中国网络渗透测试联盟
标题:
PHP中SQL注入,绕开过滤,照样注入
[打印本页]
作者:
admin
时间:
2013-1-13 09:50
标题:
PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.
' G0 L) a" q" ? e: ^
$ ]- a2 R6 X6 H0 ?! e' e t; {
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。
- B7 T# w' p; W0 R+ a
+ {7 e H4 P/ ?
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
) f9 {3 L6 \/ _
# k& C' h! S) P) o6 ?$ D
我们通常有以下几种技巧,去避开这些过滤。
2 ^4 v6 v9 E7 `: K* X4 A3 s4 e
& B, b% ^- d8 y, x
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
: Q7 q% ?9 S* G3 |. ?' @
7 z' U) Z* [/ s- Q: ?7 ^# d$ }
A,如果注入一个数字数据字段,就不需要使用单引号。
9 k) [# B( s2 o' |* c8 ^9 b; c
" t, {9 R0 }( v9 w7 o
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
- Q2 O$ ?- X7 M! i; v
3 u1 @! {0 x. l% \1 x$ y
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
6 I$ o" c5 B6 b- q/ U! u; @
, H: J/ x% {& P9 G5 ]
目的其实很简单,就是把后面的单引号给闭合掉。
; N" V2 w, f: N$ g1 C' M6 w
7 ^; F- F) W4 @
C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
# e& G, ]( a b0 S% u) ^
) |. G$ E8 }8 u1 o5 O! p& x+ J
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
# t3 j; }+ p# Y7 f9 z: U/ K E
" s* I6 Q, c/ J! ]1 m5 U7 |( e) J
2,避免使用简单确认
4 K( {. ~/ `$ u7 r3 P
5 N( |8 D7 }1 a D" {
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。
7 y$ f! G' q. D4 M8 b9 k
% N0 ?; B1 w- [5 B
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
q; t- t \1 D
1 B- ]( x1 c' i/ a7 o4 J2 w$ g
A,如果select关键词被阻止或删除
, {9 o( u7 O$ @, Q2 H
! `5 G9 }2 k' Z8 h
我们可以输入:
4 | v+ c6 |# a3 i8 N8 H2 q
/ \$ K# B$ \! r4 e4 I3 `
SeLeCt 注意大小写
! h, c# v! d+ @9 T4 j
+ I8 i9 F+ Y# }' R
selselectect 还记得ewebeditor是怎么过滤asp的么?
8 h3 E+ \5 {: o8 |5 g4 z0 D
( u8 ~, _7 a9 W5 U
%53%45%4c%45%43%54 URL编码
$ l7 P }6 U9 G
3 G1 ]) u5 v) H' [4 c
%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个25
6 f7 F; Y: p8 C% r5 M$ f
4 i: `5 p7 Q3 U( @8 z' X1 p
3,使用SQL注释符
% l# V4 M; `/ J) x5 s9 u
8 \% v0 ], `+ n1 i1 l' W" a
A,使用注释来冒充注入的数据中的空格。
1 e& r) u3 S- S, ]$ X/ X
D8 m, k* q8 K, ]( E
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
3 {1 A, x2 x6 `8 m
- r/ f" P) v! x, j/ g/ \* [( G
/*yesu*/来冒充空格
6 c1 \; ~) R' e1 V+ A& W6 _# N
0 J q) O9 C) |' f7 M! S* C( T
B,使用注释来避开某些注入的确认过滤。
" e1 V( r- b7 W
* ?& D& D- H- w6 j' |
SEL/*yesu*/ECT username,password fr/*yesu*/om admin
! O' w, F7 G. d$ \+ v$ u" G
9 E" K6 D, B, ^+ W
4,处理被阻止的字符串
1 ~% `; u$ H! i; v3 t& D
5 |4 g) J3 }) a% r. G; c( r& y
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
5 L3 Q- c; c: U! ?6 d2 b
- d4 M4 o; G8 ~0 T# o! V
我们可以这样
8 y( o; f! }0 F' ?. W" q9 J- {( P' ^
: W8 G8 Q& ^2 p" U4 a5 Q
A,oracle数据库: ‘adm’||’in’
1 r$ U( j' J. V& X0 u8 e( o
1 U3 |4 {4 l# `4 h+ s
B,MSSQL数据库: ‘adm’+’in’
% L( |# b- W+ H' J7 g
0 O+ J, \; r5 G0 |3 S' T
C,MYSQL数据库: concat (‘adm’,’in’)
! d0 \+ X- x' K6 R$ R# ~
* t2 S' S3 f; U
D,oracle中如果单引号被阻止了,还可以用chr函数
* }7 S6 ~! k# _3 p- r$ r
4 J' S: A) [! z% I, y3 A
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
. N, L( x2 |6 R. |; A& q& k4 R
9 E5 N1 a; ]$ q3 Z( U' ^
还有其他方法。正在收集中.
/ o/ L7 N, g8 i( ~! w; t6 P
A1 ] w7 ~2 J% F( q
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2