sql注入的一些新发现,突破关键字过滤

保定网络公司:保定乾坤网站建设 来源:保定网络公司 人气: keywords:
导读:一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以用来作为分割符(以前竟然没…

    一直以来都以为只有空格,tab键和注释符/**/可以用来切割sql关键字,段时间在邪八看了风迅cms注入漏洞那篇帖子,才知道原来回车也可以 用来作为分割符(以前竟然没有想到,真是失败)。回车的ascii码是chr(13)&chr(10),至于为什么要两个连在一起,这个我也不知 道[嘿嘿,你不知道的话,孤行一鬼告诉你答案,在ASP中,回车符就是这两个字符组成的chr(13)&chr(10),换行用vbcrlf  ]。转换成url编码形式是%0d%0a,于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。


引申一下,只用%0d能正常执行语句吗?只用%0a呢?测试证明,用任意一种分割在mssql、mysql和access里面都是可以的。
另外,关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾,后来发现,完全不是那样。类似

select * from table exec xp_cmdshell'xxxxxxxxxx'

select * from table/**/exec xp_cmdshell'xxxxxxxxxx'

select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'

select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'

的语句都是可以正常执行的。而我以前竟然一直不知道!不过这个貌似跟连接数据库驱动有关系,odbc可以正常执行,sqloledb的话就会报错。有兴趣的继续研究吧

这样,以后遇到带空格过滤关键字的拦截程序,又可以发挥发挥了。可能大家早就知道了,不管怎么说,发在这里吧!

最近想起可能还有些ascii码可以用来在sql语句中代替空格,于是写个脚本测试了一下,结果在所有128个低位ascii字符 中,chr(12)也可以在access里用,不过貌似chr(12)不能出现在and、or之类的关键词附近,原因不清楚。mysql中比access 多一个chr(11)可以。至于mssql,挖日,直接从1到32的ascii码换成字符后都可以正常使用。

 



上一篇:揭密:黑客是如何攻击电子邮件的
下一篇:浅谈政府网站的安全性
保定网站建设