來源：http://bbs.ichunqiu.com/thread-10093-1-1.html?from=ch

作者：zusheng

時間：2016年8月8日 11:03:56

社區(qū)：i春秋

前言

前面我們學(xué)習(xí)了如何尋找，確認(rèn)又官，利用SQL注入漏洞的技術(shù)欠橘，本篇文章我將介紹一些更高級的技術(shù)陵珍，避開過濾蔼紧，繞開防御怠惶。有攻必有防回季，當(dāng)然還要來探討一下SQL注入防御技巧瘩燥。

目錄

第五節(jié) 避開過濾方法總結(jié)

5.1魏颓、大小寫變種

5.2浴韭、URL編碼

5.3、SQL注釋

5.4、空字節(jié)

5.5氏豌、二階SQL注入

第六節(jié) 探討SQL注入防御技巧

6.1湖蜕、輸入驗證

6.2混蔼、編碼輸出

正文

第五節(jié) 避開過濾方法總結(jié)

Web應(yīng)用為了防御包括SQL注入在內(nèi)的攻擊杈绸，常常使用輸入過濾器，這些過濾器可以在應(yīng)用的代碼中企软，也可以通過外部實現(xiàn)庐扫，比如Web應(yīng)用防火墻和入侵防御系統(tǒng)。避開過濾的方法是靈活的，本節(jié)我總結(jié)了一些常用的技巧形庭。在我們不知道過濾規(guī)則的時候可以嘗試一下杰妓。

5.1、大小寫變種

這種技巧適用于關(guān)鍵字阻塞過濾器不聰明的時候碘勉，我們可以變換關(guān)鍵字字符串中字符的大小寫來避開過濾，因為使用不區(qū)分大小寫的方式處理SQL關(guān)鍵字桩卵。

例如：（下面的代碼就是一個簡單的關(guān)鍵字阻塞過濾器）

[PHP]純文本查看復(fù)制代碼

?

1

2

3

4

5

6

7functionwaf($id1){

if(strstr($id1,'union')){

echo'error:lllegal input';

return;

}

return$id1;

}

這段代碼的缺陷就在strstr()函數(shù)是對大小寫敏感的验靡，所以我們可以通過大小寫變種來繞過。

5.2雏节、URL編碼

URL編碼用途廣泛胜嗓，可以通過它繞過多種類型的輸入過濾器。

[PHP]純文本查看復(fù)制代碼

?

1

2

3

4

5

6

7functionwaf($id1){

if(strstr($id1,' ') ||strstr($id1,'/**/')){

echo'error:lllegal input';

return;

}

return$id1;

}

雙URL編碼有時候會起作用钩乍，如果Web應(yīng)用多次解碼辞州，在最后一次解碼之前應(yīng)用其輸入過濾器。

因為雙URL編碼寥粹，第一次解碼%2f%2a進入輸入過濾器变过，所以成功繞過了。當(dāng)然這個使用前提是后面有一個URL解碼涝涤。

5.3媚狰、SQL注釋

很多開發(fā)人員認(rèn)為，將輸入限制為單個就可以限制SQL注入攻擊阔拳，所以他們往往就只是阻止各種空白符崭孤。

[PHP]純文本查看復(fù)制代碼

?

1

2

3

4

5

6

7functionwaf($id1){

if(strstr($id1,' ')){

echo'error:lllegal input';

return;

}

return$id1;

}

但是內(nèi)聯(lián)注釋不使用空格就可以構(gòu)造任意復(fù)雜的SQL語句。

5.4糊肠、空字節(jié)

通常的輸入過濾器都是在應(yīng)用程序之外的代碼實現(xiàn)的辨宠。比如入侵檢測系統(tǒng)（IDS），這些系統(tǒng)一般是由原生編程語言開發(fā)而成货裹，比如C++嗤形，為什么空字節(jié)能起作用呢，就是因為在原生變成語言中泪酱，根據(jù)字符串起始位置到第一個出現(xiàn)空字節(jié)的位置來確定字符串長度派殷。所以說空字節(jié)就有效的終止了字符串。

只需要在過濾器阻止的字符串前面提供一個采用URL編碼的空字節(jié)即可墓阀，例如：

[SQL]純文本查看復(fù)制代碼

?

1

%00' union select username,password from users where username='admin'--

5.5毡惜、二階SQL注入

實際上到目前為止，你在網(wǎng)上大部分搜索SQL注入文章 基本都可以歸類到"一階(first-order)"SQL注入中斯撮，因為這些例子涉及的事件均發(fā)生在單個HTTP請求和響應(yīng)中经伙，如下所示：

(1) 攻擊者在HTTP請求中提交某種經(jīng)過構(gòu)思的輸入。

(2) 應(yīng)用處理輸入，導(dǎo)致攻擊者注入的SQL查詢被執(zhí)行帕膜。

(3) 如果可行的話枣氧，會在應(yīng)用對請求的響應(yīng)中向攻擊者返回查詢結(jié)果。

另一種不同的SQL注入攻擊是"二階(second-order)"SQL注入垮刹，這種攻擊的事件時序通常如下所示：

(1) 攻擊者在HTTP請求中提交某種經(jīng)過構(gòu)思的輸入达吞。

(2) 應(yīng)用存儲該輸入(通常保存在數(shù)據(jù)庫中)以便后面使用并響應(yīng)請求。

(3) 攻擊者提交第二個(不同的)請求荒典。

(4) 為處理第二個請求酪劫，應(yīng)用會檢索已經(jīng)存儲的輸入并處理它，從而導(dǎo)致攻擊者注入的SQL查詢被執(zhí)行寺董。

(5) 如果可行的話覆糟，會在應(yīng)用對第二個請求的響應(yīng)中向攻擊者返回查詢結(jié)果。

從字面上來看二階SQL注入對于新手很難理解遮咖，所以我來介紹一個經(jīng)典的例子幫助大家理解滩字。

這是一個個人信息應(yīng)用程序，我們可以更新我們的用戶名御吞，也可以查看我們的個人信息麦箍。

第二步查看我們個人信息時的SQL語句：

[SQL]純文本查看復(fù)制代碼

?

1

select*fromuserswhereusername ='$name'

查詢的語句所用到的變量name就是從數(shù)據(jù)庫提取到的我們的用戶名，所以我們可以先利用更新我們的用戶名功能插入語句進數(shù)據(jù)庫陶珠。

這樣查看我們個人信息的時候就成功執(zhí)行了我們的SQL注入攻擊内列。

例如：我們在用戶名插入

[SQL]純文本查看復(fù)制代碼

?

1

zusheng' or? '1'='1

那么后面我們就執(zhí)行了語句

[SQL]純文本查看復(fù)制代碼

?

1

select*fromuserswhereusername ='zusheng'or'1'='1'

第六節(jié) 探討SQL注入防御技巧

6.1、輸入驗證

輸入驗證是指要驗證所有應(yīng)用程序接收到的輸入是否合法背率。

有兩中不同類型的輸入驗證方法：白名單和黑名單驗證

白名單驗證：比如id值话瞧，那么我們判斷它是否為數(shù)字。

黑名單驗證：使用正則表達式禁止使用某些字符和字符串

應(yīng)該盡量使用白名單寝姿，對于無法使用白名單的交排，使用黑名單提供局部限制。

6.2饵筑、編碼輸出

我們除了要驗證應(yīng)用程序收到的輸入以外埃篓，還要對數(shù)據(jù)進行編碼，這樣不僅可以防御SQL注入攻擊根资，還能防止出現(xiàn)其他問題架专，比如XSS。

結(jié)束語

因為本人技術(shù)有限玄帕，所以對防御技巧了解并不是深入部脚，希望有更好防御技巧的小伙伴可以分享一下心得，我會將收到的技巧加入本文裤纹，提供給更多的小伙伴進行參考委刘，謝謝了。

系列文章預(yù)告及導(dǎo)航

滲透攻防Web篇-SQL注入攻擊初級（狀態(tài)：已更新）

第一節(jié) 注入攻擊原理及自己編寫注入點

第二節(jié) 尋找及確認(rèn)SQL注入

滲透攻防Web篇-SQL注入攻擊中級（狀態(tài)：已更新）

第三節(jié) 利用SQL注入

第四節(jié) SQL盲注利用