蜗蜗侠's Blog-关注网络安全移动版

主页 > 黑客/白帽 > WEB安全 >

浅谈.NET应用程序SQL注入

作者:0nise
 
转载请注明出处!
 
0x01科普  
通过特殊的手法将普通SQL语句,修改成恶意的SQL语句,最终达到入侵者的目的.(个人理解)
0x02演练
1.准备工具:SQL SERVER ,Visual Studio
   2.数据库脚本和.net代码(c#)
   3.SqlServer Profiler
   SQL
脚本代码:
USE MASTER
GO
--检索SQLTMP数据库是否存在
IF EXISTS(SELECT * FROM SYSDATABASES WHERE name = 'SQLTMP')
--删除SQLTMP数据库
DROP DATABASE SQLTMP
GO
--创建数据库
CREATE DATABASE SQLTMP
GO
--使用SQLTMP数据库
USE SQLTMP
GO
-------------创建一张表用来验证SQL注入漏洞----------------
--检索表是否存在
IF EXISTS(SELECT * FROM SYSOBJECTS WHERE name = 'admin')
--删除表
DROP TABLE admin
GO
--创建表
CREATE TABLE admin
(
id INT PRIMARY KEY IDENTITY(1,1),--设置主键
name VARCHAR(20) NOT NULL,--用户名
pass VARCHAR(20) NOT NULL--密码
)
-------------插入一条测试数据---------------------------
INSERT INTO admin VALUES('admin','admin')

--查询插入数据
SELECT * FROM admin


下面是一段验证用户名密码的C#代码:
  1. <font size="3" color="#ff00ff">using System;
  2. using System.Collections.Generic;
  3. using System.Linq;
  4. using System.Text;
  5. using System.Threading.Tasks;
  6. using System.Data;
  7. using System.Data.SqlClient;
  8.  
  9. namespace SQLTmp
  10. {
  11. class Program
  12. {
  13. //数据库连接字符串
  14. public static String strCon = "Data Source=.;Initial Catalog=SQLTMP;Integrated Security=True";
  15. //创建数据库连接对象
  16. static SqlConnection SqlCon = new SqlConnection(strCon);
  17. static void Main(string[] args)
  18. {
  19. Console.WriteLine("请输入用户名:");
  20. String name = Console.ReadLine();
  21. Console.WriteLine("请输入密码:");
  22. String pass = Console.ReadLine();
  23. try
  24. {
  25. Program p = new Program();
  26. //打开数据库连接
  27. p.Open();
  28. string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";
  29. SqlCommand sqlcom = new SqlCommand(sql, SqlCon);
  30. int i = (int)sqlcom.ExecuteScalar();
  31. if (i > 0)
  32. {
  33. Console.WriteLine("登录成功!");
  34. }
  35. else
  36. {
  37. Console.WriteLine("登录失败!");
  38. }
  39. Console.ReadLine();
  40. }
  41. catch (Exception)
  42. {
  43. throw;
  44. }
  45. finally {
  46. //关闭数据库连接
  47. pass.Clone();
  48. }
  49. }
  50. //打开数据库连接
  51. public void Open()
  52. {
  53. //关闭状态下打开数据库连接
  54. if (SqlCon.State == ConnectionState.Closed)
  55. {
  56. SqlCon.Open();
  57. }
  58. //中断情况下打开数据库连接
  59. if (SqlCon.State == ConnectionState.Broken)
  60. {
  61. //关闭
  62. SqlCon.Close();
  63. SqlCon.Open();
  64. }
  65. }
  66. //关闭数据库连接
  67. public void Close() {
  68. if (SqlCon.State == ConnectionState.Open || SqlCon.State == ConnectionState.Broken)
  69. {
  70. SqlCon.Close();
  71. }
  72. }
  73. }
  74. }
  75. </font>
复制代码
我们来测试一下

输入正确的账号密码:

admin admin
 
登录成功
输入错误的账号密码:

test test
 
登录失败
我们在用户名输入:' or 1=1--

密码:123
 
会发现也能登录成功!
数据库中没有这个账号密码,还会登录成功?
why?
0x03剖析
我们来剖析一下SQL语句的运行过程

利用我的SQL语句跟踪工具(SQL Server Profiler)
 

单击链接
运行
 

我们来看一下输正确的账号密码SQL语句的样子
 
在我们的SQL Server中执行看看,有符合条件的数据
 

我们再来看看输入错误的账号密码SQL语句的样子

在我们的SQL Server中执行看看,没有符合条件的数据

我们再来看看最后一次的输入的账号密码的SQL语句的样子
 


我们来看看图片中的SQL语句我们的上面的SQL语句对比一下

  1. <font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = 'admin' AND pass = 'admin'
  2. SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1 -- ' AND pass = '123'
  3. </font>
复制代码
我们会发现我们输入的用户名变成了空,后面多了or 1=1 --'这又是为什么,什么原因导致的???
到离这里我们就应该看看这一段代码:

  1. <font size="3" color="#ff00ff"> string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";
  2. </font>
复制代码
我们可以看出SQL是中的name和pass是变量是用户输入的账号和密码
我们来看一下输入的用户名:' or 1=1 --
那么用户如输入'的时候就会自动把name = ''闭合
而 or 1=1 将where 条件永远成立
--在SQL是注释的意思会将后面的SQL语句注释掉!!!
那么我们就可以这么认为SQL语句到最后是这个样子的
 
  1. <font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1</font>
复制代码
 
0x04防御
  有攻击的方式是会有防御的方式
据我所知常用的有俩种方式:
  1.通过SQLParameter
好处:预编译SQL语句防止被转意
用法:
  1. <font size="3" color="#ff00ff">string sql = "SELECT COUNT(*) FROM admin WHERE name = [url=home.php?mod=space&uid=116087]@name[/url] AND pass = @pass ";
  2. //创建SParameter[]
  3. SqlParameter[] para = {
  4. new SqlParameter("@name",name),
  5. new SqlParameter("@pass",pass)
  6. };
  7. SqlCommand sqlcom = new SqlCommand(sql, SqlCon);
  8. //通过Parameters.addRange方法将para[]放进去
  9. sqlcom.Parameters.AddRange(para);
  10. int i = (int)sqlcom.ExecuteScalar();
  11. </font>
复制代码
@符号代表的参数,我们把拼接的方式换成了参数的形式
 
2.存储过程

      1.首先在数据库中创建存储过程
  1. <font size="3" color="#ff00ff">CREATE PROC Login (@name VARCHAR(20) ,@pass VARCHAR(20))
  2. AS
  3. SELECT COUNT(*) FROM admin WHERE name =@name AND pass = @pass
  4. GO
  5. </font>
复制代码

2. 调用存储过程
  1. <font size="3" color="#ff00ff">SqlParameter[] para = {
  2. new SqlParameter("@name",name),
  3. new SqlParameter("@pass",pass)
  4. };
  5. SqlCommand sqlcom = new SqlCommand();
  6. sqlcom.Connection = SqlCon;
  7. sqlcom.CommandText = "Login";
  8. //指定执行类型为存储过程
  9. sqlcom.CommandType = CommandType.StoredProcedure;
  10. sqlcom.Parameters.AddRange(para);
  11. int i = (int)sqlcom.ExecuteScalar();
  12. </font>
复制代码
 
 
  避免SQL注入
(责任编辑:蜗蜗侠)