深入浅析.NET应用程序SQL注入

1.准备工具:SQL SERVER ，Visual Studio

2.数据库脚本和.net代码(c#)

3.SqlServer Profiler

SQL脚本代码:

				?

									USE MASTER 

									GO

									--检索SQLTMP数据库是否存在

									IF EXISTS(SELECT * FROM SYSDATABASES WHERE name = 'SQLTMP')

									--删除SQLTMP数据库

									DROP DATABASE SQLTMP

									GO

									--创建数据库

									CREATE DATABASE SQLTMP

									GO

									--使用SQLTMP数据库

									USE SQLTMP

									GO

									-------------创建一张表用来验证SQL注入漏洞----------------

									--检索表是否存在

									IF EXISTS(SELECT * FROM SYSOBJECTS WHERE name = 'admin')

									--删除表

									DROP TABLE admin

									GO

									--创建表

									CREATE TABLE admin

									(

									id INT PRIMARY KEY IDENTITY(1,1),--设置主键

									name VARCHAR(20) NOT NULL,--用户名

									pass VARCHAR(20) NOT NULL--密码

									)

									-------------插入一条测试数据---------------------------

									INSERT INTO admin VALUES('admin','admin')

									--查询插入数据

									SELECT * FROM admin

下面是一段验证用户名密码的C#代码:

				?

									<font size="3" color="#ff00ff">using System;

									using System.Collections.Generic;

									using System.Linq;

									using System.Text;

									using System.Threading.Tasks;

									using System.Data;

									using System.Data.SqlClient;

									namespace SQLTmp

									{

									class Program

									{

									//数据库连接字符串

									public static String strCon = "Data Source=.;Initial Catalog=SQLTMP;Integrated Security=True";

									//创建数据库连接对象

									static SqlConnection SqlCon = new SqlConnection(strCon);

									static void Main(string[] args)

									{

									Console.WriteLine("请输入用户名:");

									String name = Console.ReadLine();

									Console.WriteLine("请输入密码:");

									String pass = Console.ReadLine();

									try

									{

									Program p = new Program();

									//打开数据库连接

									p.Open();

									string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";

									SqlCommand sqlcom = new SqlCommand(sql, SqlCon);

									int i = (int)sqlcom.ExecuteScalar();

									if (i > 0)

									{

									Console.WriteLine("登录成功！");

									}

									else

									{

									Console.WriteLine("登录失败!");

									}

									Console.ReadLine();

									}

									catch (Exception)

									{

									throw;

									}

									finally {

									//关闭数据库连接

									pass.Clone();

									}

									}

									//打开数据库连接

									public void Open()

									{

									//关闭状态下打开数据库连接

									if (SqlCon.State == ConnectionState.Closed)

									{

									SqlCon.Open();

									}

									//中断情况下打开数据库连接

									if (SqlCon.State == ConnectionState.Broken)

									{

									//关闭

									SqlCon.Close();

									SqlCon.Open();

									}

									}

									//关闭数据库连接

									public void Close() {

									if (SqlCon.State == ConnectionState.Open || SqlCon.State == ConnectionState.Broken)

									{

									SqlCon.Close();

									}

									}

									}

									}

									</font>

我们来测试一下

输入正确的账号密码:

admin admin

深入浅析.NET应用程序SQL注入

登录成功

输入错误的账号密码:

test test

深入浅析.NET应用程序SQL注入

登录失败

我们在用户名输入:' or 1=1--

密码:123

深入浅析.NET应用程序SQL注入

会发现也能登录成功!

数据库中没有这个账号密码,还会登录成功?

why?

0x03剖析

我们来剖析一下SQL语句的运行过程

利用我的SQL语句跟踪工具(SQL Server Profiler)

深入浅析.NET应用程序SQL注入

单击链接

深入浅析.NET应用程序SQL注入

运行

我们来看一下输正确的账号密码SQL语句的样子

深入浅析.NET应用程序SQL注入

在我们的SQL Server中执行看看,有符合条件的数据

深入浅析.NET应用程序SQL注入

我们再来看看输入错误的账号密码SQL语句的样子

深入浅析.NET应用程序SQL注入

在我们的SQL Server中执行看看,没有符合条件的数据

深入浅析.NET应用程序SQL注入

我们再来看看最后一次的输入的账号密码的SQL语句的样子

深入浅析.NET应用程序SQL注入

我们来看看图片中的SQL语句我们的上面的SQL语句对比一下

				?

									<font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = 'admin' AND pass = 'admin'

									SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1 -- ' AND pass = '123'

									</font>

我们会发现我们输入的用户名变成了空,后面多了or 1=1 --'这又是为什么,什么原因导致的？？？

到离这里我们就应该看看这一段代码:

				?

									<font size="3" color="#ff00ff"> string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";

									</font>

我们可以看出SQL是中的name和pass是变量是用户输入的账号和密码

我们来看一下输入的用户名:' or 1=1 --

那么用户如输入'的时候就会自动把name = ''闭合

而 or 1=1 将where 条件永远成立

--在SQL是注释的意思会将后面的SQL语句注释掉!!!

那么我们就可以这么认为SQL语句到最后是这个样子的

				?

									<font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1</font>

0x04防御

有攻击的方式是会有防御的方式

据我所知常用的有俩种方式:

1.通过SQLParameter

好处:预编译SQL语句防止被转意

用法:

				?

									<font size="3" color="#ff00ff">string sql = "SELECT COUNT(*) FROM admin WHERE name = [url=home.php?mod=space&uid=116087]@name[/url] AND pass = @pass "; 

									//创建SParameter[]

									SqlParameter[] para = {

									new SqlParameter("@name",name),

									new SqlParameter("@pass",pass)

									};

									SqlCommand sqlcom = new SqlCommand(sql, SqlCon);

									//通过Parameters.addRange方法将para[]放进去

									sqlcom.Parameters.AddRange(para);

									int i = (int)sqlcom.ExecuteScalar();

									</font>

@符号代表的参数,我们把拼接的方式换成了参数的形式

深入浅析.NET应用程序SQL注入

2.存储过程

1.首先在数据库中创建存储过程

				?

									<font size="3" color="#ff00ff">CREATE PROC Login (@name VARCHAR(20) ,@pass VARCHAR(20))

									AS

									SELECT COUNT(*) FROM admin WHERE name =@name AND pass = @pass

									GO

									</font>

2. 调用存储过程

				?

									<font size="3" color="#ff00ff">SqlParameter[] para = {

									new SqlParameter("@name",name),

									new SqlParameter("@pass",pass)

									};

									SqlCommand sqlcom = new SqlCommand();

									sqlcom.Connection = SqlCon;

									sqlcom.CommandText = "Login";

									//指定执行类型为存储过程

									sqlcom.CommandType = CommandType.StoredProcedure;

									sqlcom.Parameters.AddRange(para);

									int i = (int)sqlcom.ExecuteScalar();

									</font>