HEX编码绕过:当十六进制字面量成为SQL注入的“隐身衣”

在安全对抗的战场上,攻击者的手法总是层出不穷。其中,利用十六进制(HEX)编码绕过传统的关键字和符号过滤,已经成为一种相当经典且有效的SQL注入手段。这背后的原理并不复杂,但防御起来却需要格外细致的考量。
HEX编码在SQL注入中怎么被用来绕过过滤
最直接的玩法,就是用 0x61646D696E 这样的十六进制字面量,直接替换掉原本的字符串 'admin'。想想看,当Web应用防火墙(WAF)或者应用层代码正紧盯着单引号、双引号或者“admin”这类敏感词时,一串纯粹的十六进制数字看起来就“清白”多了。它不包含任何被拦截的字符,而像MySQL这样的数据库,会原生地将这串数字解析为对应的字节序列。所以,WHERE username=0x61646D696E 和 WHERE username='admin' 这两条语句,最终的执行效果可以说是一模一样。
不过,这里有个重要的前提:这种绕过方式高度依赖于数据库本身是否支持十六进制字面量语法。MySQL和PostgreSQL对此是“开箱即用”的;SQLite则需要开启特定的 hex 模式;而在SQL Server里,0x... 通常表示二进制数据,不能直接用于字符串比较,往往需要配合 CONVERT 这类函数来曲线救国。
- 常见绕过场景:当引号被全局过滤,或者像
database()这样的函数名被拦截,但字段值仍然可控时,HEX编码就有了用武之地。 - 典型payload示例:
id=1' AND (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)=0x7573657273 --+ - 一个关键细节:HEX字符串的长度必须是偶数,否则MySQL会直接抛出一个
Incorrect hexadecimal value错误。
为什么单纯检测 0x[0-9a-fA-F]+ 不够用
很多初级的防御方案会想到用正则表达式,比如 0x[0-9a-fA-F]+,来匹配所有疑似HEX编码的字符串。想法不错,但现实是,攻击者有太多办法能让这层检测形同虚设。
- 大小写混用:
0X61646D696E(注意,MySQL是允许大写X的)。 - 中间插入干扰:比如在十六进制数字中插入注释
0x61/**/646D696E,或者换行符0x61%0a646D696E,就能轻松打乱简单的正则匹配。 - 函数包裹:直接不用
0x前缀,改用UNHEX('61646D696E')或者CONV(61646D696E,16,10)这样的函数来达到同样目的。 - 字符串拼接:
CONCAT(0x6164,0x6D696E)这种分而治之的策略,也能有效绕过对完整HEX串的检测。
更棘手的情况是,0x 这个前缀本身可能被WAF误判为无害的普通字符而放行,真正的风险其实隐藏在后面那串可执行的十六进制内容里。这就好比只检查了信封,却忽略了信纸上的密文。
输入流里怎么有效识别可疑HEX编码
所以,防御的核心思路不应该仅仅是“寻找 0x 前缀”,而应该聚焦于“判断这段数据是否会被数据库解释为字符串”。一个更可靠的方案是进行分层检测:
- 第一层(语法层扫描):使用更全面的正则模式,尽可能提取所有疑似HEX字面量的变体。这包括但不限于
0x[0-9a-fA-F]{2,}、0X[0-9a-fA-F]{2,},以及像UNHEX\([^)]+\)、CONV\([^)]+\)这类函数调用模式。 - 第二层(语义层校验):对提取出来的内容进行深度分析。检查其长度是否为偶数;验证字符集是否严格限定在
0-9a-fA-F范围内;尝试对其进行解码(例如用Python的bytes.fromhex("61646D696E")),看是否会抛出异常。 - 一个高危信号:如果发现
0x后面紧跟的十六进制解码后是ASCII控制字符,比如0x27(单引号)、0x3B(分号)、0x3D(等号)或0x20(空格),那么这几乎可以断定是恶意的构造企图。
真实环境中容易忽略的边界点
即便部署了HEX检测规则,在实际的复杂环境中,仍有几个边界点容易被忽略,从而留下防御死角:
- 中间件的“好意”:请求参数可能是
?id=0x61646D696E,但像Nginx、Spring这类中间件或框架,可能在请求到达后端业务逻辑之前,就已经自动完成了URL解码。后端收到的已经是原始的字节流,如果检测逻辑只扫描最原始的HTTP请求体,就会完全失效。 - JSON体内的“伪装”:在POST请求的JSON体中,如
{"username":"0x61646D696E"},这个字符串值只有在经过JSON解析器之后才会暴露出来。因此,检测点必须设在反序列化之后、SQL语句拼接之前这个关键环节。 - 数据库版本的差异:MySQL 8.0及以上版本支持在
0x后跟奇数长度的十六进制数(会自动补零),但旧版本会直接报错。这意味着,不能单纯依靠“是否引发数据库错误”来判断一个HEX串是否合法。
说到底,最稳妥的防御策略,是在进行参数绑定或SQL拼接之前,就对所有输入值做一次统一的“HEX字符串还原与白名单字符检查”。这比单纯依赖静态的模式匹配,要可靠得多。毕竟,安全防御的本质,就是比攻击者想得更深一层。
