù)庫上執(zhí)行任意命令了。2、SQL 注入攻擊的一般順序是： (發(fā)現(xiàn) SQL 注入位置，判斷后臺數(shù)據(jù)庫類型，確定 XP_CMDSHELL 可執(zhí)行情況，發(fā)現(xiàn) WEB 虛擬目錄，上傳 ASP 木馬，得到管理員權(quán)限。3、 SQL 注入攻擊的防范方法： SQL 注入攻擊防范方法目前已經(jīng)有很多，總結(jié)起來有下面一些： （1） 在服務(wù)端正式處理之前對提交數(shù)據(jù)的合法性進行檢查； （2） 封裝客戶端提交信息； （3） 替換或刪除敏感字符/字符串； （4） 屏蔽出錯信息。 （5）不要用字串連接建立 SQL

3、 查詢，而使用 SQL 變量，因為變量不是可以執(zhí)行的腳本； （6）目錄最小化權(quán)限設(shè)置，給靜態(tài)網(wǎng)頁目錄和動態(tài)網(wǎng)頁目錄分別設(shè)置不同權(quán)限，盡量不給寫目錄權(quán)限； （7）修改或者去掉 Web 服務(wù)器上默認的一些危險命令，例如ftp、cmd、wscript 等，需要時再復(fù)制到相應(yīng)目錄； （8）數(shù)據(jù)敏感信息非常規(guī)加密，通過在程序中對口令等敏感信息加密都是采用 md5 函數(shù)進行加密，即密文md5(明文)，本文推薦在原來的加密的基礎(chǔ)上增加一些非常規(guī)的方式，即在 md5 加密的基礎(chǔ)上附帶一些值，如密文md5(md5(明文)123456)；第 頁3、實驗步驟1、查看 Web 程序的數(shù)據(jù)庫打開瀏覽器輸入：“http:

4、本地 ip/phpmyadmin/”圖 1 phpMyAdmin 登錄登陸成功后選擇左邊菜單欄“test”“register”“user”這里可以看到不同權(quán)限級別的用戶以及其密碼，等會通過后面的 SQL 注入來獲取密碼或者提權(quán)。第 頁2、客戶端遠程訪問 Ubuntu 的 Web 程序 在本地 PC 瀏覽器上訪問“http:/（Linux 虛擬機 IP）/SQL_Injection/”“WebApp” “access.php” 第 頁 WebApp 目錄圖3、在打開的登錄模塊 access.php 此模塊使用 GET 提交信息，可以通過 URL 發(fā)送參數(shù)登錄使用數(shù)據(jù)表 user 中存在的用戶名和

5、密碼 Username=bluedon password=mypass 是數(shù)據(jù)庫存在的用戶信息 URL 參數(shù)“?username=bluedon&password=mypass”，將第這條 url 參數(shù)復(fù)制到鏈接之后，回車確定。正常登陸成功當沒有密碼時 URL 參數(shù)“?username=bluedon%23”在沒有發(fā)送密碼的情況下登錄成功。注意到本次操作的 SQL 語句：“SQL 查詢：SELECT * FROM user WHERE username=bluedon# AND password= ” “#”是 MySQL 數(shù)據(jù)庫的注釋符。SQL 語句匹配了用戶名，mysql_num_rows

6、 函數(shù)返回值為第 頁1，符合登錄模塊的驗證條件。無密碼登錄成功無用戶名無密碼的登錄無用戶名無密碼的登錄使用“1=1”這條恒成立的語句，可以在缺少更多信息的情況下，成功登錄。url 參數(shù)：“?username=zor1=1%23”圖：無用戶名無密碼登錄成功在服務(wù)器生成用戶信息文件在服務(wù)器生成用戶信息文件導出文件到 Web 服務(wù)器的 tmp 目錄。數(shù)據(jù)庫中的 user 表被導出到 Ubuntu 服務(wù)器的 tem 目錄?，F(xiàn)在遠程登錄 Web 服務(wù)器（linux 靶機），查看 tmp 目錄下的文件?！癙laces”“Desktop”“File System”“tmp”第 頁圖 1圖 2SQL 注入前，

7、tmp 目錄下不存在“sss.txt ”文件第 頁圖：查看是否存在生成文件使用 url 參數(shù)“?username= or 1=1 into outfile /tmp/sss.txt%23”圖：登錄失敗SQL 注入后，提示“登錄失敗”，但 tmp 目錄下會生成“sss.txt ”文件，用戶信息被導出到 tmp目錄下的 sss.txt（實際文件名與 url 實際輸入相關(guān)）圖：查看是否生成文件提升用戶權(quán)限提升用戶權(quán)限第 頁瀏覽“http:/（Linux 虛擬機 IP）/SQL_Injection/”打開模塊“register.html”用戶名：“test001”，密碼：“test001”，個人主頁：

8、“”“注冊”注冊到的用戶級別為 3注意：模塊的 SQL 操作，最后的字段是數(shù)據(jù)表的權(quán)限圖：注冊圖：注冊成功下面通過 SQL 注入，注冊一個級別為 1 的用戶，回到用戶注冊界面，使用用戶名：“test002”，密碼：“test002”，個人主頁：“ ,1);#”注冊【注：注：,1);# 第一個第一個單引號為英文狀態(tài)的單引號單引號為英文狀態(tài)的單引號】本次注入也是利用了“#”注釋符！圖：注冊第 頁圖：注冊成功數(shù)據(jù)表 register 中可以看到新注冊的用戶“http:/（Linux 虛擬機 IP）/phpmyadmin/index.php”圖：register 表4、實驗問題1、SQL 注入的基本概

9、念是什么？ 答：所謂 SQL 注入，就是通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的 SQL 命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在 Web 表單中輸入（惡意）SQL 語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行 SQL 語句。比如先前的很多影視網(wǎng)站泄露 VIP 會員密碼大多就是通過 WEB 表單遞交查詢字符暴出的，這類表單特別容易受到 SQL 注入式攻擊。 SQL 注入是從正常的 WWW 端口訪問，而且表面看起來跟一般的 Web 頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會對 SQL 注入發(fā)出警報，如果管理員沒查看 IIS 日志的習慣，可能被入侵很長時間都不會發(fā)覺。但是，SQL 注入第 頁的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據(jù)