中国网络渗透测试联盟

标题: PHP中SQL注入,绕开过滤,照样注入 [打印本页]
作者: admin    时间: 2013-1-13 09:50
标题: PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.) f! E3 y$ t7 H' [

: K- e4 d9 l  @$ T有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。
1 P5 h! _  ]9 ?& G8 F- D# w4 n  l
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
* a) U# n8 D8 ~) c
0 v3 I9 d# J& i& T我们通常有以下几种技巧,去避开这些过滤。
1 I* D% ~' x' Q+ d5 Q6 z2 Q  o( t6 J0 ]2 n5 @3 `' T
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
4 _2 @. r( B* J! L) N, `# U% Z
5 ]" Z# G" _! SA,如果注入一个数字数据字段,就不需要使用单引号。
! D. [6 Y2 D4 D( {0 I/ D+ `; p: d5 C: Y8 Z, ^7 l2 P3 _
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
- `2 G' C$ V6 w% L$ j* P2 j* y6 C% T0 r
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
* A6 q& [2 i6 @# p4 P# \8 y7 n/ Q, p7 d( W, U* z
目的其实很简单,就是把后面的单引号给闭合掉。  o/ X; ]. K0 f# B/ d8 u

. C; M8 _% P# Q/ c" {0 jC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
1 u4 M1 N# `- x# G7 Q5 L! a" x- |3 i* Y* M" m7 j" Z# n" V- A
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
  g. X2 n) T4 R
; I+ m! {1 _( c3 D* Q& c1 g/ G2,避免使用简单确认3 `% W( z$ l: b* L/ S) v" W2 O( n

- v; Y& o9 |: n/ R8 I$ V' }9 |一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。) W1 \3 V- k% C* q, q! e) i% W
3 n/ I" ]- O7 I+ U* u' U1 r
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
* T7 ~0 [4 w. ?2 Z! o( Y# S1 B& s* H7 u7 u+ k6 g
A,如果select关键词被阻止或删除
) Q- T0 Y: J! D% N+ Q" F1 J' [; k! D
我们可以输入:4 |: g! W7 N4 J* ^4 v" O) J2 T* }

3 F3 t+ g! G0 ySeLeCt       注意大小写3 q8 `: [/ ?* B* X9 G9 l* X

1 N/ v% @  x/ F. s8 w% L4 o, dselselectect    还记得ewebeditor是怎么过滤asp的么?
7 S( b$ ^* f2 G1 \
0 @. O( Q0 A4 {- C* D) V& t5 _%53%45%4c%45%43%54                        URL编码# Y$ U2 m0 t7 F3 J

) c' M* M# C% l; V& X: q%2553%2545%254c%2545%2543%2554    对上面的每个%后加了一个25
0 Y/ W* s- b$ r) M2 S9 {( i& W+ q9 m# ]: i# p: T
3,使用SQL注释符/ T1 _+ L  W. R* a
# G) n0 w- \) Y# B2 ]5 v) Z+ f4 }! ]
A,使用注释来冒充注入的数据中的空格。
* {+ s* \! L' b& w1 d* h4 V
/ _  k" a( M4 |5 S) wselect/*yesu*/username,password/*yesu*/from/*yesu*/admin1 `/ q4 x8 f  u* p9 u0 q

9 d3 ]1 p7 p# j/*yesu*/来冒充空格
1 N  H  c! ~& S5 |* B
& b- [0 k( l. |$ o3 a" gB,使用注释来避开某些注入的确认过滤。! T( p6 p1 w+ ?+ j& p

7 \3 L' J4 g% O) j. B7 q# @; MSEL/*yesu*/ECT username,password fr/*yesu*/om admin
! C+ d: X- Y) l5 B
0 M# k' F: j9 c8 W" d, I4,处理被阻止的字符串
) q6 c- U4 L& M: |  a1 s/ }6 K9 Q& N* c" E: Y  \
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。9 L: c! b( i2 ~  p# ~

2 H4 k& c0 J* b$ F9 L3 A/ s5 Q我们可以这样/ f! I5 t% C, A1 F! Q" i" s

7 a7 X" D, j' k2 U3 ^3 lA,oracle数据库: ‘adm’||’in’  s- L3 l* t) K# V: o
, n) G! W2 n; O
B,MSSQL数据库: ‘adm’+’in’
# T# T2 P5 Q/ M# U
3 {# x. O2 N- _- u5 ]C,MYSQL数据库: concat (‘adm’,’in’)  u% G' s) ~) @
! O7 {: s# R& }% ~$ [5 _6 q% Y
D,oracle中如果单引号被阻止了,还可以用chr函数
! j" O  R) e8 F+ n' Z  y/ `
8 }. P* i5 s4 }$ G  n: ?4 @8 I8 Hsleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
  |& N4 [; r# M- j! b" g8 D6 ?
, `$ K1 u6 @* B  i5 a% _5 B9 T还有其他方法。正在收集中.
. I0 g! P2 `% i
4 k8 v% f7 j6 n) I9 y3 l



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2