1、BypassD盾IISSQL注入防御（多姿勢） 作者：未知 原文鏈接：/t/40 收集整理：/test/index.php本文由 干貨1 2登錄 BypassD盾IISSQL注入防御（多姿勢） 0X01 前 言D盾_IIS，目前只支持Win2003服務(wù)器，前陣子看見官方博客說D盾新版將近期推出，相信功能會更強(qiáng)大，這邊分享一下之前的 SQL注入防御的測試情況。D盾_IIS注入防御策略，如下圖，主要防御GET/POST/COOKIE，文件允許白設(shè)置。構(gòu)造不同的測試環(huán)境，IIS+(ASP/ASPX/PHP)+(MSSQL/M

2、YSQL)，看到這邊的策略，主要的測試思路： a、白 b、繞過union select或select from的檢測 0X02 IIS+PHP+MYSQL搭建這個window2003+IIS+php+mysql，可花費(fèi)不少時間，測試過程還蠻順利的，先來一張攔截圖： 繞過姿勢一：白PHP中的PATH_INFO問題，簡單來說呢，就是 http:/x.x.x.x/3.php?id=1等價于http:/x.x.x.x/3.php/xxxxxxxxxxxxx?id=1從白中隨便挑個地址加在后面，可成功bypass， 06/3.php/admin.php?id=1 union

3、 select 1,2,schema_name from information_schema.SCHEMATA經(jīng)測試，GET、POST、COOKIE均有效，完全bypassxiaozi / 2017-09-28 01:26:00 / 瀏覽數(shù) 6910 3繞過姿勢二：空白字符Mysql中可以利用的空白字符有： %09,%0a,%0b,%0c,%0d,%20,%a0； 測試了一下，基本上針對MSSQL的 0x01-0x20 都被處理了，唯獨(dú)在Mysql中還有一個 %a0 可以利用，可以看到 %a0 與select合體，無法識別，從而繞過。 id=1 union%a0select 1,2,3 fr

4、om admin繞過姿勢三：N形式主要思考問題，如何繞過union select以及select from？ 如果說上一個姿勢是union和select之間的位置的探索，那么是否可以考慮在union前面進(jìn)行檢測呢？ 為此在參數(shù)與union的位置，經(jīng)測試，發(fā)現(xiàn)N可以繞過union select檢測，同樣方式繞過select from的檢測。 id=Nunion(select 1,schema_name,Nfrom information_schema.schemata)0X03 IIS+ASP/ASPX+MSSQL搭建IIS+ASP/ASPX+MSSQL環(huán)境，思路一致，只是語言與數(shù)據(jù)庫特性有些許

5、差異，繼續(xù)來張D盾攔截圖： 4繞過姿勢一：白ASP： 不支持，找不到路徑，而且D盾禁止執(zhí)行帶非法字符或特殊目錄的腳本（/1.asp/x），撤底沒戲了 /admin.php/./1.asp?id=1 and 1=1 攔截 /1.asp?b=admin.php&id=1 and 1=1 攔 截 可見D盾會識別到文件的位置，并不是只檢測URL存在白那么簡單了。 ASPX：與PHP類似 /1.aspx/admin.php?id=1 union select 1,2,TABLE_NAME from INFORMATION_SCHEMA.TABLES 可成功bypass繞過姿勢二：空白字符Mssql可以利

6、用的空白字符有：01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,200x01-0x20全部都被處理了，想到mysql %a0 的漏網(wǎng)之魚是否可以利用一下? ASP+MSSQL: 不支持%a0，已放棄。 ASPX+MSSQL: %a0+%0a 配合，可成功繞過union select的檢測 id=1 union%a0%0aselect 1,2,TABLE_NAME %a0from INFORMATION_SCHEMA.TABLES繞過姿勢三： 1E形式MSSQ

7、L屬于強(qiáng)類型，這邊的繞過是有限制，from前一位顯示位為數(shù)字類型，這樣才能用1efrom繞過select from。 5只與數(shù)據(jù)庫有關(guān)，與語言無關(guān)，故ASP與ASPX一樣，可bypass， id=1eunion select 1,TABLE_NAME,1efrom INFORMATION_SCHEMA.TABLES0X04 END不同語言，中間件，數(shù)據(jù)庫，所對應(yīng)的特性有些差異，思路卻一致，實(shí)踐出真知，只要動手去探索，還有更多姿勢等待被挖掘。 目前的測試成果，可成功bypass注入防御，如 安全狗、云鎖、360主機(jī)衛(wèi)士、D盾_IIS等主機(jī)防護(hù)軟件及各種云waf，有些姿勢都在用。 有對這方面研究的

8、童鞋，歡迎加好友交流一下姿勢。 上一篇： 淺談Java反序列化漏洞修復(fù)方案下一篇： HTTP盲攻擊的幾種思路v2.05 條回復(fù) hades2017-09-28 15:08:35現(xiàn)在很多規(guī)則都不是基于正則勒0回復(fù)Tasq1map2017-09-28 13:37:57如何實(shí)現(xiàn)一個程序可以隨機(jī)組合干擾符號，然后插入sql語句中，循環(huán)遍歷，檢測waf過濾規(guī)則.0回復(fù)Ta點(diǎn)擊收藏 | 0關(guān)注 | 1 RSS關(guān)于社區(qū)友情鏈接社區(qū)小黑板6hundan2017-09-28 17:05:45請問一下，mssql這個1E，這個形式是怎么理解，為什么mssql會把它理解為這個語句了 0回復(fù)Ta登錄 后跟帖 t0p丶鄧2018-06-12 09:53:37mssql科學(xué)計數(shù)法居然不需要在e后面加數(shù)字，這個可以的，mysql不加數(shù)字就不行，很