中国网络渗透测试联盟
标题:
PHP中SQL注入,绕开过滤,照样注入
[打印本页]
作者:
admin
时间:
2013-1-13 09:50
标题:
PHP中SQL注入,绕开过滤,照样注入
SQL注入。有攻有防。知道进攻。才懂得防守.
1 z l6 I1 S7 k( D2 G
4 E; a- b" a8 c& {- C
有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。
. ^% x! y0 k3 Q `5 |. n6 c
+ X4 h. p" [; f1 [( I: a" w
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
3 I/ U- L/ y; P, M6 s! @
5 ~' C$ Q5 I; w6 u" f7 N
我们通常有以下几种技巧,去避开这些过滤。
5 I8 e# C: ]" A7 W1 i1 K% B. Q0 I
K4 e% L/ j7 A2 ~# W u- ^- s
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
6 u$ k% t6 h% P7 e1 D
8 h; k6 g$ D- O1 Z8 u" s" H
A,如果注入一个数字数据字段,就不需要使用单引号。
, ]. g4 {4 y, r, v, Z5 s T6 y3 L
5 f8 D4 n# E, `
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
; l, K) Z1 j6 u2 L- }9 I
. m" C, {* a6 D
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
8 r: W0 Y2 c1 u2 T
. a& d7 {& b8 B0 s0 f+ I
目的其实很简单,就是把后面的单引号给闭合掉。
! E& K2 E; q: d; {, q4 A
+ d/ p+ \6 {* P" a3 q. @ n
C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
; A- g$ a4 X& v
2 o, y3 s- ]( c
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
: b' b% w3 j: o3 q
: r- c- X& M0 s6 L- l& V/ o
2,避免使用简单确认
, K% X- p# A- h
& ]; g8 }% Y* g
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。
; _% p9 B' n9 I& |
( e. \* k4 Z( h: [+ U* U) K
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
# t' C3 u1 b" i! B4 u4 [
& W+ K) R) x2 f+ }3 n
A,如果select关键词被阻止或删除
2 \! V8 a5 `$ x+ H5 y
- c* e) Q, V/ Q, T' B1 n
我们可以输入:
% k; L0 l1 i! x4 a/ b
/ k; @9 b. J, N- j$ j
SeLeCt 注意大小写
4 `3 U3 A% T \1 f9 b3 k
7 B7 ]; t3 \& i, w3 \( B
selselectect 还记得ewebeditor是怎么过滤asp的么?
& x" y# {% `1 m1 s% D
( J4 f6 U6 K9 c( K
%53%45%4c%45%43%54 URL编码
" m. t K' _9 g
4 |" ]4 E) U( m6 ?! C4 ?: u+ `
%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个25
( D: X4 R- G5 s" E4 L
# r8 V [7 e% E; t& u: s
3,使用SQL注释符
" \" P7 b1 l& z% J3 E" A
. k% n, t1 b8 g8 K6 P0 p% n6 _ i
A,使用注释来冒充注入的数据中的空格。
9 A& E$ `5 z; b# k" t
. Z5 Y7 @ ?. Q) g6 L1 p" c. y
select/*yesu*/username,password/*yesu*/from/*yesu*/admin
( N) u' r; @* S9 c" W1 K
% R f. ]3 D0 V$ `
/*yesu*/来冒充空格
* d( u4 k) j( I! \, r; w
% N. S; o( N1 ?" F; l7 _1 P
B,使用注释来避开某些注入的确认过滤。
0 n$ ?- Y& t8 N V5 Z
q3 D! w; D% K1 I1 y8 _& O0 g w( C
SEL/*yesu*/ECT username,password fr/*yesu*/om admin
9 k# h; } d' q+ ]
4 _7 B( y' J/ `$ T# V
4,处理被阻止的字符串
s; K# h7 M! p/ |- U/ Z
6 M5 \, x. G, K4 h( ?5 d# c- e
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
& b4 u, X" b+ g- Y9 r$ R
/ T$ e0 K" A1 g, w# b
我们可以这样
|# ^8 q+ P' q
a& Z2 J# z3 D9 B: }" j" X
A,oracle数据库: ‘adm’||’in’
& ?6 y) }) @% Z3 b
) \# y2 l9 K* f7 I, F
B,MSSQL数据库: ‘adm’+’in’
, s n a) b0 X1 O, Q" f+ o5 y# L
, F1 i2 s6 Q) b
C,MYSQL数据库: concat (‘adm’,’in’)
" y0 {/ u$ W s& J6 U. V' V# G# P
5 n' b3 A% Y8 A
D,oracle中如果单引号被阻止了,还可以用chr函数
& Q4 g1 |7 M" C j! t. e. |2 {
0 K7 e3 b3 R2 \8 W+ W3 O. R
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
- Q5 ?% W. D \
# T G8 X4 j! ?8 f9 \4 Z! F: f9 m
还有其他方法。正在收集中.
6 \- Q k; v4 T
- O1 q# Q B- F/ n' e
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2