如何处理SQL语句中的HEX编码注入绕过_对输入流进行16进制检测
HEX编码绕过:当十六进制字面量成为SQL注入的“隐身衣”
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
在安全对抗的战场上,攻击者的手法总是层出不穷。其中,利用十六进制(HEX)编码绕过传统的关键字和符号过滤,已经成为一种相当经典且有效的SQL注入手段。这背后的原理并不复杂,但防御起来却需要格外细致的考量。
HEX编码在SQL注入中怎么被用来绕过过滤
最直接的玩法,就是用 0x61646D696E 这样的十六进制字面量,直接替换掉原本的字符串 'admin'。想想看,当Web应用防火墙(WAF)或者应用层代码正紧盯着单引号、双引号或者“admin”这类敏感词时,一串纯粹的十六进制数字看起来就“清白”多了。它不包含任何被拦截的字符,而像MySQL这样的数据库,会原生地将这串数字解析为对应的字节序列。所以,WHERE username=0x61646D696E 和 WHERE username='admin' 这两条语句,最终的执行效果可以说是一模一样。
不过,这里有个重要的前提:这种绕过方式高度依赖于数据库本身是否支持十六进制字面量语法。MySQL和PostgreSQL对此是“开箱即用”的;SQLite则需要开启特定的 hex 模式;而在SQL Server里,0x... 通常表示二进制数据,不能直接用于字符串比较,往往需要配合 CONVERT 这类函数来曲线救国。
- 常见绕过场景:当引号被全局过滤,或者像
database()这样的函数名被拦截,但字段值仍然可控时,HEX编码就有了用武之地。 - 典型payload示例:
id=1' AND (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)=0x7573657273 --+ - 一个关键细节:HEX字符串的长度必须是偶数,否则MySQL会直接抛出一个
Incorrect hexadecimal value错误。
为什么单纯检测 0x[0-9a-fA-F]+ 不够用
很多初级的防御方案会想到用正则表达式,比如 0x[0-9a-fA-F]+,来匹配所有疑似HEX编码的字符串。想法不错,但现实是,攻击者有太多办法能让这层检测形同虚设。
- 大小写混用:
0X61646D696E(注意,MySQL是允许大写X的)。 - 中间插入干扰:比如在十六进制数字中插入注释
0x61/**/646D696E,或者换行符0x61%0a646D696E,就能轻松打乱简单的正则匹配。 - 函数包裹:直接不用
0x前缀,改用UNHEX('61646D696E')或者CONV(61646D696E,16,10)这样的函数来达到同样目的。 - 字符串拼接:
CONCAT(0x6164,0x6D696E)这种分而治之的策略,也能有效绕过对完整HEX串的检测。
更棘手的情况是,0x 这个前缀本身可能被WAF误判为无害的普通字符而放行,真正的风险其实隐藏在后面那串可执行的十六进制内容里。这就好比只检查了信封,却忽略了信纸上的密文。
输入流里怎么有效识别可疑HEX编码
所以,防御的核心思路不应该仅仅是“寻找 0x 前缀”,而应该聚焦于“判断这段数据是否会被数据库解释为字符串”。一个更可靠的方案是进行分层检测:
- 第一层(语法层扫描):使用更全面的正则模式,尽可能提取所有疑似HEX字面量的变体。这包括但不限于
0x[0-9a-fA-F]{2,}、0X[0-9a-fA-F]{2,},以及像UNHEX\([^)]+\)、CONV\([^)]+\)这类函数调用模式。 - 第二层(语义层校验):对提取出来的内容进行深度分析。检查其长度是否为偶数;验证字符集是否严格限定在
0-9a-fA-F范围内;尝试对其进行解码(例如用Python的bytes.fromhex("61646D696E")),看是否会抛出异常。 - 一个高危信号:如果发现
0x后面紧跟的十六进制解码后是ASCII控制字符,比如0x27(单引号)、0x3B(分号)、0x3D(等号)或0x20(空格),那么这几乎可以断定是恶意的构造企图。
真实环境中容易忽略的边界点
即便部署了HEX检测规则,在实际的复杂环境中,仍有几个边界点容易被忽略,从而留下防御死角:
- 中间件的“好意”:请求参数可能是
?id=0x61646D696E,但像Nginx、Spring这类中间件或框架,可能在请求到达后端业务逻辑之前,就已经自动完成了URL解码。后端收到的已经是原始的字节流,如果检测逻辑只扫描最原始的HTTP请求体,就会完全失效。 - JSON体内的“伪装”:在POST请求的JSON体中,如
{"username":"0x61646D696E"},这个字符串值只有在经过JSON解析器之后才会暴露出来。因此,检测点必须设在反序列化之后、SQL语句拼接之前这个关键环节。 - 数据库版本的差异:MySQL 8.0及以上版本支持在
0x后跟奇数长度的十六进制数(会自动补零),但旧版本会直接报错。这意味着,不能单纯依靠“是否引发数据库错误”来判断一个HEX串是否合法。
说到底,最稳妥的防御策略,是在进行参数绑定或SQL拼接之前,就对所有输入值做一次统一的“HEX字符串还原与白名单字符检查”。这比单纯依赖静态的模式匹配,要可靠得多。毕竟,安全防御的本质,就是比攻击者想得更深一层。
相关攻略
HEX编码绕过:当十六进制字面量成为SQL注入的“隐身衣” 在安全对抗的战场上,攻击者的手法总是层出不穷。其中,利用十六进制(HEX)编码绕过传统的关键字和符号过滤,已经成为一种相当经典且有效的SQL注入手段。这背后的原理并不复杂,但防御起来却需要格外细致的考量。 HEX编码在SQL注入中怎么被用来
MySQL字符集迁移实战:彻底解决乱码与无效修改的深度指南 当您需要将MySQL数据库的字符集从latin1升级至utf8mb4时,直接执行ALTER TABLE命令往往是许多人的首选。然而,实际操作后却常发现数据依然显示为乱码,令人困惑不已。本文将深入剖析几个典型的“无效操作”场景,揭示其根本原因
MySQL字符集utf8mb4配置:一个都不能少的五层对齐 想给MySQL配上utf8mb4字符集来存个emoji,结果发现改了配置文件死活不生效?这几乎是每个DBA或开发都会踩的坑。问题的核心在于,MySQL的字符集配置是一个“五层楼”的体系——服务端、数据库、表、列、连接,任何一层没对齐,存储e
HTML乱码根本原因是编码链断裂:文件实际编码、HTTP响应头charset、meta charset三者不一致;必须同时检查并统一为UTF-8(无BOM),且meta标签须位于head最前1024字节内。 开门见山地说,HTML编码本身并不“依赖”乱码问题,但乱码问题几乎总是由HTML编码配置与实
HTML编码和乱码问题有区别吗? 开门见山地说,HTML编码本身不是问题,乱码才是问题;二者不是并列关系,而是典型的“因”与“果”。编码是规则,乱码是规则用错了的结果。理解这一点,是解决所有网页显示乱象的第一步。 HTML 文件保存编码和 必须一致 浏览器解析HTML的过程,其实是一场精密的“解码”
热门专题
热门推荐
小米Note 3铃声管理全攻略:从定位到自定义,一步到位 手里拿着小米Note 3,想换个铃声却找不到地方?别急,这事儿其实比想象中简单。系统预置的铃声,都规规矩矩地躺在内部存储的一个特定文件夹里:SDcard MIUI ringtone 。这个目录就像MIUI系统的“声音仓库”,里面分门别类地存放
小米电饭煲重置网络提示失败怎么回事? 遇到小米电饭煲重置网络总是失败,先别急着怀疑是硬件坏了。这事儿本质上,是设备在配网流程中没能和路由器成功“握手”,建立通信授权。背后的原因,往往出在几个容易被忽略的细节上:比如Wi-Fi频段没选对、密码格式太复杂、App里还残留着旧配置,或者是路由器那边设置了“
按摩椅力度调小后依然有效,关键在于匹配个体身体状态与使用需求 现代中高端按摩椅普遍配备多级力度调节系统,但很多人心里犯嘀咕:力度调小了,是不是就变成隔靴搔痒,没什么实际作用了? 事实恰恰相反。实测数据显示,轻柔档位(比如30%—50%的输出强度)在缓解日常肩颈僵硬、改善浅层血液循环方面,有着明确的生
米家扫地机器人怎么用手机远程控制 想随时随地指挥家里的扫地机器人干活?这事儿其实很简单。米家APP就是你的万能遥控器,只要几步设置,无论你是在公司、在出差,还是躺在沙发上,都能稳定、便捷地通过手机远程掌控全局。操作逻辑很清晰:在手机上安装好官方米家APP并登录你的小米账号,让扫地机器人连上家里的Wi
PoE交换机好坏,普通测线仪说了不算 想用普通网线测线仪来判断一台PoE交换机的好坏?这个想法很危险。原因很简单:普通测线仪只能干些基础活儿,比如看看网线通不通、线序对不对、有没有短路断路。但对于PoE交换机的核心能力——供电电压是否达标、输出功率稳不稳定、是否兼容最新的IEEE标准、带载后电压会不