Win2003服務(wù)器防SQL注入的D盾、IIS防火墻的測(cè)試情況

2019-02-28 14:30:49 來(lái)源:互聯(lián)網(wǎng)作者:佚名 人氣: 次閱讀 1172 條評(píng)論

  D盾_IIS防火墻,目前只支持Win2003服務(wù)器,前陣子看見(jiàn)官方博客說(shuō)D盾新版將近期推出,相信功能會(huì)更強(qiáng)大,這邊分享一下之前的SQL注入防御的測(cè)試情況。D盾_IIS防火墻注入防御策略,...

  D盾_IIS防火墻,目前只支持Win2003服務(wù)器,前陣子看見(jiàn)官方博客說(shuō)D盾新版將近期推出,相信功能會(huì)更強(qiáng)大,這邊分享一下之前的SQL注入防御的測(cè)試情況。D盾_IIS防火墻注入防御策略,如下圖,主要防御GET/POST/COOKIE,文件允許白名單設(shè)置。構(gòu)造不同的測(cè)試環(huán)境,IIS+(ASP/ASPX/PHP)+(MsSQL/MySQL),看到這邊的策略,主要的測(cè)試思路:

a、白名單   b、繞過(guò)union select或select from的檢測(cè)

  

0X02 IIS+PHP+MYSQL

  搭建這個(gè)window2003+IIS+php+mysql,可花費(fèi)不少時(shí)間,測(cè)試過(guò)程還蠻順利的,先來(lái)一張攔截圖:

繞過(guò)姿勢(shì)一:白名單

PHP中的PATH_INFO問(wèn)題,簡(jiǎn)單來(lái)說(shuō)呢,就是

http:/x.x.x.x/3.php?id=1       等價(jià)于          http://x.x.x.x/3.php/xxxxxxxxxxxxx?id=1 

從白名單中隨便挑個(gè)地址加在后面,可成功bypass,http://10.9.10.206/3.php/admin.php?id=1  union select 1,2,schema_name from information_schema.SCHEMATA

經(jīng)測(cè)試,GET、POST、COOKIE均有效,完全bypass

繞過(guò)姿勢(shì)二:空白字符

Mysql中可以利用的空白字符有:%09,%0a,%0b,%0c,%0d,%20,%a0;

 測(cè)試了一下,基本上針對(duì)MSSQL的[0x01-0x20]都被處理了,唯獨(dú)在Mysql中還有一個(gè)%a0可以利用,可以看到%a0與select合體,無(wú)法識(shí)別,從而繞過(guò)。

id=1  union%a0select 1,2,3 from admin

繞過(guò)姿勢(shì)三:\N形式

主要思考問(wèn)題,如何繞過(guò)union select以及select from?

如果說(shuō)上一個(gè)姿勢(shì)是union和select之間的位置的探索,那么是否可以考慮在union前面進(jìn)行檢測(cè)呢?

為此在參數(shù)與union的位置,經(jīng)測(cè)試,發(fā)現(xiàn)\N可以繞過(guò)union select檢測(cè),同樣方式繞過(guò)select from的檢測(cè)。

id=\Nunion(select 1,schema_name,\Nfrom information_schema.schemata)

b

0X03 IIS+ASP/ASPX+MSSQL

  搭建IIS+ASP/ASPX+MSSQL環(huán)境,思路一致,只是語(yǔ)言與數(shù)據(jù)庫(kù)特性有些許差異,繼續(xù)來(lái)張D盾攔截圖:

繞過(guò)姿勢(shì)一:白名單

ASP: 不支持,找不到路徑,而且D盾禁止執(zhí)行帶非法字符或特殊目錄的腳本(/1.asp/x),撤底沒(méi)戲了

   /admin.php/../1.asp?id=1 and 1=1    攔截

   /1.asp?b=admin.php&id=1 and 1=1 攔截,可見(jiàn)D盾會(huì)識(shí)別到文件的位置,并不是只檢測(cè)URL存在白名單那么簡(jiǎn)單了。。。

ASPX:與PHP類似  /1.aspx/admin.php?id=1   union select 1,'2',TABLE_NAME from INFORMATION_SCHEMA.TABLES 可成功bypass

繞過(guò)姿勢(shì)二:空白字符

  Mssql可以利用的空白字符有:01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20

  [0x01-0x20]全部都被處理了,想到mysql %a0的漏網(wǎng)之魚是否可以利用一下?

ASP+MSSQL:  不支持%a0,已放棄。。。

ASPX+MSSQL: %a0+%0a配合,可成功繞過(guò)union select的檢測(cè)

 id=1 union%a0%0aselect 1,'2',TABLE_NAME %a0from INFORMATION_SCHEMA.TABLES

 繞過(guò)姿勢(shì)三:1E形式

  MSSQL屬于強(qiáng)類型,這邊的繞過(guò)是有限制,from前一位顯示位為數(shù)字類型,這樣才能用1efrom繞過(guò)select from。

  只與數(shù)據(jù)庫(kù)有關(guān),與語(yǔ)言無(wú)關(guān),故ASP與ASPX一樣,可bypass,id=1eunion select '1',TABLE_NAME,1efrom INFORMATION_SCHEMA.TABLES

0X04 END

  不同語(yǔ)言,中間件,數(shù)據(jù)庫(kù),所對(duì)應(yīng)的特性有些差異,思路卻一致,實(shí)踐出真知,只要?jiǎng)邮秩ヌ剿鳎€有更多姿勢(shì)等待被挖掘。

  目前的測(cè)試成果,可成功bypass注入防御,如 安全狗、云鎖、360主機(jī)衛(wèi)士、D盾_IIS防火墻等主機(jī)防護(hù)軟件及各種云waf,有些姿勢(shì)都在用。

  有對(duì)這方面研究的童鞋,歡迎加好友交流一下姿勢(shì)。

您可能感興趣的文章

相關(guān)文章