【3.A.S.T】网络安全爱好者's Archiver

黑客学习

冰绿茶 发表于 2008-7-25 13:56

[讨论]mssql注入如何绕过过滤

[讨论]mssql注入如何绕过过滤
议题作者:inking
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])

今天测试了学校里面的一个站点,发现<,>,都被过滤了而且()也被过滤了,不知道怎么绕过
比如我提交dingzhong.asp?id=146386%20and%20user>0;--
返回:
Microsoft OLE DB Provider for SQL Server error &#39;80040e14&#39;

第 1 行: &#39;user0&#39; 附近有语法错误。

/bt2/dingzhong.asp, line 36
--------------------------------
大于号直接被删除了,括号也是一样的情况,试了一下((来代替(也不行
Inking's Blog http://www.inkings.cn
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=123726]0[/url] 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=123726]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]


[url=http://forum.eviloctal.com/space-uid-72637.html]28度的冰[/url] [img]http://forum.eviloctal.com/images/avatars/11.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

=wayne= 发表于 2008-7-25 13:56

>不行就<,或者=
或者转成HEXI love amethyst!
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url]
帖子177 精华[url=http://forum.eviloctal.com/digest.php?authorid=72637]0[/url] 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 [url=http://www.28ice.com/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=72637]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]

[url=http://forum.eviloctal.com/space-uid-123726.html]inking[/url] [img]http://forum.eviloctal.com/customavatars/123726.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

佳仔 发表于 2008-7-25 13:56

ls的 [img]http://forum.eviloctal.com/images/smilies/yangcong/57.gif[/img]

1楼说的对,针对<和>我是用=号来代替的,但是它过滤了[],(),{}这些好像就不能用函数了吧,而且诸如0<>(select count(*) from...)的也不能用了.不过有几个扩展是不需要括号的,比如;exec master..xp_cmdshell &#39;dir&#39; ;虽然过滤了exec,但是通过返回的错误我提交了eexec就绕过了.但是由于不是sa权限,所以命令是执行不了,后来想手工列目录,但是由于还是需要括号,结果还是失败...他的过滤难就难在直接删掉了url里的括号,要是转换成其它的那也许还可以想个办法,而自己对数据库的语言又不是很熟悉,所以实在没有办法了.

我现在唯一得出的结果是:
1.利用use master暴出了一个表
2.利用union查询查处该表里有个user列,其它的再查不出了
3.本来想用union暴出user里面有什么东西,但是由于页面显示不了字段,查源代码也没有
4.用户名是dbo,但是不是sa权限
overInking's Blog http://www.inkings.cn
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=123726]0[/url] 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=123726]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=猎头&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]您知道您年薪应是多少?[/url]

[url=http://forum.eviloctal.com/space-uid-72637.html]28度的冰[/url] [img]http://forum.eviloctal.com/images/avatars/11.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

auqa 发表于 2008-7-25 13:56

找找别的地方吧,比如说类似、登录的地方。I love amethyst!
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url]
帖子177 精华[url=http://forum.eviloctal.com/digest.php?authorid=72637]0[/url] 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 [url=http://www.28ice.com/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=72637]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-14725.html]黄少[/url] [img]http://forum.eviloctal.com/images/avatars/pw/male1.gif[/img]
晶莹剔透§烈日灼然

langchen 发表于 2008-7-25 13:56

post and get我从来不靠 靠 靠
[url=http://wpa.qq.com/msgrd?V=1&Uin=182245385&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子27 精华[url=http://forum.eviloctal.com/digest.php?authorid=14725]0[/url] 积分94 阅读权限40 在线时间29 小时 注册时间2005-10-11 最后登录2008-7-21 [url=http://about:blank]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=14725]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-123726.html]inking[/url] [img]http://forum.eviloctal.com/customavatars/123726.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

XIELLP 发表于 2008-7-25 13:56

引用:
引用第5楼hacklife于2007-11-07 11:28发表的 :
搞不懂在说什么 不过找个好用点的工具应该可以搞定的吧 嘿嘿
偶也不是太懂 [img]http://forum.eviloctal.com/images/smilies/yangcong/57.gif[/img]
呵呵,也就是过滤程序对提交的url进行了字符,一旦有括号就删掉,然后再执行数据库查询,没了括号大部分语句都没有用了.
比如我提交[url=http://test.com/index.asp?id=1]http://test.com/index.asp?id=1[/url] a(((())))nd 1)([]{}=1;--
的效果和提交[url=http://test.com/index.asp?id=1]http://test.com/index.asp?id=1[/url] and 1=1
是一样的
这个漏洞现在已经通知管理员了,最后也没有拿下服务器,只是利用注入漏洞update(update不需要括号,大家都知道^_^)了数据,构造了xss漏洞,没拿下服务器很是不爽呵呵Inking's Blog http://www.inkings.cn
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=123726]0[/url] 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=123726]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-85970.html]萧风[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

草本刚 发表于 2008-7-25 13:56

转成HEX。。
帖子20 精华[url=http://forum.eviloctal.com/digest.php?authorid=85970]0[/url] 积分72 阅读权限40 在线时间24 小时 注册时间2007-3-1 最后登录2007-12-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=85970]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-585.html]fatcat[/url] [img]http://forum.eviloctal.com/images/avatars/pw/2.gif[/img]
晶莹剔透§烈日灼然

车BB 发表于 2008-7-25 13:56

&#39;没过滤吗?

update x set x=0x........................
backup database pubs to disk=&#39;C:\Documents and Settings\All Users\「开始」菜单\程序\附件\1.hta&#39;

嘿嘿,根据你描述的可以拿的。晕啊晕
帖子45 精华[url=http://forum.eviloctal.com/digest.php?authorid=585]0[/url] 积分145 阅读权限40 性别男 来自浙江 在线时间68 小时 注册时间2004-11-9 最后登录2008-7-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=585]查看详细资料[/url]TOP

[url=http://forum.eviloctal.com/space-uid-585.html]fatcat[/url] [img]http://forum.eviloctal.com/images/avatars/pw/2.gif[/img]
晶莹剔透§烈日灼然

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.