渗透测试-SQL注入之Fuzz绕过WAF

已于 2023-01-20 10:40:24 修改
阅读量4.3k 收藏 24
点赞数 3
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-04-21 23:50:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/124334475
版权

WAF绕过原理之Fuzz绕过

文章目录

前言

一、什么是Fuzz

在讲fuzz与sql注入结合绕waf之前我们先来讲讲什么是fuzz,fuzz其实就是一种对请求参数的模糊测试,简单来说就是对一个接口的某个参数或多个参数用自定义的内容进行批量提交,根据接口返回内容来判断自定义内容参数对接口的影响。

首先先说waf防御的原理,简单来说waf就是解析http请求,检测http请求中的参数是否存在恶意的攻击行为,如果请求中的参数和waf中的规则库所匹配,那么waf则判断此条请求为攻击行为并进行阻断,反之则放行。

常见的sql注入绕过waf有两种方式,一种是利用waf可能存在的http协议解析缺陷来绕过waf,另外一种是利用各种方式来包装sql注入语句进行混淆来绕过waf的规则库。

FUZZ与sql注入waf绕过结合
首先来说说造轮子的原理,fuzz是对某个接口的一个参数或多个参数进行自定义参数批量请求的模糊测试,sql注入的漏洞成因是某个接口中后端没有对某个参数或多个参数的内容进行过滤并将参数内容直接合并到sql语句中进行查询,waf的防御原理是解析http请求,对里面每个参数的内容根据规则库进行匹配,那么通过fuzz结合sql注入对waf进行绕过的原理也就显而易见了。首先我们生成大量经过混淆的sql注入语句,然后填入对应参数中,进行批量发送,根据返回内容进行判断waf是否对这种混淆方式进行拦截,如果拦截则判断这种混淆方式不可取,如果不拦截则可以用这种混淆的方式对所有的sql注入语句进行包装。

然后用burp生成fuzz字典,进行爆破就可以了

二、利用Fuzz绕过WAF获取数据库信息

1.Fuzz绕过方法

这里我们下载网站安全狗作为WAF,用sqli-labs实验第一关进行测试
首先我们输入
http://192.168.222.4/sqli-labs/Less-1/?id=1’
在这里插入图片描述
发现报错,进行SQL注入试试,输入
http://192.168.222.4/sqli-labs/Less-1/?id=1’ and ‘1’=‘1
在这里插入图片描述
发现WAF进行了拦截,无法进行注入,这时我们就要借助burp进行抓包,进行Fuzz绕过。
在这里插入图片描述
这时我们发送到intruder进行爆破,这里我补充一些知识,如何进行设置参数爆破,
我们可以对空格进行转义,空格有很多的编码表现形式,(’ '==%20)
在这里插入图片描述
在这里插入图片描述
像我们黑盒测试绕过方法中有对空格进行转义的字符,可以利用构造特殊字符进行爆破,这里我们利用/* xxx*/进行实验。

2.利用Fuzz绕过WAF获取数据库信息

在这里插入图片描述

http://192.168.222.4/sqli-labs/Less-1/?id=1%27%20and%20%271%27=%271
我们就可以将%20进行转换为/* a*/,设置参数,设置字符a1!%(/),和payload
在这里插入图片描述
设置线程为20
在这里插入图片描述
进行攻击
在这里插入图片描述
这里返回不一样的数据包,再查看一下图片,看一下render
在这里插入图片描述
发现返回了用户信息,绕过成功。
这里同样可以通过查询语句注入,在进行burp爆破就可以了,找不同的数据包就可以成功绕过,查看数据库信息了。

总结

本次实验是对Fuzz绕过WAF的一次经典实例,借助burp工具进行抓包和攻击,得到不同的数据包,查看返回结果,进行绕过WAF获取用户信息的一次实战练习。

炫彩@之星
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
44-5 waf绕过 - SQL注入WAF方法
weixin_43263566的博客
06-04 84
内联注释是一种特殊的注释格式,在其后面紧跟着数据库版本号时,如果实际的数据库版本等于或高于该字符串,则应用程序会将注释内容解释为SQL语句,否则将其视为注释处理。默认情况下,如果没有指定版本号,内联注释中的内容将会执行。首先经过测试发现安全狗并不是直接过滤 and 关键字,而是过滤 adn + 一个表达式,如:and 1=1 这种才会被过滤。如果你要使用order by进行爆列,会发现也被过滤了,绕过:使用 group by 绕过。/ 之后的注释内容则会被真正地注释掉,失去作用。
SQLI FUZZ字典
weixin_44364851的博客
12-19 1376
“or “a”=“a ')or(‘a’=‘a or 1=1– ‘or 1=1– a’or’ 1=1– "or 1=1– ‘or’a’=‘a “or”="a’=‘a ‘or’’=’ ‘or’=‘or’ 1 or ‘1’=‘1’=1 1 or ‘1’=‘1’ or 1=1 'OR 1=1 “or 1=1 'xor ‘or 1=1/* 1’or’1’=‘1 ’ a’ or 1=1– “a”” or 1=1–” or a = a a’ or ‘a’ = ‘a 1 or 1=1 a’ waitfor delay ‘0
SQL注入常规Fuzz全记录
凡宇
07-18 4368
前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。 进入主题 1.访问题目,是个典型的登录框 2.尝试输入admin/123456,提示密码错误,因此可以确定存在用户admin,这里可能会有师傅要爆破了,但这里题目要求sql注入,我们就按...
2024年网络安全最全Fuzzing技术分析_fuzz技术(1),2024年最新看完这一篇你就懂了
2401_84281655的博客
05-06 672
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
WEB漏洞-SQL注入SQLMAP绕过WAF
硫酸超的博客
08-07 1529
WAF
渗透测试mysql SQL注入——WAF 绕过原理
网络安全领域优质创作者
02-16 1654
WAF绕过必要条件 1,熟练掌握mysql函数和语法使用方法 2,深入了解中间件运行处理机制 3,了解WAF防护处理原理和方法 一,WAF绕过原理——白盒绕过 代码样例 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($resul...
个人笔记-渗透测试-SQL注入
weixin_48162696的博客
05-20 872
SQL注入原理,sql注入的数据类型,sql注入的提交方式,手工注入,sqlmap,基础防御,
第18天-WEB漏洞-SQL注入之堆叠及WAF绕过注入
MCTSOG的博客
03-02 1429
​ 实际渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。 堆叠查询注入 (局限性:只产生在部分数据库) ​ Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条
SQL注入WAF绕过技巧
永远是少年
08-11 2754
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQL注入WAF绕过技巧。 一、数据层面绕过WAF 二、方式层面绕过WAF 三、其他方式绕过WAF 四、写在最后
渗透测试-WAF绕过通用思路
cdyunaq的博客
03-14 2994
概述:通用的方法,不仅限于 SQL 注入,就是万金油,无非就是大小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF 特性等 核心:所有能改的地方,都捣鼓捣鼓改改,增加就加,能删就删,多拿点其他内容来混淆视听。 大小写 unIoNSelect 双写 一些后端可能会直接给关键词过滤为空,那么就可以利用双写来绕过 ununionion==>去掉union==>union 编码 URL 编码 Unicode 编码 十六进制编码 ...
sql_fuzz-检测waf过滤关键字字典.txt
09-26
非常全面的SQL注入关键字检测字典,检测网站waf过滤了哪些关键字的字典,配合burpsuit使用非常有效。
sql注入字典fuzz
01-11
这些特殊字符可以被用来绕过某些安全机制或构造复杂的SQL语句。 4. **布尔逻辑与条件判断**:`AND`、`OR`、`CASE`等布尔逻辑关键字及条件判断语句在SQL注入中经常被用到。它们可以帮助攻击者构造更为精确的SQL查询。...
SQL注入fuzz字典
02-28
sql注入时很多关键的字符和关键字都过滤了,被称非法,一个一个测试不现实。可以使用该字典,用burp suite跑了一下来判断被过滤的字符。其中长度367表示可用,370表示非法字符,被过滤了。
SQL注入 FUZZ关键字 字典
08-20
SQL注入 FUZZ关键字 字典
oss-fuzz:OSS-Fuzz-开源软件的连续模糊测试
02-05
OSS-Fuzz:开源软件的连续模糊测试 是一种用于发现软件编程错误的众所周知的技术。 其中许多可检测到的错误(例如)可能会带来严重的安全隐患。 通过部署 Google已经发现了的安全漏洞和稳定性错误,我们现在希望与...
Postman 中的 API 安全性测试:最佳实践与技巧
2402_85762143的博客
07-12 623
通过本文的介绍,你应该对如何在 Postman 中进行 API 的安全性测试有了深入的了解。记住,安全性测试是一个持续的过程,需要定期进行以应对不断变化的安全威胁。使用 Postman 提供的工具和技巧,你可以为你的 API 构建一个强大的安全防线。
Web安全:Web体系架构存在的安全问题和解决方室
最新发布
程序员-张师傅
07-24 1490
Web体系架构在提供丰富功能和高效服务的同时,也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面,对企业和个人造成不可估量的损失。
“微软蓝屏”事件暴露了网络安全哪些问题?
Asunqingwen的博客
07-23 493
微软蓝屏事件虽然只是一次技术问题,但却暴露了当前网络安全中的诸多隐患,通过此次事件,我们应该深刻反思并采取相应措施,提升网络安全水平,保护用户和企业的信息安全。网络安全不仅仅是技术问题,更是一个系统工程,需要各方的共同努力。只有不断提升安全意识和防护能力,才能在瞬息万变的网络环境中立于不败之地。
burpsuite fuzz sql注入
02-19
Burp Suite是一款常用的Web应用程序安全测试工具,其中的Fuzzing功能可以用于检测和利用SQL注入漏洞。SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过构造恶意的SQL查询语句来绕过应用程序的身份验证和访问控制,甚至获取敏感数据。 在Burp Suite中使用Fuzzing功能进行SQL注入测试的步骤如下: 1. 配置目标:在Burp Suite中,选择要测试的目标应用程序,并配置代理设置,确保所有的流量都经过Burp Suite进行拦截和修改。 2. 构造注入点:在目标应用程序中找到可能存在SQL注入漏洞的参数或输入字段,并将其标记为注入点。可以使用Burp Suite的Intruder工具来自动识别和标记注入点。 3. 准备Payloads:准备一组恶意的SQL注入Payloads,这些Payloads将被插入到注入点中进行测试。Payloads可以包括常见的SQL注入语句、特殊字符、SQL函数等。 4. 配置Fuzzing:在Burp Suite的Intruder工具中,选择要进行Fuzzing的请求,并将注入点设置为Payload位置。将准备好的Payloads加载到Intruder中,并配置其他相关选项,如并发请求数、超时时间等。 5. 启动Fuzzing:启动Fuzzing过程,Burp Suite将自动发送带有不同Payloads的请求,并记录每个请求的响应。可以通过查看响应中的错误信息、时间延迟等来判断是否存在SQL注入漏洞。 6. 分析结果:根据Fuzzing的结果,分析每个请求的响应,查找异常或错误的迹象。如果发现响应中包含SQL错误信息、应用程序行为异常等,可能存在SQL注入漏洞。 需要注意的是,在进行SQL注入测试时,应该遵循合法和道德的原则,仅在授权范围内进行测试,并避免对生产环境造成任何损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值