搞了一上午,终于把数据库还原了过来。。。真不知道对方是怎么注入的,无意中听同事说了一句,以前另一个同事说插入数据也可以用十六进制插入的, 加上之前我看过一篇文章也是在构造SQL注入语句的时候有一大堆乱78糟的字符的。。自己试了一下,果然是可以用十六进制来插入数据。。如下:
这是普通的插入数据的SQL语句:
declare @str varchar(100)
set @str='<script>alert(123)</script>'
update tb_product set proName=proName+@str where proID = 35
set @str='<script>alert(123)</script>'
update tb_product set proName=proName+@str where proID = 35
这是采用十六进制插入数据的SQL语句:
declare @str varchar(100)
set @str=0x3C7363726970743E616C65727428313233293C2F7363726970743E
update tb_product set proName=proName+@str where proID = 54
以上SQL语句都可以执行,执行过后都是在proname字段的后头加上<script>alert(123)</script> set @str=0x3C7363726970743E616C65727428313233293C2F7363726970743E
update tb_product set proName=proName+@str where proID = 54
0x3C7363726970743E616C65727428313233293C2F7363726970743E是怎么来的呢?0x是十六 进制的开头前缀,后面一大乱字母才是<script>alert(123)</script>,我们可用些可以查看十六进制的文 本编辑器来转换,如UltraEdit等,如图:
把中间的那些字母间的空格去掉就可以了!!!
我在做该项目的时候插入数据时我没把相应的HTML代码去掉,只是在取出的时候把HTML代码去掉了。不过只限于论坛,唉,还得把页面所有的输出全都要把HTML代码去掉才行。