中国网络渗透测试联盟

标题: PHP中SQL注入,绕开过滤,照样注入 [打印本页]
作者: admin    时间: 2013-1-13 09:50
标题: PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.9 z; g' g- W! X7 z' _
1 Y( W& V! A, Z5 y; I4 a
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。/ b% N3 c; o6 j' c5 `  ]
; W% n. H  K7 ]1 T# F4 Z4 r
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
) v' o# C! s& h8 R8 A1 i% L1 h* c7 c
我们通常有以下几种技巧,去避开这些过滤。
& G: h) r' H* w7 t
. G; S2 Z1 t: y+ B7 Z  s1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。$ D8 Z4 ]7 f4 S* l
+ i. j1 P- s* m2 A  G$ {9 ~
A,如果注入一个数字数据字段,就不需要使用单引号。
1 ]& u  ]6 I/ O6 Q, h4 R$ w+ I% G
& ^5 S; [# W. @+ jB,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
! ?* _3 R: \5 k% P, F6 k( m* B. H( c2 v
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a+ A+ r9 ?6 g! W$ K2 v, B: U
- n  q/ M/ G( }, q, T
目的其实很简单,就是把后面的单引号给闭合掉。
0 K. C8 P" g" W$ ^/ G4 E4 d/ |: O3 {
. h9 ^/ B$ x9 L7 V8 h2 j4 `C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
" z$ y- G; h+ E& V: e6 B  A
+ z/ `6 e& ?# B) J6 Y* h只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
. W' C8 S+ q2 P: m
" y2 J; f2 T7 w5 }6 ^4 o2,避免使用简单确认
. x* f' R% R6 o: p- ^# }9 J* M. W# t8 |- m! P! f- j3 J
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。! w1 g$ w- O. h
- N9 T% ]* E5 C. R0 ~' L/ @
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。1 U7 _5 J) B3 P) b0 ~# c% ~; T

( {6 f; R  i6 F1 C% n2 EA,如果select关键词被阻止或删除& m6 ?3 t: E  _' E, O* O, g: k

0 e. p) y& @! e. V0 R/ C我们可以输入:
" I, D/ h6 P4 S9 K. t9 B
' V8 j8 p8 x* w+ v1 W6 MSeLeCt       注意大小写2 [( ]7 m4 f3 W# ]( C# M0 D  ^; L; l& [
/ `# _8 l* K$ g' n7 ]( H' Q# F
selselectect    还记得ewebeditor是怎么过滤asp的么?
4 r3 |( T' g5 C; b2 J! ]( G- H8 K( l% s
%53%45%4c%45%43%54                        URL编码
2 ^' J" g2 R: N
& p* ]; a% K' ^1 P) l% }%2553%2545%254c%2545%2543%2554    对上面的每个%后加了一个25* R' U! [% n+ _& `
4 I6 D) M1 I5 v8 w% U' ~+ T' f
3,使用SQL注释符1 Y+ _8 S$ E: M2 K

) _3 ~  w) l; ~/ aA,使用注释来冒充注入的数据中的空格。
* P4 m, p: M4 Q* I1 Q0 h( z. t7 w/ S3 F: M, [: d/ t
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
' G6 R- P+ l% F' S' T  g
6 h2 d4 g) r2 t( {* ]8 Y, I/*yesu*/来冒充空格
/ o; J4 K. a: C3 z7 x8 h7 s
6 _' s1 ]. A; z! h' eB,使用注释来避开某些注入的确认过滤。
) O; X" G6 d+ Z# V/ ?* H- ]; @! ?0 ~9 |1 ^
SEL/*yesu*/ECT username,password fr/*yesu*/om admin5 Z6 G: l. i1 N' u

) `- n% Z# x+ C$ Z4,处理被阻止的字符串
2 X& P/ F7 e+ L$ \9 `9 n
3 _3 ~" [1 ]% m& c; V0 F比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。; }+ ?) Y, s6 A* \( R3 F0 C3 a
! X" Y, e4 a/ s* R$ o: s# W1 |
我们可以这样
* P, v) A/ b- O3 _, B+ ]# d$ g
) t* A+ T% o$ X* {A,oracle数据库: ‘adm’||’in’2 P, Z3 ~; l/ x& ^

+ O' X* U) r9 G% s/ u6 J1 l  kB,MSSQL数据库: ‘adm’+’in’
) E% c3 ]7 R0 W/ k: _/ ]9 G  H# @/ [
& b' `4 z+ `; f8 A+ z6 hC,MYSQL数据库: concat (‘adm’,’in’)
# E" z7 j" ^6 p0 H) X. O2 U6 z& C/ ?: P. n
D,oracle中如果单引号被阻止了,还可以用chr函数
, Z  I  M' r* K& W" ]0 `- T0 F( j3 t: O' g8 Y, S* E7 D
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
8 M) R. }  @8 i2 I; z$ D+ b, {; u8 j( k! N& U  w
还有其他方法。正在收集中.
( d% o4 b7 t) _8 e7 j" P& S( S9 c& v6 o0 Q& m: W




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2