写上一篇文章是好几天前的事情了。中间去百度笔试去鸟。现在接着更新。
今天室友发现了一个可以 用 ' or 1=1 --攻入进去的网站 http://www.iliyu.com/ 并且一进去直接就是管理员的身份。可以进行编辑和删除等一些操作。
当然,用上述的操作时一些很菜鸟的。一般注重安全意识的系统这个问题已经解决了。不会让你这样简单的攻入进去。所以我们还得另想办法,打入内部。获取系统的数据库相关表的信息。这样我们才能得到更多的信息。
我们就对这个党中南大学党校考试系统来进行攻击
http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41
我们先进行判断,这个系统是不是有错误。判断方法很简单,在41后面加上'单引号
http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 '
如果此时页面和刚才的一样那么说明这个系统是安全的。当然,也许只是对 单引号这些关键词过滤了。而没有对其他关键词过滤,这个我们后面讨论。
如果页面出错。也就是此时的页面和不加单引号的页面不一样。那么我们就考虑它是有问题的,为了进一步进行验证。我们再在url后面加上and 1=1
即http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 and 1=1
如果此时。页面和不加and 1=1的页面是相同的话,那么说明这个系统是有问题的。
原理:
我们探究一下为什么上述的操作能够证明系统是好的还是坏的。如果系统有问题那么后台的代码就是下面的情况!
首先,没有对获取的值进行判断,是字符串还是整形数据。
String id=request.getparameter("id"); select * from table where id = id;
后台是上述代码的话,假如我们在url中输入的是
http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 '
那么在后台就运行的sql语句就是下面的形式;
select * from table where id=41'
而在数据库中保存的记录是id=41.这样找不到id=41 ' 的。所以就会出错。和正确输入id=41是不一样的页面。
如果输入的是
http://71party.csu.edu.cn/party_test/show_news_info.asp?id=41 and 1=1
那么后台执行的sql语句就是如下
select * from table where id=41 and 1=1
sql语句当where 条件成立的时候才会执行。1=1 成立,如果存在id=41.那么where语句显然是成立的。
加上and 1=1是为了测试是不是后台加了过滤函数之类的。比如过滤and 关键字。
今天到这!接下节!敬请期待。
首先,mysql查询字段的时候可以用双引号""扩住或是单引号'',而sql server只能用单引号'';
其次mysql的注释符和sql server的也有所区别:
mysql注释符有三种:
1、#...
2、"-- ..."
3、/*...*/
这倒不是重要的,主要是最后一条:
单引号和双引号被用来标志一个被引用字符串的开始,即使是在一个注释中。如果注释中的引号没有另一个引号与之配对,那和语法分析程序就不会认为注释结束。如果你以交互式运行 mysql,你会产生困惑,因为提示符从 mysql> 变为 ’> 或 ">。
所以从客户端查询会因报错而无法进入系统~~~~