sql-server - NV32ts 及其 SQL 注入(inject)攻击想要做什么？

Question

最近我的网站受到了多次使用 NV32ts 用户代理的攻击。<​​/p>

它们都是以下针对查询字符串变量的注入(inject)攻击的一些变体(其中 99999 表示有效的查询字符串值，攻击将附加到该值):

(为了方便起见，我对以下攻击进行了 url 解码)

999999 And char(124)+(Select Cast(Count(1) as varchar(8000))+char(124) From [sysobjects] Where 1=1)>0

或

999999' And char(124)+(Select Cast(Count(1) as varchar(8000))+char(124) From [sysobjects] Where 1=1)>0 and ''='

或

999999' And char(124)+(Select Cast(Count(1) as varchar(8000))+char(124) From [sysobjects] Where 1=1)>0 and ''='

我相信sysobjects与Sql Server主数据库有关，但我无法弄清楚他们想要完成什么。

编辑:我现在已经用两个不同的用户代理看到了同样的事情:

• NV32ts
• Mozilla/4.0(兼容；MSIE 7.0；Windows NT 5.1；InfoPath.1；.NET CLR 1.1.4322；.NET CLR 2.0.50727；.NET CLR 3.0.04506.30；.NET CLR 3.0.04506.648；.NET CLR 3.5.21022；WWTClient2)

Answer 1

我以两种方式阅读这篇文章，但我不能 100% 确定是哪一种:

1. 此时他们只是在钓鱼。该脚本正在寻找同时具有开放注入(inject)漏洞和对 sql server 中 sysobjects 表的访问权限的网站。该表将提供数据库中所有表和列(及其类型)的列表。如果页面实际上返回结果而不是抛出错误，则脚本将记录该结果以供将来更详细的攻击使用。最终，您将在整个数据库中每个表的每一行的每个文本(varchar、nvarchar、char、nchar、text)列中附加恶意 JavaScript 代码。我认为这是更有可能的选择。
2. 它创建一个始终返回 true 的表达式，也许允许他们绕过您的身份验证系统。这似乎不太可能，因为 sysobjects 引用使其变得不必要的复杂。另外:他们使用了 And 而不是 Or。