【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]mssql注入如何绕过过滤 [打印本页]

作者: 冰绿茶 时间: 2008-7-25 13:56 标题: [讨论]mssql注入如何绕过过滤

[讨论]mssql注入如何绕过过滤
议题作者：inking
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

今天测试了学校里面的一个站点,发现<,>,都被过滤了而且()也被过滤了,不知道怎么绕过
比如我提交dingzhong.asp?id=146386%20and%20user>0;--
返回:
Microsoft OLE DB Provider for SQL Server error '80040e14'

第 1 行: 'user0' 附近有语法错误。

/bt2/dingzhong.asp, line 36
--------------------------------
大于号直接被删除了,括号也是一样的情况,试了一下((来代替(也不行
Inking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 爱要怎么说出口

28度的冰

荣誉会员

作者: =wayne= 时间: 2008-7-25 13:56

>不行就<，或者=
或者转成HEXI love amethyst！

帖子177 精华0 积分3622 阅读权限100 性别男来自浙江在线时间215 小时注册时间2007-1-18 最后登录2008-7-21 查看个人网站
查看详细资料TOP 赚更多的钱

inking

荣誉会员

作者: 佳仔 时间: 2008-7-25 13:56

ls的

1楼说的对,针对<和>我是用=号来代替的,但是它过滤了[],(),{}这些好像就不能用函数了吧,而且诸如0<>(select count(*) from...)的也不能用了.不过有几个扩展是不需要括号的,比如;exec master..xp_cmdshell 'dir' ;虽然过滤了exec,但是通过返回的错误我提交了eexec就绕过了.但是由于不是sa权限,所以命令是执行不了,后来想手工列目录,但是由于还是需要括号,结果还是失败...他的过滤难就难在直接删掉了url里的括号,要是转换成其它的那也许还可以想个办法,而自己对数据库的语言又不是很熟悉,所以实在没有办法了.

我现在唯一得出的结果是:
1.利用use master暴出了一个表
2.利用union查询查处该表里有个user列,其它的再查不出了
3.本来想用union暴出user里面有什么东西,但是由于页面显示不了字段,查源代码也没有
4.用户名是dbo,但是不是sa权限
overInking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 您知道您年薪应是多少?

28度的冰

荣誉会员

作者: auqa 时间: 2008-7-25 13:56

找找别的地方吧，比如说类似、登录的地方。I love amethyst！

帖子177 精华0 积分3622 阅读权限100 性别男来自浙江在线时间215 小时注册时间2007-1-18 最后登录2008-7-21 查看个人网站
查看详细资料TOP

黄少

晶莹剔透§烈日灼然

作者: langchen 时间: 2008-7-25 13:56

post and get我从来不靠靠靠

帖子27 精华0 积分94 阅读权限40 在线时间29 小时注册时间2005-10-11 最后登录2008-7-21 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

inking

荣誉会员

作者: XIELLP 时间: 2008-7-25 13:56

引用:
引用第5楼hacklife于2007-11-07 11:28发表的 :
搞不懂在说什么不过找个好用点的工具应该可以搞定的吧嘿嘿
偶也不是太懂

呵呵,也就是过滤程序对提交的url进行了字符,一旦有括号就删掉,然后再执行数据库查询,没了括号大部分语句都没有用了.
比如我提交http://test.com/index.asp?id=1 a(((())))nd 1)([]{}=1;--
的效果和提交http://test.com/index.asp?id=1 and 1=1
是一样的
这个漏洞现在已经通知管理员了,最后也没有拿下服务器,只是利用注入漏洞update(update不需要括号,大家都知道^_^)了数据,构造了xss漏洞,没拿下服务器很是不爽呵呵Inking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 让女孩一夜变的更有女人味

萧风

晶莹剔透§烈日灼然

作者: 草本刚 时间: 2008-7-25 13:56

转成HEX。。
帖子20 精华0 积分72 阅读权限40 在线时间24 小时注册时间2007-3-1 最后登录2007-12-22 查看详细资料TOP 让女孩一夜变的更有女人味

fatcat

晶莹剔透§烈日灼然

作者: 车BB 时间: 2008-7-25 13:56

'没过滤吗？

update x set x=0x........................
backup database pubs to disk='C:\Documents and Settings\All Users\「开始」菜单\程序\附件\1.hta'

嘿嘿，根据你描述的可以拿的。晕啊晕
帖子45 精华0 积分145 阅读权限40 性别男来自浙江在线时间68 小时注册时间2004-11-9 最后登录2008-7-2 查看详细资料TOP

fatcat

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)