IT博客汇 | 网站渗透攻防Web篇之SQL注入攻击高级篇

网站渗透攻防Web篇之SQL注入攻击高级篇

小残发表于 2016-11-15 17:57:02

前面我们学习了如何寻找，确认，利用SQL注入漏洞的技术，本篇文章我将介绍一些更高级的技术，避开过滤，绕开防御。有攻必有防，当然还要来探讨一下SQL注入防御技巧。

Web应用为了防御包括SQL注入在内的攻击，常常使用输入过滤器，这些过滤器可以在应用的代码中，也可以通过外部实现，比如Web应用防火墙和入侵防御系统。避开过滤的方法是灵活的，本节我总结了一些常用的技巧。在我们不知道过滤规则的时候可以尝试一下。

5.1、大小写变种

这种技巧适用于关键字阻塞过滤器不聪明的时候，我们可以变换关键字字符串中字符的大小写来避开过滤，因为使用不区分大小写的方式处理SQL关键字。
例如：（下面的代码就是一个简单的关键字阻塞过滤器）

function waf($id1){ if(strstr($id1,'union')){ echo 'error:lllegal input'; return; } return $id1;}

这段代码的缺陷就在strstr()函数是对大小写敏感的，所以我们可以通过大小写变种来绕过。

URL编码用途广泛，可以通过它绕过多种类型的输入过滤器。

function waf($id1){ if(strstr($id1,' ') || strstr($id1,'/**/')){ echo 'error:lllegal input'; return; } return $id1;}

双URL编码有时候会起作用，如果Web应用多次解码，在最后一次解码之前应用其输入过滤器。

因为双URL编码，第一次解码%2f%2a进入输入过滤器，所以成功绕过了。当然这个使用前提是后面有一个URL解码。

很多开发人员认为，将输入限制为单个就可以限制SQL注入攻击，所以他们往往就只是阻止各种空白符。

function waf($id1){ if(strstr($id1,' ')){ echo 'error:lllegal input'; return; } return $id1;}

但是内联注释不使用空格就可以构造任意复杂的SQL语句。

通常的输入过滤器都是在应用程序之外的代码实现的。比如入侵检测系统（IDS），这些系统一般是由原生编程语言开发而成，比如C++，为什么空字节能起作用呢，就是因为在原生变成语言中，根据字符串起始位置到第一个出现空字节的位置来确定字符串长度。所以说空字节就有效的终止了字符串。

只需要在过滤器阻止的字符串前面提供一个采用URL编码的空字节即可，例如：

%00' union select username,password from users where username='admin' --

实际上到目前为止，你在网上大部分搜索SQL注入文章基本都可以归类到”一阶(first-order)”SQL注入中，因为这些例子涉及的事件均发生在单个HTTP请求和响应中，如下所示：

从字面上来看二阶SQL注入对于新手很难理解，所以我来介绍一个经典的例子帮助大家理解。

这是一个个人信息应用程序，我们可以更新我们的用户名，也可以查看我们的个人信息。

第二步查看我们个人信息时的SQL语句：

select * from users where username = '$name'

查询的语句所用到的变量name就是从数据库提取到的我们的用户名，所以我们可以先利用更新我们的用户名功能插入语句进数据库。

这样查看我们个人信息的时候就成功执行了我们的SQL注入攻击。

例如：我们在用户名插入

zusheng' or '1'='1

那么后面我们就执行了语句

select * from users where username = 'zusheng' or '1'='1'

我们除了要验证应用程序收到的输入以外，还要对数据进行编码
这样不仅可以防御SQL注入攻击，还能防止出现其他问题，比如XSS。