突破一流信息监控拦截系统进行SQL注射

监控

by lake2 (http://lake2.0x54.org)
上回渗透一站点,SQL Injection测试时返回这个页面(图1)

我晕,原来服务器上装了一个叫“一流信息监控拦截系统”的BT玩意儿,扫兴!查查它老底先。

Google一下“一流信息监控拦截系统”。原来这是广州××信息科技公司开发的内容监控系统,用来监控拦截非法信息的,当然也包括SQL注射。它主页上软件功能介绍赫然写着:“软件可以全面拦截任何的SQL注入式的攻击,就算多差的程序都不用担心了”。嘿嘿,大哥,牛皮不要吹得太大哟,不然怎么好下台啊。

看他把话说得那么绝,我一定要给他点颜色瞧瞧。呵呵,不是说只有想不到没有做不到么,嗯,让我想想先。网上没有找到那软件下载,算啦,就直接在网站上测试好了。

经过几回合测试,我发现那个软件是拦截独立的关键词,也就是拦截字符串“and”,而不会拦截包含“and”的字符串如“island”。提交http://xxx/x.asp?x=island 1=2时没问题,而提交http://xxx/x.asp?x=a and 1=1时就被拦截了。

呵呵,明白了吧,实际上程序要判别到底是不是完全匹配真正拦截的字符串是空格+关键词+空格(本例中就是“ and ”)。如果用ASP代码表示的话就是:

If Instr(1 , StrQuest , “ and “ , 1) Then
    Response.Write( “一些废话” )
    Response.End
End If

拦截原理搞懂了,问题是怎么突破呢?往下看。

关键字是要注射要用到的,乱动不得,就只有从空格入手了。呵呵,想想什么东东可以代替空格啊,对,就是Tab!现在我修改URL用tab代替and前后的两个空格,呵呵,看看图2吧(Tab -->“%09”,空格 -->“%20”)。

Yeah,成功啦!传说中的一流信息监控拦截系统被我们绕过去了。哈哈,那个什么系统正好是个漏洞百出的Web程序,呵呵,继续如法炮制进行SQL注射拿管理员帐号密码得WebShell,那些都是体力活了,略过略过。

有了WebShell,执行“net user”命令又被他拦截了(这个可恶的家伙……),呵呵,小case啦,那就执行“net  user”(中间两个空格)吧^_^

当然这种用Tab代替空格突破限制的方法也不仅仅局限于“一流信息监控拦截系统”,只要是类似的过滤方法就行。比如说青创文章系统(Version 1.5.2.23.7.0),它就是这种过滤方法,但是还过滤了“_”,而它的每个表都是article_xxx的形式,结果还是不能进行猜解。罢休!

最后顺便说下,一流信息监控系统“可以实时监控用户上传到服务器的每一张图片”、“对使用服务器的用户进行关键字监控,无论是通过 FTP方式上传或web方式上传的文件都可以准确监控,将不法用户的行为记录在案”等功能,好像侵犯隐私权了……

时间: 2024-10-25 21:06:38

突破一流信息监控拦截系统进行SQL注射的相关文章

安装了一流信息监控后会拦截SQL操作的问题_星外虚拟主机

如果在受控服务器上安装了一流信息监控系统,你在后台开通SQL数据库时,会被拦截,返回信息可能是: 一流信息监控系统提醒您:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制,本次操作无效,系统已记录您的IP及您提交的所有数据.请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:exec 这是因为,你打开了一流信息监控的防SQL注入功能. 解决办法:1.可以关闭SQL注入拦截功能(不建议这样做).2.或可以设置在受控端中不加截一流的守门员 打开:II

斯诺登:美向日提供绝密信息监控系统 可监控全世界

曝光美国国家安全局大规模搜集个人信息.目前流亡俄罗斯的美国中情局前雇员斯诺登近日再度爆料,指美国国家安全局曾向日本提供绝密的信息监控系统. 斯诺登在莫斯科接受共同社专访时指出,美国国家安全局向日方提供了称为"XKEYSCORE"的大规模监控邮件及通话等的监控系统.这系统不仅针对日本国内,还可收集全世界几乎所有的通讯信息,印证了日本政府可以大量监控个人邮件及通话等. 斯诺登称,目前正在日本参院审议的<有组织犯罪处罚法>修正案将正式认可大规模收集个人信息. 有美国媒体4月公开了

大数据时代信息监控VS个人隐私 各国怎么做?

2月中旬,一名中国留美学生向学校请了半个月假回国过年,当她重返美国时,在洛杉矶机场被美国海关盘问.该留学生被要求上交手机供美国海关检查,官员在她和朋友的微信聊天中发现,她曾表示:"我不喜欢这个学校,不是真的想上学,只是临时挂一下身份."美国海关因此认定她隐瞒了来美国的真实目的,拒绝她入境. 美国海关及边境保卫局的公共事务专家称,所有到达美国的国际访客都要经过检查,这种检查包括手机.Ipad等电子设备. 在大数据时代中,人们对电子设备的使用率和依赖度极高,正因此,政府对公民电子设备的监督

Android:拦截系统BroadcastReceiver

 系统中的广播 在Android系统中,内置了很多Action产量,在触发这些Action的时候,均会发布相应的Broadcast.一般而言,查看Android的API文档中,关于Intent的说明即可找到对应Action的Broadcast,但是列举的还不是很全,最好还是下载Android的源代码,通过查看源代码的方式查看需要拦截的Broadcast. 下面列举一些常用的广播: android.intent.action.TIME_SET:系统时间被修改. android.intent.act

shell脚本监控linux系统内存使用情况的方法(不使用nagios监控linux)_linux shell

一.安装linux下面的一个邮件客户端msmtp软件(类似于一个foxmail的工具) 1.下载安装: 复制代码 代码如下: # tar jxvf msmtp-1.4.16.tar.bz2# cd msmtp-1.4.16# ./configure --prefix=/usr/local/msmtp# make# make install  2.创建msmtp配置文件和日志文件(host为邮件域名,邮件用户名test,密码123456) 复制代码 代码如下: # vim ~/.msmtprcac

国都兴业网络一体化监控审计系统助力首都电子案例

应用背景 北京市通过"首都之窗"门户网站及"北京市电子政务在线服务平台"提供政务公开和网上事务办理服务.北京市提出建设"数字北京"的概念,通过建设宽带多媒体的信息网络.地理信息系统等基础设 施的平台,整合首都北京的人文.社会.空间.环境.经济.科技.教育等信息资源,建立电子政务.电子商务.科教信息系统,劳动社会保障和信息化社区,逐步实现北京市国民经济和社会的信息化,把北京建设成现代化的国际大都市.目前,北京市各部门中已有人大.政协.市高级法院,各

中国移动不良信息拨测系统再上新台阶

随着中国移动不良信息拨测系统的成功上线使用,相关部门全面提升了打击淫秽色情网站的工作效率,无数个低俗网站在瞬间应声"倒地",中国移动不良信息拨测系统已经成为眼下手机互联网内容安全的守护神. 为了消除网络扫黄工作中的死角,中国移动建立设立北京.上海.广东三个大区集中拨测中心,在其余28个省(区.市)均建立前置工作站,建成可以覆盖全国的自动化.智能化拨测体系. 该系统从2007年开始试点,经历了研发试点.全面升级.扩容完善.全网部署.持续推进五个阶段,通过核心技术创新和管理流程创新,利用此

Sybase ASA中查询元信息的几个常用SQL函数

Sybase ASA中查询元信息的几个常用SQL函数: sp_column_privileges Unsupported sp_columns table-name [, table-owner ] [, table-qualifier] [, column-name] 返回指定列的数据类型 sp_databases Unsupported sp_datatype_info Unsupported sp_fkeys pktable_name [, pktable-owner][, pktable

《信息物理融合系统(CPS)设计、建模与仿真——基于 Ptolemy II 平台》——第1章 异构建模 1.1语法、语义、语用

第一部分  入门 本书第一部分主要介绍系统的设计.建模与仿真.第1章首先概述了异构系统规范化建模的指导性原则,从较高的角度对将在第二部分中详细描述的计算模型(Model of Computation,MoC)进行概述.另外,第1章还提供了一个高度简化的研究案例(一个发电机组),该案例阐明了多种不同计算模型在复杂系统设计中所起的作用. 第2章提供了一个利用图形用户界面Vergil使用Ptolemy II的操作指南.本书目标之一就是使得读者能够在系统设计过程中利用开源的Ptolemy II进行实验.