绕过MSSQL防注入的一些解决办法

                                                                                    绕过MSSQL防注入的一些解决办法

在工作中还是其他时候都时常遇见一些网站加了防注入代码，这确实让人头痛不已，不过另一个方面让我终于又有了一个新的可以深入琢磨的课题，同时也看见了前辈们提供的很多绕过防注入方法，都着实让我受益匪浅。把思路集中一下，具有列出以下的几点：


1.编码处理
2.语句变换
3.其他


对这几点还是做一些简要的说明吧！

编码处理->
关于编码问题在google中实在是搜的是数不胜数，不过编码也有很多，这里就简单的说下常用的几种吧：
1)Urlencode 这个编码很常见了吧，如%31%3d%31，不过在绕过防注入中效果确实不太好，除非服务器只是对浏览器中的url地址进行了判断
2)ASCII 这个一般情况下用的稍微多点，char(xxx)大家都应该非常熟悉，里面加上相应的ascii码并用+连接多个就可以了
3)Hex 一个非常经典的绕过技术，不过由于mssql没有像mysql提供unhex()这样的函数，所以使用上要求语句须支持分句，将其定义后然后赋值就可以使用了


语句变换->
实现某个功能我们可以通过不同的语句来实现，其中一种可能就有适合当前环境下的语句，看看下面的sql语句吧，同时也是我在注入过程中经常用到的
select password from users
convert(int,select password from users)
这样就可能让我们获取到密码。不要着急，这只是一个变换句子的例子，现在我们来看看如果在防注入了过滤了某些查询的关键字怎么办呢？
select password from users //由于过滤了password无法执行
declare @pw varchar(1000) set @pw=0×70617373776F7264; select @pw form users; //这样通过对特别字符进行hex处理就能绕过，主要应对比较特别的情况，如IDS之类的安全设备，配合其他方式绕过防注入也是非常不错的


其他->
除此之外，我们还可以通过一些比较特别的方法来绕过，如in、between等等，例如过滤了select，看下面
select password from users //过滤select，无法执行
s%e%l%e%c%t password from users //通过%连接
“sel”+”ect” password from users //通过+来连接
se/**/lect password from users //通过/**/来连接
其次，在一些防注入中由于脚本没有过滤cookie提交，由此我们可以通过cookie来进行注入，其实方法真的很多，想上次‘的过来问题最终也是通过语句变换的方式解决了，sql语句的灵活运行在某些时候真的很暴力，欢迎各位就以上几点进行探讨。