SQL注入绕过的技巧总结
<p><span><strong>前言</strong></span></p>
<p>
sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高,sql注入已经很少能够看到了。但是就在今天,还有很多网站带着sql注入漏洞在运行。稍微有点安全意识的朋友就应该懂得要做一下sql注入过滤。</p>
<p>
SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,最好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的。这篇文章就是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。</p>
<p>
<span><strong>一、引号绕过</strong></span></p>
<p>
会使用到引号的地方是在于最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_59393">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">column_name </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.tables </code><code class="sql keyword">where</code> <code class="sql plain">table_name=</code><code class="sql string">"users"</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。<br>
users的十六进制的字符串是7573657273。那么最后的sql语句就变为了:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_732953">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">column_name </code><code class="sql keyword">from</code> <code class="sql plain">information_schema.tables </code><code class="sql keyword">where</code> <code class="sql plain">table_name=0x7573657273</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
<strong>小结:使用十六进制可以绕过引号</strong></p>
<p>
<span><strong>二、逗号绕过</strong></span></p>
<p>
在使用盲注的时候,需要使用到<code>substr()</code> ,<code>mid()</code> ,<code>limit</code>。这些子句方法都需要使用到逗号。对于<code>substr()</code>和<code>mid()</code>这两个方法可以使用<code>from to</code>的方式来解决。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_969367">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">substr(</code><code class="sql keyword">database</code><code class="sql plain">(0 </code><code class="sql keyword">from</code> <code class="sql plain">1 </code><code class="sql keyword">for</code> <code class="sql plain">1);</code>
</div>
<div class="line number2 index1 alt1">
<code class="sql keyword">select</code> <code class="sql plain">mid(</code><code class="sql keyword">database</code><code class="sql plain">(0 </code><code class="sql keyword">from</code> <code class="sql plain">1 </code><code class="sql keyword">for</code> <code class="sql plain">1);</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
对于limit可以使用offset来绕过。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_71537">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
<div class="line number2 index1 alt1">
2</div>
<div class="line number3 index2 alt2">
3</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">* </code><code class="sql keyword">from</code> <code class="sql plain">news limit 0,1</code>
</div>
<div class="line number2 index1 alt1">
<code class="sql plain"># 等价于下面这条SQL语句</code>
</div>
<div class="line number3 index2 alt2">
<code class="sql keyword">select</code> <code class="sql plain">* </code><code class="sql keyword">from</code> <code class="sql plain">news limit 1 offset 0</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
<strong>小结:使用from可以绕过逗号</strong></p>
<p>
<span><strong>三、比较符(<,>)绕过</strong></span></p>
<p>
同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest来进行绕过了。</p>
<p>
最常见的一个盲注的sql语句。</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_451786">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">* </code><code class="sql keyword">from</code> <code class="sql plain">users </code><code class="sql keyword">where</code> <code class="sql plain">id=1 </code><code class="sql color1">and</code> <code class="sql plain">ascii(substr(</code><code class="sql keyword">database</code><code class="sql plain">(),0,1))>64</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。<code>greatest(n1,n2,n3,等)</code>函数返回输入参数<code>(n1,n2,n3,等)</code>的最大值。</p>
<p>
那么上面的这条sql语句可以使用greatest变为如下的子句:</p>
<div class="jb51code">
<div>
<div class="syntaxhighlightersql" id="highlighter_433239">
<div class="toolbar">
<span>?</span>
</div>
<table border="0" cellpadding="0" cellspacing="0"><tbody><tr>
<td class="gutter">
<div class="line number1 index0 alt2">
1</div>
</td>
<td class="code">
<div class="container">
<div class="line number1 index0 alt2">
<code class="sql keyword">select</code> <code class="sql plain">* </code><code class="sql keyword">from</code> <code class="sql plain">users </code><code class="sql keyword">where</code> <code class="sql plain">id=1 </code><code class="sql color1">and</code> <code class="sql plain">greatest(ascii(substr(</code><code class="sql keyword">database</code><code class="sql plain">(),0,1)),64)=64</code>
</div>
</div>
</td>
</tr></tbody></table>
</div>
</div>
<div class="codetool" id="codetool">
<div class="code_n">
<textarea></textarea>
</div>
</div>
</div>
<p>
<strong>小结:使用greatest()绕过比较操作符。</strong></p>
<p>
<span><strong>总结</strong></span></p>
<p>
好了,以上就是关于SQL注入绕过技巧的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对的支持。</p>
<p>
原文链接:http://blog.spoock.com/2016/09/04/sqli-bypass/</p>
頁:
[1]