突破一流信息监控拦截系统进行SQL注射(1)

上回渗透一站点，SQL Injection测试时返回这个页面（图1）

我晕，原来服务器上装了一个叫“一流信息监控拦截系统”的BT玩意儿，扫兴！查查它老底先。Google一下“一流信息监控拦截系统”。原来这是广州××信息科技公司开发的内容监控系统，用来监控拦截非法信息的，当然也包括SQL注射。它主页上软件功能介绍赫然写着：“软件可以全面拦截任何的SQL注入式的攻击，就算多差的程序都不用担心了”。嘿嘿，大哥，牛皮不要吹得太大哟，不然怎么好下台啊。

看他把话说得那么绝，我一定要给他点颜色瞧瞧。呵呵，不是说只有想不到没有做不到么，嗯，让我想想先。网上没有找到那软件下载，算啦，就直接在网站上测试好了。

经过几回合测试，我发现那个软件是拦截独立的关键词，也就是拦截字符串“and”，而不会拦截包含“and”的字符串如“island”。提交http://xxx/x.asp?x=island 1=2时没问题，而提交http://xxx/x.asp?x=a and 1=1时就被拦截了。

呵呵，明白了吧，实际上程序要判别到底是不是完全匹配真正拦截的字符串是空格+关键词+空格（本例中就是“ and ”）。如果用ASP代码表示的话就是：

If Instr(1 , StrQuest , “ and “ , 1) Then
    Response.Write( “一些废话” )
    Response.End
End If

拦截原理搞懂了，问题是怎么突破呢？往下看。

关键字是要注射要用到的，乱动不得，就只有从空格入手了。呵呵，想想什么东东可以代替空格啊，对，就是Tab！现在我修改URL用tab代替and前后的两个空格，呵呵，看看图2吧（Tab -->“%09”，空格 -->“%20”）。