中国网络渗透测试联盟
标题:
PHP中SQL注入,绕开过滤,照样注入
[打印本页]
作者:
admin
时间:
2013-1-13 09:50
标题:
PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.
" ?) T$ v8 S4 F7 F' @: `- s
9 r' b3 G! \2 @4 U8 c6 ^6 r
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。
' z" `& o4 D5 ^# S9 M# q6 T
* C9 u! K# `2 o4 s$ R$ ?
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
2 K: h( h- ?8 {- T& e: Y
$ Y( l2 j7 E5 ]1 ?1 T8 q' x0 G7 ^
我们通常有以下几种技巧,去避开这些过滤。
5 U; i6 N$ z1 C" e6 t: T
9 M! n$ e8 G) P! r
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
G7 t& v6 [' _9 t6 J% _1 t) ^6 Y- F
5 H5 I6 J, j/ Y3 b! V5 |
A,如果注入一个数字数据字段,就不需要使用单引号。
* `) l' Z* h! E! T4 f. C1 i
; Y- @0 A5 X! {1 Z" l2 _
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
: [3 a: j- i9 D; @! Q0 Q# Z3 Z3 G" g
k0 n5 ?+ h' {" v$ x
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
7 Q& x& `0 p# q* M9 S m8 f' `
7 z% N; |$ }) s0 {
目的其实很简单,就是把后面的单引号给闭合掉。
2 t3 G) y4 ^ |& q* h
5 z% c0 G8 C/ E! J" j
C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
" j; M+ I7 B& V. H! v
; U6 h1 L: x& h$ E% g
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
/ n5 D7 m) U5 T( G8 {0 r' I; @1 e
) q7 V7 ^# c/ {, t$ k. T
2,避免使用简单确认
0 v G/ X* z+ ~* J" H5 `
9 V$ i! I# Z1 v; V! `' {/ |* C' |: p
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。
; }- y7 a% t+ m) |- H
) E+ G |! K+ F# j
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
3 f) o9 `* h' Z7 }# y
6 x% T/ _5 D4 r( | h( M n1 @
A,如果select关键词被阻止或删除
# v- R1 L2 U# t; N% H
1 E4 q( g6 A g) b- V$ L
我们可以输入:
/ ^2 M/ S5 h Y- ]: W2 u
$ D( X& Q. m) [% I. l4 p3 }: J! \
SeLeCt 注意大小写
+ J& f) G4 }( }* z2 A, D
9 i, q2 D5 i0 g. D6 f" h
selselectect 还记得ewebeditor是怎么过滤asp的么?
; l+ c& y# c: {. q4 I4 m
7 j+ y- L0 p" p
%53%45%4c%45%43%54 URL编码
' K$ b# X2 y2 a/ w4 b
+ ?( \/ d0 D) N* K
%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个25
" \; }$ U% o+ i, _$ V
% S7 c! [$ I, T; Q) `0 n
3,使用SQL注释符
" ^8 ?. Y$ q3 L4 U4 E
: t" ]+ h' N5 F: h; N
A,使用注释来冒充注入的数据中的空格。
% h% z! R: g% \* Z
! O6 H5 W* @5 g$ B4 [' ]# ]
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
! }" ?1 q; S& N( t
4 u7 _7 ^3 l( Q7 D
/*yesu*/来冒充空格
" {7 |) o' |. H! C& y" H/ z
6 w9 O# s) d1 G/ o
B,使用注释来避开某些注入的确认过滤。
/ A+ R0 ?$ q! V% a
) I. e7 A# V1 O; @2 P
SEL/*yesu*/ECT username,password fr/*yesu*/om admin
7 G$ T* D- w' r7 y8 W
# S$ h( k/ Q0 U
4,处理被阻止的字符串
( J* [1 @# m$ H; j. V
5 w* k g0 q$ ~4 w* l; F6 E1 J9 y$ F6 e
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
0 d( s y$ A0 G" [) s/ t4 L
3 v; q! o& K/ } a, D* Z( }0 ~
我们可以这样
4 t8 O5 Q; F- h
, Y2 [2 R' E2 p' }+ z: j
A,oracle数据库: ‘adm’||’in’
1 b0 _: O3 M' ~3 y: M; `
$ M0 j" Z' J7 V5 I) P/ K/ L
B,MSSQL数据库: ‘adm’+’in’
6 _/ m4 S3 R' s8 A% } X S
# x% K# C% p2 y _+ h4 d/ n3 J
C,MYSQL数据库: concat (‘adm’,’in’)
" U* _, S& I' c4 l; A, m% [1 ^
2 g8 f5 ?/ ?! S& E' [3 [& `
D,oracle中如果单引号被阻止了,还可以用chr函数
0 S2 i/ r& l7 y; K, d7 E
9 @: H" I0 S/ u4 f; d' \! v
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
+ D* M' k3 h2 s: d- l2 |
- _6 E q9 q0 v
还有其他方法。正在收集中.
3 Y4 o0 P$ s: c- D2 x8 X
5 B& d b! _* j, d, {6 J0 K
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2