admin
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
成功！！！
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
SQL 注入攻击的防范
• 对用户输入数据的合法性进行严格检测。
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
• 实验准备
• 一台安装了嘉枫文章管理系统的服务器（虚拟机），主机利 用SQL注入漏洞攻击虚拟机。
Trend Micro Confidential
Copyright 2009 Tr Nhomakorabeand Micro Inc.
实验步骤
1. 在虚拟机中安装存在注入漏洞的嘉枫文章管理系统 (1)将“嘉枫文章管理系统“下的所有文件拷贝到虚拟机的 c:/inetpub/wwwrot中 (2) iis：默认web 本机IP
3.使用domain4.1工具检测该web站点是否存在SQL注入漏洞。
此处会显示本站点存在的注入点，如书上图示。
Trend Micro Confidential Copyright 2009 Trend Micro Inc.
• 4.对找到的注入点进行注入检测。
手动输入这个注入点
Trend Micro Confidential
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
2.在主机上用IE浏览器访问虚拟机web站点，说明虚拟机web站点 配置成功。
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
Copyright 2009 Trend Micro Inc.
2
1
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
1
3
2
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
1
SQL注入漏洞提权
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
实验原理
• 结构化查询语言（SQL）是一种用来和数据库交互的文本语 言， • SQL 注入就是利用程序员对用户输入数据的合法性检测不 严或不检测的特点，故意从客户端提交特殊的代码，从而达 到入侵数据库乃至操作系统的目的。
3
该密码是MD5加密的，可以登录到 解密
2
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.
• 8.后台扫描
Trend Micro Confidential
Copyright 2009 Trend Micro Inc.