我正在上一门网络安全课程,其中包含对SQL Server 2000主机的挑战。
我泄露了一个asp文件,其中包含登录页面的源,该登录页面包含一个硬编码查询,该查询从用户那里获取用户名和密码,然后继续查询数据库...
sSql = "SELECT * FROM Users where user_name='" & username & "' and user_password='"&password&"'"
执行此操作之前,通过以下方法循环过滤用户输入,删除...
' " - & % / \ | >
replace(myString, "&", "")
我想做的是转义包含用户名或密码的字符串,中断正在开发的查询并用我自己的查询中断它,然后注释掉其余部分以使其保持“有效”。为了逃避黑名单,我尝试传递一个SUBSTRING,它将将一系列十六进制字符解码为有效的嵌套查询。
我已经在沙盒VB脚本中测试了这两个部分,以检查对编码字符串的处理并在在线MSSQL仿真器here中运行该字符串,并将其正确地解码。
注意:仿真器是Sql Server 2014 Express Edition而不是2K。找不到2K的手机
我希望这是有道理的!
这就是我要通过的内容,每个角色都希望达到的目标...
编码查询:
SELECT CONVERT(VARCHAR(60), SUBSTRING(0x22273B2053454C454354202A2066726F6D207573657273205748455245206E616D65203D2061646D696E3B202D2D20, 1, 96))
翻译为(带有尾随空格):
"'; SELECT * from users WHERE name = admin; --
我设想的是,在处理SUBSTRING之后形成以下总体查询:
sSql = "SELECT * FROM Users where user_name='""'; SELECT * from users WHERE name = admin; -- & username & "' and user_password='"&password&"'"
我希望在恶意请求中形成双引号和单引号会破坏字符串,随后的分号将在不引起异常的情况下终止请求,然后导致服务器处理我的查询并丢弃不必要的余数。
那么我的问题是,从SQL Server 2000的角度来看,这种方法是否有效?还是我对服务器如何接收和处理查询的假设不正确?
答案 0 :(得分:1)
否-处理方式不允许您以这种方式进行攻击。使用您的有效载荷,字符串最终将是:
SELECT * FROM Users where user_name='SELECT CONVERT(VARCHAR(60), SUBSTRING(0x2...0, 1, 96))' and user_password='"&password&"'
因此,您试图执行的SELECT将用单引号引起来,并且永远不会解释为代码。
关键可能是您有两次注入-尝试在第一个注入中传递“ \”以逃避最后一个引号,然后使用两次注入来利用它。