◆張國(guó)防 楊登攀

基于Ｗeb 頁(yè)面的SQL注入研究

◆張國(guó)防 楊登攀

(海南軟件職業(yè)技術(shù)學(xué)院 海南 571400)

Ｗeb技術(shù)的發(fā)展使得基于C/S傳輸模式的通信逐漸被B/S的通信模式所取代，而Ｗeb源代碼具有易見(jiàn)性和入侵技術(shù)的更新，以及基于SQL的數(shù)據(jù)庫(kù)查詢語(yǔ)言構(gòu)造聯(lián)合查詢語(yǔ)句，使得基于SQL注入的Web滲透模式成為一種直接面向數(shù)據(jù)庫(kù)的滲透方式，本文分析了SQL注入的原理，在目標(biāo)靶機(jī)上完成了驗(yàn)證試驗(yàn)，提出了SQL注入發(fā)展的新方向。

SQL注入；Web；滲透

0 引言

大型數(shù)據(jù)庫(kù)由于開(kāi)發(fā)技術(shù)強(qiáng)，數(shù)據(jù)庫(kù)的維護(hù)技術(shù)團(tuán)隊(duì)強(qiáng)大，每一個(gè)新版本的釋放都經(jīng)過(guò)非常復(fù)雜的長(zhǎng)時(shí)間的測(cè)試，這使得大型數(shù)據(jù)庫(kù)的漏洞難以發(fā)現(xiàn)，即便是發(fā)現(xiàn)漏洞，而針對(duì)這種漏洞的補(bǔ)丁更新快，從而使得針對(duì)這種大型數(shù)據(jù)庫(kù)的滲透比較困難。相反，對(duì)于中小型數(shù)據(jù)庫(kù)，尤其是不開(kāi)放源代碼的數(shù)據(jù)庫(kù)，開(kāi)發(fā)技術(shù)團(tuán)隊(duì)沒(méi)有大型數(shù)據(jù)庫(kù)那樣強(qiáng)大，容易存在各種漏洞，這也成為黑客常常滲透的對(duì)象。Access數(shù)據(jù)庫(kù)是由各種數(shù)據(jù)表構(gòu)成，這些表存儲(chǔ)用戶的各種數(shù)據(jù)，包括用戶的信息甚至還包括數(shù)據(jù)庫(kù)管理員的賬戶和密碼信息，數(shù)據(jù)庫(kù)管理員的賬戶信息往往單獨(dú)存儲(chǔ)在一張表中，至少存儲(chǔ)著管理員的賬戶和密碼。為了便于管理員對(duì)數(shù)據(jù)庫(kù)的維護(hù)，數(shù)據(jù)庫(kù)管理員往往對(duì)這些表起一個(gè)特殊的名稱，便于管理員記憶。這些工作雖然方便了管理員的工作，但也給數(shù)據(jù)庫(kù)帶來(lái)危險(xiǎn)。一些有經(jīng)驗(yàn)的黑客高手往往是憑借對(duì)數(shù)據(jù)庫(kù)管理員這些職業(yè)習(xí)慣的判斷，利用各種方法對(duì)這些存儲(chǔ)管理員賬戶信息的表進(jìn)行滲透，從而達(dá)到獲取數(shù)據(jù)庫(kù)管理員權(quán)限的目的。

2 Ｗeb的脆弱性

Web技術(shù)的出現(xiàn)及大地推動(dòng)了互聯(lián)網(wǎng)迅速遍及世界。它的方便、簡(jiǎn)潔風(fēng)格使得信息傳遞變得簡(jiǎn)單化、大眾化，為人們進(jìn)行信息溝通帶來(lái)極大的方便。但在這之前，人們利用網(wǎng)絡(luò)傳遞信息是基于C/S模式。企業(yè)搭建數(shù)據(jù)庫(kù)服務(wù)器，然后在用戶終端安裝專用的客戶端軟件，通過(guò)這種C/S模式跨網(wǎng)絡(luò)進(jìn)行信息傳遞。直到現(xiàn)在，在一些特殊的行業(yè)，比如銀行、證券公司等金融行業(yè)仍然使用這種模式通信。由于C/S模式的開(kāi)發(fā)成本和維護(hù)的復(fù)雜，逐漸出現(xiàn)了Web瀏覽器取代客戶端的B/S模式，直接使用瀏覽器訪問(wèn)網(wǎng)站數(shù)據(jù)庫(kù)的通信模式，這種模式使得通信更簡(jiǎn)單方便，逐漸成為互聯(lián)網(wǎng)用戶訪問(wèn)網(wǎng)絡(luò)服務(wù)器的主流模式。但是，任何事物都有兩面性，隨著網(wǎng)絡(luò)黑客掌握的新技術(shù)的不斷更新，面對(duì)黑客新的滲透技術(shù)手段，Web逐漸地顯示出它脆弱的一面。

Web的脆弱性表現(xiàn)在以下幾方面：

①Web的源代碼很容易對(duì)用戶可見(jiàn)，一個(gè)稍微懂點(diǎn)Web技術(shù)的人員都可以通過(guò)鍵盤上的功能鍵看到Web的源代碼，Web傳遞的內(nèi)容很容易被看見(jiàn)，即便是傳遞的變量參數(shù)信息，這對(duì)通過(guò)Web傳遞的管理員賬戶信息非常危險(xiǎn)。②通過(guò)在瀏覽器的URL地址欄的地址信息很容易知道要訪問(wèn)的網(wǎng)絡(luò)服務(wù)器使用的Web技術(shù)和網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息，比如在url地址欄出現(xiàn)？表示W(wǎng)eb是通過(guò)get方法向數(shù)據(jù)庫(kù)查詢數(shù)據(jù)的。如果在瀏覽器的URL地址欄沒(méi)有出現(xiàn)“？”，這就表示W(wǎng)eb是通過(guò)post方法訪問(wèn)服務(wù)器的。③通過(guò)瀏覽器的URL地址欄里的信息可以發(fā)現(xiàn)Web技術(shù)與網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫(kù)類型。在小型網(wǎng)絡(luò)服務(wù)器配置中，最典型的配置是在Web服務(wù)器的頁(yè)面使用Asp技術(shù)，后臺(tái)使用Access數(shù)據(jù)庫(kù)，本論文的實(shí)驗(yàn)環(huán)境就是Asp+Access模式。

2 注入步驟

當(dāng)黑客想要對(duì)網(wǎng)站進(jìn)行滲透注入時(shí)，需要做以下準(zhǔn)備：搜集目標(biāo)信息；尋找注入點(diǎn)；構(gòu)造SQL語(yǔ)句進(jìn)行滲透。

當(dāng)要對(duì)一個(gè)目標(biāo)進(jìn)行滲透之前，需要盡可能多地搜集目標(biāo)的詳細(xì)信息，包括目標(biāo)站點(diǎn)的操作系統(tǒng)平臺(tái)類型、站點(diǎn)服務(wù)器類型、服務(wù)器端是否有防火墻、入侵防護(hù)設(shè)備、日志服務(wù)器的地址，目標(biāo)開(kāi)啟了那些端口、目標(biāo)的IP地址、域名、注冊(cè)機(jī)構(gòu)、管理者信息等，總之，搜集的信息越詳細(xì)越有利于攻擊者分析判斷。通過(guò)這些搜集到的信息，攻擊者可以判斷目標(biāo)的全面信息數(shù)據(jù)，從而做出攻擊方式的選擇。

搜集目標(biāo)信息的方法：對(duì)目標(biāo)進(jìn)行信息搜集可以使用各種方法，搜集目標(biāo)信息的主要方式是使用各種探測(cè)工具，各種探測(cè)工具很多，攻擊者主要采用自己熟練的工具對(duì)目標(biāo)進(jìn)行探測(cè)掃描搜集目標(biāo)的詳細(xì)信息。比較著名搜集目標(biāo)信息的工具有nmap、woreshirk、sniffer等，另外還有一些網(wǎng)站就是用來(lái)對(duì)目標(biāo)進(jìn)行探測(cè)搜集信息的。在本文實(shí)驗(yàn)中，根據(jù)瀏覽器URL地址欄里的信息出現(xiàn)了“？”符號(hào)，以及目標(biāo)網(wǎng)頁(yè)擴(kuò)展名為.asp，從而得知目標(biāo)網(wǎng)站服務(wù)器應(yīng)該是IIS服務(wù)器，數(shù)據(jù)庫(kù)是Access。

在確定了目標(biāo)的信息之后，就需要尋找目標(biāo)的注入點(diǎn)，注入點(diǎn)是在URL地址欄里進(jìn)行判斷的，以本文實(shí)驗(yàn)的目標(biāo)靶機(jī)為例，判斷注入點(diǎn)的方法是在目標(biāo)靶機(jī)上尋找某些頁(yè)面，如果在URL地址欄出現(xiàn)“？id=number”標(biāo)志時(shí)，就有可能是注入點(diǎn)，但究竟是否注入點(diǎn)還有待確定。通過(guò)構(gòu)造不同的SQL查詢語(yǔ)句來(lái)判斷該鏈接點(diǎn)是不是注入點(diǎn)。Asp服務(wù)器上安裝目標(biāo)靶機(jī)，該靶機(jī)是一個(gè)名稱為“南方數(shù)據(jù)2.0”的網(wǎng)站，采用的Web技術(shù)是Asp，靶機(jī)使用的數(shù)據(jù)是Access，是典型的Asp+Access組合模型。判斷注入點(diǎn)的方法就是構(gòu)造SQL語(yǔ)句，構(gòu)造SQL語(yǔ)句的方法設(shè)置各種SQL查詢條件，設(shè)置邏輯判斷條件語(yǔ)句，例如“and 1=1”為真的條件，帶入到系統(tǒng)去查詢，當(dāng)服務(wù)器響應(yīng)頁(yè)面正常時(shí)說(shuō)明這有可能是一個(gè)注入點(diǎn)，然后在設(shè)置"and 1=2"邏輯值為假的條件語(yǔ)句，當(dāng)服務(wù)器響應(yīng)頁(yè)面出錯(cuò)了，說(shuō)明這里確實(shí)是一個(gè)注入點(diǎn)。

在探測(cè)到數(shù)據(jù)庫(kù)注入點(diǎn)后，下一步需要做的事是猜測(cè)數(shù)據(jù)庫(kù)表名，如何猜測(cè)數(shù)據(jù)庫(kù)表名呢，就是根據(jù)經(jīng)驗(yàn)猜數(shù)據(jù)庫(kù)維護(hù)人員的職業(yè)習(xí)慣，一般情況下，數(shù)據(jù)庫(kù)管理員為數(shù)據(jù)庫(kù)維護(hù)方便，往往會(huì)給數(shù)據(jù)庫(kù)中存放管理員賬號(hào)信息的表起一些容易記住的名稱。數(shù)據(jù)庫(kù)中的表是由許多字段構(gòu)成的，每個(gè)字段有自己的名稱，在存儲(chǔ)管理員賬戶的表中，存儲(chǔ)著賬戶和密碼信息，如要找到這些信息，就需要先確定表中的字段個(gè)數(shù)，需要構(gòu)造SQL查詢語(yǔ)句，探測(cè)字段的個(gè)數(shù)，猜測(cè)字段個(gè)數(shù)可以使用二分法，從大到小猜測(cè)字段個(gè)數(shù)，這為下一步猜測(cè)表字段名稱做準(zhǔn)備。

表中的每一個(gè)字段都有一個(gè)名字，每一個(gè)字段代表不同的意義，有些字段并不是入侵者所關(guān)心的，黑客只關(guān)心數(shù)據(jù)庫(kù)管理員賬戶名和密碼，所以在猜測(cè)字段名時(shí)只需猜存儲(chǔ)用戶名和密碼的字段名稱。

在猜出賬戶名和密碼字段名稱后，最后一步是破解字段內(nèi)容，用戶賬戶字段名一般是明文信息，而密碼字段內(nèi)容經(jīng)常是使用MD5加密算法加密后的密文，黑客需要在互聯(lián)網(wǎng)上尋找MD5解密工具來(lái)解密密文。最后破解了用戶名和密碼信息，入侵者再尋找網(wǎng)站的管理員登錄界面，輸入用戶名和密碼就能以管理員身份進(jìn)入網(wǎng)站后臺(tái)了。

3 結(jié)束語(yǔ)

本文研究了基于Web的SQL注入過(guò)程，分為尋找注入點(diǎn)、構(gòu)造注入語(yǔ)句、探測(cè)數(shù)據(jù)庫(kù)名稱、探測(cè)數(shù)據(jù)表名稱、探測(cè)數(shù)據(jù)表字段名稱、最后探測(cè)表字段內(nèi)容，獲取目標(biāo)的賬戶和密碼，登錄目標(biāo)網(wǎng)站后臺(tái)。這種基于Web的SQL注入比較煩瑣，猜測(cè)數(shù)據(jù)表名和數(shù)據(jù)字段名需要構(gòu)造SQL語(yǔ)句，這是這種方法的不足之處。

[1]張國(guó)防.基于對(duì)比分析的計(jì)算機(jī)病毒防護(hù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]http://edu.51cto.com/course/6681.html.

[3]https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin.

[4]https://www.cnblogs.com/pursuitofacm/p/6706961.html.

本文受海南省自然科學(xué)基金資助（項(xiàng)目編號(hào)：618MS080）。