返回列表 发帖
冰绿茶

Rank: 5Rank: 5

帖子
270 
积分
733 
威望
1168  
金钱
874  
在线时间
2 小时 

贡献奖灌水王帅哥勋章
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-7-25 13:56 | 只看该作者

[讨论]mssql注入如何绕过过滤

mssql, 讨论
[讨论]mssql注入如何绕过过滤
议题作者:inking
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

今天测试了学校里面的一个站点,发现<,>,都被过滤了而且()也被过滤了,不知道怎么绕过
比如我提交dingzhong.asp?id=146386%20and%20user>0;--
返回:
Microsoft OLE DB Provider for SQL Server error &#39;80040e14&#39;

第 1 行: &#39;user0&#39; 附近有语法错误。

/bt2/dingzhong.asp, line 36
--------------------------------
大于号直接被删除了,括号也是一样的情况,试了一下((来代替(也不行
Inking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 爱要怎么说出口


28度的冰
荣誉会员
收藏 分享

=wayne=

Rank: 1

帖子
15 
积分
22 
威望
29  
金钱
24  
在线时间
0 小时 
2
发表于 2008-7-25 13:56 | 只看该作者
>不行就<,或者=
或者转成HEXI love amethyst!

帖子177 精华0 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 查看个人网站
查看详细资料TOP 赚更多的钱

inking
荣誉会员

TOP

佳仔

Rank: 1

帖子
13 
积分
19 
威望
24  
金钱
23  
在线时间
0 小时 
3
发表于 2008-7-25 13:56 | 只看该作者
ls的

1楼说的对,针对<和>我是用=号来代替的,但是它过滤了[],(),{}这些好像就不能用函数了吧,而且诸如0<>(select count(*) from...)的也不能用了.不过有几个扩展是不需要括号的,比如;exec master..xp_cmdshell &#39;dir&#39; ;虽然过滤了exec,但是通过返回的错误我提交了eexec就绕过了.但是由于不是sa权限,所以命令是执行不了,后来想手工列目录,但是由于还是需要括号,结果还是失败...他的过滤难就难在直接删掉了url里的括号,要是转换成其它的那也许还可以想个办法,而自己对数据库的语言又不是很熟悉,所以实在没有办法了.

我现在唯一得出的结果是:
1.利用use master暴出了一个表
2.利用union查询查处该表里有个user列,其它的再查不出了
3.本来想用union暴出user里面有什么东西,但是由于页面显示不了字段,查源代码也没有
4.用户名是dbo,但是不是sa权限
overInking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 您知道您年薪应是多少?

28度的冰
荣誉会员

TOP

auqa

Rank: 1

帖子
15 
积分
23 
威望
30  
金钱
30  
在线时间
0 小时 
4
发表于 2008-7-25 13:56 | 只看该作者
找找别的地方吧,比如说类似、登录的地方。I love amethyst!

帖子177 精华0 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 查看个人网站
查看详细资料TOP

黄少
晶莹剔透§烈日灼然

TOP

langchen

Rank: 1

帖子
32 
积分
48 
威望
64  
金钱
57  
在线时间
0 小时 
5
发表于 2008-7-25 13:56 | 只看该作者
post and get我从来不靠 靠 靠

帖子27 精华0 积分94 阅读权限40 在线时间29 小时 注册时间2005-10-11 最后登录2008-7-21 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

inking
荣誉会员

TOP

XIELLP

Rank: 1

帖子
28 
积分
42 
威望
56  
金钱
53  
在线时间
0 小时 
6
发表于 2008-7-25 13:56 | 只看该作者
引用:
引用第5楼hacklife于2007-11-07 11:28发表的 :
搞不懂在说什么 不过找个好用点的工具应该可以搞定的吧 嘿嘿
偶也不是太懂
呵呵,也就是过滤程序对提交的url进行了字符,一旦有括号就删掉,然后再执行数据库查询,没了括号大部分语句都没有用了.
比如我提交http://test.com/index.asp?id=1 a(((())))nd 1)([]{}=1;--
的效果和提交http://test.com/index.asp?id=1 and 1=1
是一样的
这个漏洞现在已经通知管理员了,最后也没有拿下服务器,只是利用注入漏洞update(update不需要括号,大家都知道^_^)了数据,构造了xss漏洞,没拿下服务器很是不爽呵呵Inking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 让女孩一夜变的更有女人味

萧风
晶莹剔透§烈日灼然

TOP

草本刚

Rank: 1

帖子
积分
14 
威望
18  
金钱
18  
在线时间
0 小时 
7
发表于 2008-7-25 13:56 | 只看该作者
转成HEX。。
帖子20 精华0 积分72 阅读权限40 在线时间24 小时 注册时间2007-3-1 最后登录2007-12-22 查看详细资料TOP 让女孩一夜变的更有女人味

fatcat
晶莹剔透§烈日灼然

TOP

车BB

Rank: 1

帖子
12 
积分
18 
威望
24  
金钱
23  
在线时间
0 小时 
8
发表于 2008-7-25 13:56 | 只看该作者
&#39;没过滤吗?

update x set x=0x........................
backup database pubs to disk=&#39;C:\Documents and Settings\All Users\「开始」菜单\程序\附件\1.hta&#39;

嘿嘿,根据你描述的可以拿的。晕啊晕
帖子45 精华0 积分145 阅读权限40 性别男 来自浙江 在线时间68 小时 注册时间2004-11-9 最后登录2008-7-2 查看详细资料TOP

fatcat
晶莹剔透§烈日灼然

TOP

返回列表