0x01 前言
在一次MSSQL注入过程中,目标WEB应用过滤了substring()且不能使用AND、OR语句。通过查询SQL Server官方手册,然后自己利用其它函数的组合,实现了一个新的字符串截取方法。
0x02 注入
由于该注入点已经修复,所以无法复现,就简单复述一下前期的测试过程。
目标WEB程序过滤了一些常见的SQL注入关键字例如:SELECT、AND、CHAR()等,但是目标WEB应用程序为了防止XSS攻击将<与>替换为空,所以利用SEL<ECT可以绕过关键字检测
绕过了第一点继续进行测试的时候,发现as<cii(x)不管x的值是什么,它的结果都是x本身,被这个坑了挺久的。后来发现WEB应用还进行了二次替换,将ascii、substr等字符替换为空
发现这点后心想,这个注入稳了,利用双写asasciicii(subasciistring(user,1,1))绕过WEB应用的检测,但是真正测试的时候并不是我想象得那么简单,WEB报错了,换了很多种组合还是报错。仔细想一想可能是WEB应用还做了别处理,应该换一种方法了
0x03 新方法
通过查阅SQL SERVER官方使用手册(https://docs.microsoft.com/zh-cn/sql/t-sql/functions/charindex-transact-sql?view=sql-server-ver15)发现了一个有用的函数CHARINDEX()
比如SELECT CHARINDEX('o', 'root');从root开头查找,显而易见第一个o在第二个位置所以返回的结果是2
SELECT CHARINDEX('o', 'root', 3);`从`root`第`3`个字符开始查找,那么第一次出现`o`的位置就是`3`,所以这次的返回值是`3
SELECT CHARINDEX('o', 'root', 4);`从`root`第`4`个字符开始查找,从第`4`个字符串后面已经没有`o`了所以返回结果为`0
CHARINDEX的查找是从左至右的,通过start_location递进,同时利用LEFT()函数递进截取字符串,实现CHARINDEX每次只查找一个字符,案例如下:
SELECT CHARINDEX('a', LEFT('root', 2) ,2);
分析一下语句
-
通过
LEFT('root',2)截取左边两个字符也就是ro -
start_location=2从ro第二个字符开始查找也就是去查找o -
最终分析下来就是
a在与o就行对比
这里a!=o所以返回0
这里o=o所以返回o在字符串中的位置
在进行优化一下SELECT CHARINDEX('a', LEFT('root', 2) ,2) - 2;
如果字符不匹配那么返回结果必然小于0
如果字符匹配那么返回结果必然等于0,这就算利用CHARINDEX和LEFT函数实现了SUBSTRING的功能
Intruder跑数据
实现我上面所说的字符串截取的功能变量应该有4个,而且要保证CHARINDEX和LEFT以及减去的值一致
Intruder模块可以这样设置
第一个payload
第二个payload
第3-4个payload,意思就是复制2的payload
最终我的注入也可以出数据了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论