中国网络渗透测试联盟

标题: PHP中SQL注入,绕开过滤,照样注入 [打印本页]
作者: admin    时间: 2013-1-13 09:50
标题: PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.) N8 `6 }$ c8 r3 d( g; w2 r* H) Y
1 d: Y6 T$ y- j' c% q9 I
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。
" w" B! V0 ~% r1 l8 Q+ A
8 l0 G' T5 a( A; Q唱出会删除或者净化一些字符,或者阻止常用的sql关键词。/ s7 c: b' q* {/ Z4 b: _

) E) T7 _: {- J我们通常有以下几种技巧,去避开这些过滤。# B) U4 |% V: W  L# D) X
% b  J: z" [0 O1 n# G8 T
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。" ^0 D# B. I) f+ D( U$ H( B
, t# B' m* e' ]/ {
A,如果注入一个数字数据字段,就不需要使用单引号。
' k) P3 D: [* [+ q0 e; _' [$ W5 p! J1 n+ S3 U2 O2 X( w. A1 Y
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。5 b4 _. I2 s. ?. Y

/ W, i. _7 @* H1 T3 u4 h! k- n比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
% \  i' _3 E, S, n% {
9 K" Y( U& v% ~# }目的其实很简单,就是把后面的单引号给闭合掉。
1 T7 h2 @7 z6 \4 v
8 V% {; X6 p8 s; r$ w1 H# }C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。! v9 _/ \" T1 o$ l: h- z

9 R& X6 @8 @  j7 H. k$ _$ ^: @只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
) Q0 b  b3 t$ I; M+ R. p& e0 b. j% \5 x5 w
2,避免使用简单确认
2 s& @# u5 e5 \( x5 m+ [4 }2 W. M: u6 K+ C
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。
3 w4 u# P  F" p0 Y) P
* U7 |  z! S6 ?这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
8 F5 S5 C" ?: y0 W
2 a# ]( J. ]* a' ~: \: ]A,如果select关键词被阻止或删除! A& n" ?; w7 h( P4 @; C- W% s

7 n( g" S( Z6 c- Y我们可以输入:  n! b# T) o7 y6 ?- K8 b' r
2 ~& H9 g( Y* M/ q
SeLeCt       注意大小写3 ~' f5 J: c6 H# P

) b  t& R- ~. o' wselselectect    还记得ewebeditor是怎么过滤asp的么?
5 s# w' E# B( S) v8 N/ o
+ z* N* {3 `7 r# C& [: h%53%45%4c%45%43%54                        URL编码
) x1 h2 a/ q3 s( m/ v2 Z9 |) |" R. ?5 u) P. F
%2553%2545%254c%2545%2543%2554    对上面的每个%后加了一个25
% r2 J3 k3 ^! [) Q8 `2 s2 D% g
5 g$ n' S; l, s6 ^3,使用SQL注释符! `. Q$ C2 {- e* r2 P2 p+ n8 i+ y6 ]

* K3 @7 C0 W# j7 Q- S/ c  z" h; DA,使用注释来冒充注入的数据中的空格。; `) [# B# z- L
; a) n5 T1 A: V
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
4 X7 D4 W9 M, Q( X/ S  t
. ~( E0 {. K3 Z8 G/*yesu*/来冒充空格
: Q% f# Q3 ?3 e5 w! X, H, l8 P4 G3 b4 T6 q
B,使用注释来避开某些注入的确认过滤。) c3 u# k- g8 v# g* S/ H" m9 ~
( R' o1 n! E: V2 p- b2 H& ?
SEL/*yesu*/ECT username,password fr/*yesu*/om admin' O1 G: y" B; D$ Z

* r8 _# R) o! F7 H4,处理被阻止的字符串/ }1 n& Z+ Z! D# |! p; @

. ^" b0 m/ d7 D5 }比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。. V3 h# u1 O  r9 Z
$ @; r4 }3 q5 Z% z  p2 J8 h
我们可以这样
2 T1 a& Y+ L! Y0 e8 d7 g
/ h4 S% O+ I' h5 m6 h+ d* FA,oracle数据库: ‘adm’||’in’% D+ \/ ^% ~% _" _  l6 b& a1 ~4 T+ ?
4 ~' Y. M6 O; v! X! b6 x2 C: N4 \) z
B,MSSQL数据库: ‘adm’+’in’
8 B3 G/ \! d$ ]# V2 d" k/ Z
3 y$ y! c$ o$ X3 {) E% V& F7 EC,MYSQL数据库: concat (‘adm’,’in’)
: o) {% R( S( I2 N( E
( S" I) j- p# ?1 B) yD,oracle中如果单引号被阻止了,还可以用chr函数8 ]/ d' f% i9 s. U" ~$ k

) T1 {7 P6 s7 A6 y* Gsleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
! z! G. ~; J0 X- z7 r
$ x" Y/ M9 b6 B  N还有其他方法。正在收集中.5 {5 v1 c* J. }9 Y' n
% ]# q5 [1 W2 _) v* k




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2