1:之前的漏洞描述里面有点知识理解错了,但是不影响结果,测试下360webscan的看能不能搞定2:在正则表达式里面,\s的理解有如下字符,在php,python以及c下面测试结果均为:0x09,0x0a,0x0b,0x0c,0x0d,0x20如下6个字符,3:在如下帖子中知名,mysql理解的whitespace有如下字符: 0x09,0x0a,0x0b,0x0c,0x0d,0x20,0xa0
http://zone.wooyun.org/content/16772
1
http://zone.wooyun.org/content/16772
感谢狗哥哥分享的帖子4:如此看来,0xa0是正则\s中不不包括的,在大多数的union select注入识别中 一般都会输入类似的代码union[]select[] []的都喜欢使用\s的匹配,这里就很有可能由于 web端和mysql端对于其理解不同造成bypass5:cmseasy使用的是360webscan,下载最新版本20141015,其中360webscan防御的正则为
\\<.>|<.>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\()|]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|
1
\\<.>|<.>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\()|]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|
我们看关键部分,第一部分是union部分
UNION.+?SELECT@{0,2}(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))
1
UNION.+?SELECT@{0,2}(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))
此部分关键的是\s+?这里的意思是非贪婪的匹配1个或多个空白,注意mysql中的%a0哦,貌似输入在这会有效果第二部分是select部分的
(SELECT|DELETE)@{0,2}(\\(.+\\)|\\s+?.+?\\s+?
1
(SELECT|DELETE)@{0,2}(\\(.+\\)|\\s+?.+?\\s+?
同样注意这里的\s+?,原理同上6:我们在浏览器中输入http://192.168.4.70/cmseasy/uploads/index.php?id=1 union select 1 from table查看结果如下:
7:我将%a0放置在select和from的后面