◆張國防 楊登攀

基于Ｗeb 頁面的SQL注入研究

◆張國防 楊登攀

(海南軟件職業(yè)技術(shù)學(xué)院 海南 571400)

Ｗeb技術(shù)的發(fā)展使得基于C/S傳輸模式的通信逐漸被B/S的通信模式所取代，而Ｗeb源代碼具有易見性和入侵技術(shù)的更新，以及基于SQL的數(shù)據(jù)庫查詢語言構(gòu)造聯(lián)合查詢語句，使得基于SQL注入的Web滲透模式成為一種直接面向數(shù)據(jù)庫的滲透方式，本文分析了SQL注入的原理，在目標(biāo)靶機上完成了驗證試驗，提出了SQL注入發(fā)展的新方向。

SQL注入；Web；滲透

0 引言

大型數(shù)據(jù)庫由于開發(fā)技術(shù)強，數(shù)據(jù)庫的維護技術(shù)團隊強大，每一個新版本的釋放都經(jīng)過非常復(fù)雜的長時間的測試，這使得大型數(shù)據(jù)庫的漏洞難以發(fā)現(xiàn)，即便是發(fā)現(xiàn)漏洞，而針對這種漏洞的補丁更新快，從而使得針對這種大型數(shù)據(jù)庫的滲透比較困難。相反，對于中小型數(shù)據(jù)庫，尤其是不開放源代碼的數(shù)據(jù)庫，開發(fā)技術(shù)團隊沒有大型數(shù)據(jù)庫那樣強大，容易存在各種漏洞，這也成為黑客常常滲透的對象。Access數(shù)據(jù)庫是由各種數(shù)據(jù)表構(gòu)成，這些表存儲用戶的各種數(shù)據(jù)，包括用戶的信息甚至還包括數(shù)據(jù)庫管理員的賬戶和密碼信息，數(shù)據(jù)庫管理員的賬戶信息往往單獨存儲在一張表中，至少存儲著管理員的賬戶和密碼。為了便于管理員對數(shù)據(jù)庫的維護，數(shù)據(jù)庫管理員往往對這些表起一個特殊的名稱，便于管理員記憶。這些工作雖然方便了管理員的工作，但也給數(shù)據(jù)庫帶來危險。一些有經(jīng)驗的黑客高手往往是憑借對數(shù)據(jù)庫管理員這些職業(yè)習(xí)慣的判斷，利用各種方法對這些存儲管理員賬戶信息的表進行滲透，從而達到獲取數(shù)據(jù)庫管理員權(quán)限的目的。

2 Ｗeb的脆弱性

Web技術(shù)的出現(xiàn)及大地推動了互聯(lián)網(wǎng)迅速遍及世界。它的方便、簡潔風(fēng)格使得信息傳遞變得簡單化、大眾化，為人們進行信息溝通帶來極大的方便。但在這之前，人們利用網(wǎng)絡(luò)傳遞信息是基于C/S模式。企業(yè)搭建數(shù)據(jù)庫服務(wù)器，然后在用戶終端安裝專用的客戶端軟件，通過這種C/S模式跨網(wǎng)絡(luò)進行信息傳遞。直到現(xiàn)在，在一些特殊的行業(yè)，比如銀行、證券公司等金融行業(yè)仍然使用這種模式通信。由于C/S模式的開發(fā)成本和維護的復(fù)雜，逐漸出現(xiàn)了Web瀏覽器取代客戶端的B/S模式，直接使用瀏覽器訪問網(wǎng)站數(shù)據(jù)庫的通信模式，這種模式使得通信更簡單方便，逐漸成為互聯(lián)網(wǎng)用戶訪問網(wǎng)絡(luò)服務(wù)器的主流模式。但是，任何事物都有兩面性，隨著網(wǎng)絡(luò)黑客掌握的新技術(shù)的不斷更新，面對黑客新的滲透技術(shù)手段，Web逐漸地顯示出它脆弱的一面。

Web的脆弱性表現(xiàn)在以下幾方面：

①Web的源代碼很容易對用戶可見，一個稍微懂點Web技術(shù)的人員都可以通過鍵盤上的功能鍵看到Web的源代碼，Web傳遞的內(nèi)容很容易被看見，即便是傳遞的變量參數(shù)信息，這對通過Web傳遞的管理員賬戶信息非常危險。②通過在瀏覽器的URL地址欄的地址信息很容易知道要訪問的網(wǎng)絡(luò)服務(wù)器使用的Web技術(shù)和網(wǎng)絡(luò)數(shù)據(jù)庫信息，比如在url地址欄出現(xiàn)？表示W(wǎng)eb是通過get方法向數(shù)據(jù)庫查詢數(shù)據(jù)的。如果在瀏覽器的URL地址欄沒有出現(xiàn)“？”，這就表示W(wǎng)eb是通過post方法訪問服務(wù)器的。③通過瀏覽器的URL地址欄里的信息可以發(fā)現(xiàn)Web技術(shù)與網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫類型。在小型網(wǎng)絡(luò)服務(wù)器配置中，最典型的配置是在Web服務(wù)器的頁面使用Asp技術(shù)，后臺使用Access數(shù)據(jù)庫，本論文的實驗環(huán)境就是Asp+Access模式。

2 注入步驟

當(dāng)黑客想要對網(wǎng)站進行滲透注入時，需要做以下準(zhǔn)備：搜集目標(biāo)信息；尋找注入點；構(gòu)造SQL語句進行滲透。

當(dāng)要對一個目標(biāo)進行滲透之前，需要盡可能多地搜集目標(biāo)的詳細信息，包括目標(biāo)站點的操作系統(tǒng)平臺類型、站點服務(wù)器類型、服務(wù)器端是否有防火墻、入侵防護設(shè)備、日志服務(wù)器的地址，目標(biāo)開啟了那些端口、目標(biāo)的IP地址、域名、注冊機構(gòu)、管理者信息等，總之，搜集的信息越詳細越有利于攻擊者分析判斷。通過這些搜集到的信息，攻擊者可以判斷目標(biāo)的全面信息數(shù)據(jù)，從而做出攻擊方式的選擇。

搜集目標(biāo)信息的方法：對目標(biāo)進行信息搜集可以使用各種方法，搜集目標(biāo)信息的主要方式是使用各種探測工具，各種探測工具很多，攻擊者主要采用自己熟練的工具對目標(biāo)進行探測掃描搜集目標(biāo)的詳細信息。比較著名搜集目標(biāo)信息的工具有nmap、woreshirk、sniffer等，另外還有一些網(wǎng)站就是用來對目標(biāo)進行探測搜集信息的。在本文實驗中，根據(jù)瀏覽器URL地址欄里的信息出現(xiàn)了“？”符號，以及目標(biāo)網(wǎng)頁擴展名為.asp，從而得知目標(biāo)網(wǎng)站服務(wù)器應(yīng)該是IIS服務(wù)器，數(shù)據(jù)庫是Access。

在確定了目標(biāo)的信息之后，就需要尋找目標(biāo)的注入點，注入點是在URL地址欄里進行判斷的，以本文實驗的目標(biāo)靶機為例，判斷注入點的方法是在目標(biāo)靶機上尋找某些頁面，如果在URL地址欄出現(xiàn)“？id=number”標(biāo)志時，就有可能是注入點，但究竟是否注入點還有待確定。通過構(gòu)造不同的SQL查詢語句來判斷該鏈接點是不是注入點。Asp服務(wù)器上安裝目標(biāo)靶機，該靶機是一個名稱為“南方數(shù)據(jù)2.0”的網(wǎng)站，采用的Web技術(shù)是Asp，靶機使用的數(shù)據(jù)是Access，是典型的Asp+Access組合模型。判斷注入點的方法就是構(gòu)造SQL語句，構(gòu)造SQL語句的方法設(shè)置各種SQL查詢條件，設(shè)置邏輯判斷條件語句，例如“and 1=1”為真的條件，帶入到系統(tǒng)去查詢，當(dāng)服務(wù)器響應(yīng)頁面正常時說明這有可能是一個注入點，然后在設(shè)置"and 1=2"邏輯值為假的條件語句，當(dāng)服務(wù)器響應(yīng)頁面出錯了，說明這里確實是一個注入點。

在探測到數(shù)據(jù)庫注入點后，下一步需要做的事是猜測數(shù)據(jù)庫表名，如何猜測數(shù)據(jù)庫表名呢，就是根據(jù)經(jīng)驗猜數(shù)據(jù)庫維護人員的職業(yè)習(xí)慣，一般情況下，數(shù)據(jù)庫管理員為數(shù)據(jù)庫維護方便，往往會給數(shù)據(jù)庫中存放管理員賬號信息的表起一些容易記住的名稱。數(shù)據(jù)庫中的表是由許多字段構(gòu)成的，每個字段有自己的名稱，在存儲管理員賬戶的表中，存儲著賬戶和密碼信息，如要找到這些信息，就需要先確定表中的字段個數(shù)，需要構(gòu)造SQL查詢語句，探測字段的個數(shù)，猜測字段個數(shù)可以使用二分法，從大到小猜測字段個數(shù)，這為下一步猜測表字段名稱做準(zhǔn)備。

表中的每一個字段都有一個名字，每一個字段代表不同的意義，有些字段并不是入侵者所關(guān)心的，黑客只關(guān)心數(shù)據(jù)庫管理員賬戶名和密碼，所以在猜測字段名時只需猜存儲用戶名和密碼的字段名稱。

在猜出賬戶名和密碼字段名稱后，最后一步是破解字段內(nèi)容，用戶賬戶字段名一般是明文信息，而密碼字段內(nèi)容經(jīng)常是使用MD5加密算法加密后的密文，黑客需要在互聯(lián)網(wǎng)上尋找MD5解密工具來解密密文。最后破解了用戶名和密碼信息，入侵者再尋找網(wǎng)站的管理員登錄界面，輸入用戶名和密碼就能以管理員身份進入網(wǎng)站后臺了。

3 結(jié)束語

本文研究了基于Web的SQL注入過程，分為尋找注入點、構(gòu)造注入語句、探測數(shù)據(jù)庫名稱、探測數(shù)據(jù)表名稱、探測數(shù)據(jù)表字段名稱、最后探測表字段內(nèi)容，獲取目標(biāo)的賬戶和密碼，登錄目標(biāo)網(wǎng)站后臺。這種基于Web的SQL注入比較煩瑣，猜測數(shù)據(jù)表名和數(shù)據(jù)字段名需要構(gòu)造SQL語句，這是這種方法的不足之處。

[1]張國防.基于對比分析的計算機病毒防護研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]http://edu.51cto.com/course/6681.html.

[3]https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin.

[4]https://www.cnblogs.com/pursuitofacm/p/6706961.html.

本文受海南省自然科學(xué)基金資助（項目編號：618MS080）。