SQL注入網(wǎng)站入侵實(shí)例演示是本文所要講述的，這幾天閑得無(wú)聊，想上網(wǎng)Down幾部電影來(lái)看，找了找都是要錢的，所以決定花時(shí)間跑去匯錢還不如找個(gè)有漏洞的黑一黑。于是，計(jì)劃開始：(為避免不必要的誤會(huì)，網(wǎng)址、用戶名、密碼做了一些修改，不過(guò)方法是100％原汁原味)

1.尋找入口

準(zhǔn)備：如果你以前沒(méi)嘗試過(guò)SQL注入攻擊，那應(yīng)該把HTTP友好提示關(guān)閉，這樣才能讓你清楚看到服務(wù)器端返回的提示信息。

嘗試幾個(gè)有傳入?yún)��?shù)的頁(yè)面，逐個(gè)測(cè)試是否有SQL注入漏洞，識(shí)別方法為：把網(wǎng)址欄的ID=***x加個(gè)號(hào)，或在表單輸入號(hào)，如果提示表達(dá)式錯(cuò)誤，表示有漏洞可注入，另外，通過(guò)這個(gè)方式可以得到程序所用的數(shù)據(jù)庫(kù)類型。

經(jīng)測(cè)試，發(fā)現(xiàn)有幾個(gè)頁(yè)面有注入漏洞，決定從http://www.movie.com/movie.ASP?ID=1000入手，輸入http://www.movie.com/movie.ASP?ID=1000，得到信息：數(shù)據(jù)庫(kù)用是的ACCESS，提示ArticleID=1000附近有表達(dá)式錯(cuò)誤，嘿，原來(lái)是個(gè)用文章系統(tǒng)改出來(lái)的電影站。

2.觀察網(wǎng)站環(huán)境

網(wǎng)站提供的功能有：影片分類、影片介紹、影片搜索，影片的ID大概從1000-1500之間。

3.猜表名查清楚敵人情況之后，開始行動(dòng)

行動(dòng)的第一步都是從猜表名開始，http://www.movie.com/movie.ASP?ID=1000，把1000改成(select count(1) from user)，那么，他原來(lái)的SQL語(yǔ)句將會(huì)變成：

Select [字段列表] from [影片表] where 影片ID=(select count(1) from user)

如果猜對(duì)表名，將有可能出現(xiàn)下面三種情況：

A.顯示某部影片的信息（巧合的情況）

B.顯示影片找不到（如果有判斷是否為EOF）

C.提示錯(cuò)誤信息（EOF OR BOF）

如果猜錯(cuò)，將會(huì)直接提示找不到表名。

把user,users,member,members,userlist,memberlist,userinfo,admin,manager,用戶,yonghu這些常用表名一個(gè)個(gè)放進(jìn)去試，一般成功率都不低于80%

結(jié)果，成功猜中該網(wǎng)站的用戶名表名為users

4.猜列名

至于猜列名，不用我介紹大家都應(yīng)該清楚怎么做了，把(select count(1) from users)改成(select count(id) from users)，如沒(méi)提示"找不到字段"就表示字段名是正確的，字段一般不用太費(fèi)力，在Login的時(shí)候看看表單的名稱就大概可以猜到一些了。

果然，這個(gè)網(wǎng)站也不例外，用戶表中字段為ID(數(shù)字)，UserID(文本)，Password（文本），積分字段猜得比較費(fèi)勁，為money

5.鎖定目標(biāo)

讓users表只返回money最多的一個(gè)記錄，以便進(jìn)行猜解、并避免猜中一些沒(méi)money的用戶名：

http://www.movie.com/movie.ASP?ID=(select 1000 from user where money>1000) 結(jié)果：提示子查詢不能返回兩條以上記錄

鎖定>10000，提示不變；

鎖定>100000，提示找不到記錄，說(shuō)明沒(méi)有積分大于10萬(wàn)的用戶；

從1萬(wàn)到10萬(wàn)逐步縮小范圍，得知積分大于25500只有一條記錄。

6.計(jì)算用戶名及密碼長(zhǎng)度

因?yàn)橛捌�的ID大概從1000-1500之間，可以用UserID的長(zhǎng)度+1000得出的數(shù)（即影片ID）計(jì)算用戶名長(zhǎng)度，鍵入：

http://www.movie.com/movie.ASP?ID=(select len(UserID) %2B 1000 from user where money>25500)%2B是什么？因?yàn)榈刂窓诘?號(hào)request出來(lái)會(huì)變成空格，所以+號(hào)要用UrlEncode過(guò)的%2B表示。結(jié)果返回片名為《雙雄》的影片，呵呵，怎么辦？不是有搜索功能嗎？拿去搜一下，看看影片ID是多少吧。

搜索，得出影片ID是1006，顯然，用戶名長(zhǎng)度為1006-1000=6；同樣方法，得出密碼的長(zhǎng)度為8

7.分步破解用戶名

有點(diǎn)SQL應(yīng)用經(jīng)驗(yàn)的人應(yīng)該都想到方法了，來(lái)，敲入：