第31篇:一系列操作使sqlmap识别一个奇葩的延时注入点并绕waf的艰难过程

已于 2022-12-22 12:01:44 修改
阅读量950 收藏 2
点赞数
分类专栏: 红队攻防 文章标签: 安全 web安全 python 开发语言
于 2022-11-19 18:25:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/128017482
版权

3742e409c441238f3b223b08dd9e610b.png

 Part1 前言 

在最近的一次渗透测试项目中,遇到了一个奇葩的SQL延时注入漏洞,sqlmap无法识别出来。但是客户非让在测试环境跑出数据进行验证,否则不认可这个漏洞的危害性。编写一个多线程的延时注入脚本是很麻烦的,于是ABC_123经过了一系列操作,最终成功让sqlmap识别这个注入点并成功枚举出数据,相信也能给大家很多的启示。

注:在读研那会儿,我曾经把sqlmap手册打印出来,从头到尾看了好多遍,多读读sqlmap手册,可以加深对sqlmap的理解。

 Part2 技术研究过程 

  • 注入漏洞判断过程

经过测试,发现这个注入点只能用uid=sleep(5)这种形式的payload才能发生延时,由于web应用对用户提交的数据进行了严格判断,所以sleep(5)函数左右不能有任何的单引号、双引号、and、or等等。尝试用sqlmap注入,结果发现sqlmap无论怎么配置参数,都是识别不出来这个注入点的。

a53ca26eb1dfca5bff5d4e5617824de7.png

  • Sqlmap无法注入的原因分析

 1   有waf或者Web应用程序本身对用户提交的数据进行了严格的过滤。这个可以结合sqlmap的tamper脚本来绕过。

 2   函数sleep(5)左右无法接逻辑连接字符and or || 等,导致sqlmap无法在合适的地方插入自己的注入语句。

 3   只要sleep(1)函数设置了延时时间,哪怕只设置了1秒,那么它也会一直延迟下去,直至超时,这种情况也是造成sqlmap无法识别的重要原因。

  • Sqlmap设置第1步,构造if函数

接下来怎么才能让sqlmap识别这个注入点呢,我想到了给注入语句加上一个if函数,利用插入*号的方法使sqlmap识别这个注入。

uid=if(1=1 and 1=1,sleep(5),1)  延时

uid=if(1=1 and 1=2,sleep(5),1)  不延时,证明语句可用。

4ecfff09f9987ebaf3a1f7ca1342d8bf.png

接下来在if语句中插入*,构造以下数据包,导出txt文本,用sqlmap -r c:\zhuru111.txt这样载入sqlmap中。

2846eefaafc19ff804bce1754d08fb89.png

  • Sqlmap设置第2步,绕过waf过滤

经过一系列手工判断,发现程序过滤了空格、< > ,还过滤了其它的字符,但是幸亏没干掉select,使得这个注入点跑出数据问题不大。解决这个过滤问题,可以使用sqlmap的绕waf脚本space2comment.py,between.py。

space2comment.py脚本代码如下,可以将空格替换为/**/注释符:

c63003214ca2e19bf3e879a3cb79d7ab.png

between.py脚本代码如下,将<  >替换为between 0 and 98形式的注入语句:

291cc0a287d47f7ff588bc5810bfd172.png

  • Sqlmap设置第3步,优化延时参数

经过上面两个步骤设置,sqlmap还是识别不出这个注入点的。接下来怎么办呢?经过一系列尝试,将sleep(5)值设置大一些,设置为延迟33秒,变成if(1=1*,sleep(33),1),然后添加延时参数--time-sec=5,最后加上--risk=3、--level=3,终于可以注入跑出数据了,最终的sqlmap的语句如下:

sqlmap.py -r c:\sql111.txt --force-ssl --proxy="http://127.0.0.1:8080/" --tamper=space2comment.py,between.py --batch --dbms=Mysql --technique BT --risk 3 --level 3 --time-sec 5 --current-db --threads 10

933d340c7bc18c3a11e356d8da49a5e4.png

  • Sqlmap设置第4步,快速枚举表及字段

使用sqlmap猜解出了数据库名,但是猜解表名是一个麻烦事,因为延时注入是一个字符一个字符的猜解,速度太慢了。但是我们可以挂一个字典让sqlmap来枚举表及字段,而不用一个字符一个字符地猜解,这样对于延时注入来说,速度更快。

命令如下--common-table --common-columns

很快猜解出了user表,然后很快猜解出了email,name,pwd等字段,接下来就是猜解数据了,最终我们构造出一个很复杂的sqlmap语句。

sqlmap.py -r c:\sql111.txt --force-ssl --proxy="http://127.0.0.1:8080/" --tamper=space2comment.py,between.py --batch --dbms=Mysql --technique BT --risk 3 --level 3 --time-sec 5 -T 数据库名 -C 表名 -C user,email,pwd --dump --threads 10

 Part3 总结 

1.  把sqlmap的手册多看看,多了解一下sqlmap的各种参数的使用说明,在日常渗透测试工作中会事半功倍。

2.  提前构造一个if(1=1,1,2)或者case when语句,可以使sqlmap可以识别一些奇葩的sql注入点。

2f1be58dd01cbfb211a9dfb6b1c9e521.png

专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等

每周一篇,99%原创,敬请关注

希潭实验室
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mysql延迟注入br_(原创)安全狗SQL注入过思路[sql注入waf过][sql注入bypass]
weixin_39743357的博客
01-28 253
2017/09/03_Bypass_safedog_Sql注入prat 1本文大致内容+ 思路以及想法- 四重注释过safedog+ 实战过- 过and 1=1- 过union+select- 爆表- 爆字段- 读内容prat 2测试代码$link = mysqli_connect('localhost','root','root','security');$sql = "select *...
sqlmap waf识别模块identYwaf
分享博主日常学习和使用的一些技术
12-14 5180
知己知彼,百战不殆。
SQL 注入神器:SQLMap 参数详解
最新发布
Flag少侠的博客
05-01 2179
这些选项可用于创建自定义用户定义函数--udf-inject 注入自定义用户定义函数--shared-lib=SHLIB 共享库的本地路径。
Sqlmap————8、SQLmap延时注入
Fly_鹏程万里
05-05 7088
参数: --delay--safe-freq格式:Sqlmap -u http://sfl.fzu.edu.cn/index.php/Index/view/id/40.html --dbs   --delay    1sqlmap -u http://sfl.fzu.edu.cn/index.php/Index/view/id/40.html --dbs  --safe-freq   3其余的数据...
SQL注入SQLMap
qq_53218512的博客
07-24 1014
Sqlmap是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。
SQL注入延时注入
qq_45557130的博客
10-07 1545
sql注入延时注入
渗透测试必备神器SQLMAP的所有waf脚本合集
10-18
综上所述,SQLMAP是一个强大的渗透测试工具,其WAF脚本集合是针对不同情况下的解决方案库。掌握和运用SQLMAP,能够帮助安全从业者更好地发现和评估Web应用程序的安全状况,及时修复SQL注入漏洞,保护数据安全。在...
第十一节 Sqlmap注入参数2-01
09-15
Sqlmap是一款功能强大且广泛应用的SQL注入工具,本节课程将详细介绍Sqlmap的四个重要参数:强制设置无效值替换、自定义注入负载位置、设置Tamper脚本和设置DBMS认证。 Sqlmap强制设置无效值替换 在 Sqlmap 中,...
sqldd:一款碾压sqlmap的sql注入漏洞检测系统^^
05-31
Sqli-lib是一款由PHP语言编写SQL注入漏洞闯关游戏,包含了六十几个可注入页面,涵盖了几乎所有类型SQL注入漏洞,同时不同的关卡自定义了不同的过滤规则,是SQL注入漏洞学习的首选靶场。图4-1 本地搭建Sqli-lib环境...
实战过双重waf(玄武盾+程序自身过滤)结合编写sqlmap的tamper获取数据.pdf
03-24
实战过双重waf 玄武盾+程序自身过滤 结合编写sqlmap的tamper获取数据 文档来自互联网仅做学习使用,请勿使用文档相关内容进行违法犯罪活动。
sql注入过方法总结
12-19
sql注入过方法总结,waf,D盾
SQL注入手册-时间延迟注入
jdk12123的博客
09-01 1597
时间注入又名延时注入,属于盲注入的一种,通常是某个注入点无法通过布尔型注入获取数据而采用一种突破注入的技巧。在 mysql 里 函数 sleep() 是延时的意思,sleep(10)就是 数据库延时 10 秒返回内容。判断注入可以使用’and sleep(10) 数据库延时 10 秒返回值 网页响应时间至少要 10 秒 根据这个原理来判断存在 SQL 时间注入。mysql 延时注入用到的函数 sleep() 、if()、substring()
sqlmap识别网站WAF_如何判断网站WAF
anlalu233的博客
02-28 2956
sqlmap中自带了识别waf的模块可以识别出网站的waf种类,如果安装的waf没有什么特征,识别出来的就是:Generic。 sqlmap识别命令: sqlmap.py -u “http://www.xxx.com” --identify-waf --batch 详细的识别规则在sqlmapwaf目录下,也可以自己编写规则,写好了直接放waf目录下即可。 转载于:https://www.cnb...
SQL注入sqlmap入门教程
m0_56634355的博客
04-09 9088
sqlmap是sql注入必备的也是最常用的工具,是每一位白帽子在的利器之一。
【SQL注入--延时注入
weixin_52351575的博客
10-13 788
的时候是没有任何延迟的,所以判定它的首字母的ascii码值是107.找出ascii码表对应的首字母是f。原理:在没有得到任何回显的情况下,只能通过延迟页面的跳转来进行数据库的核对。我们看到界面,首先在url栏进行GET传参,但是没有任何回显,界面没有变化。接着,我们利用ascii()的函数去找出数据库的第一个字母的ascii码值。的时候,界面没有任何延迟,于是判定数据库的长度是12个字节长。所以判定我们输入的sql代码得到了执行。于是,我们输入代码,来查询数据库的长度。改90的值,依次递增,最终得到代码。
waf过之——waf注入
温柔小薛的博客
04-28 1525
waf注入过 这样算是面试过程中比较经典的一个问题了 网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。 功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。 能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。主要是防一些网络层和传输层的攻击 目...
SQL进阶理论篇(二十一):基于SQLMap的自动化SQL注入
经年藏殊的博客
12-24 891
基于SQLMap工具的几个自动化SQL注入示例
sqlmap(超超超详细使用教程)——实例说明最后介绍提权和waf狗的脚本
记录并分享学习安全的知识点..
12-31 1130
一、明确使用sqlmap进行sql注入操作流程: (1)判断可注入的参数 (2)判断可以用那种SQL注入技术来注入 (3)识别出哪种数据库 (4)根据用户选择,读取哪些数据 二、目标后所接的参数说明 -u +URL -d #直连数据库,"mysql://root:root@192.168.1.1:3306/mysql" -l #从Burp代理日志文件中解析目标地址 -m #从文本文件中批量获取目标 -r #从文件中读取 HTTP 请求 --purge #清除历史缓存 --flush-sessi.
sql注入-08 sqlmapwaf
weixin_44576725的博客
11-17 3609
sqlmapwaf 1、过的方法–白名单 方式一:ip白名单 从网络层tcp、udp获取的ip,这种一般伪造不来。 如果是通过脚本获取客户端的IP,这样就可能存在伪造IP过的情况。 测试方法:修改http的header来bypass waf x-forwarded-for x-remote-IP x-originating-IP x-remote-addr x-Real-ip 方式二:静态资源 特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等), 类似白名单
现有一个网页,已知它存在注入点,你该如何利用sqlmap进行注入?请简述注入过程
06-10
首先,你需要使用sqlmap工具对该网页进行扫描,以确定注入点的存在性。如果sqlmap检测到注入漏洞,则可以使用以下命令进行注入: ``` sqlmap -u URL --dump ``` 其中,URL是目标网页的地址。--dump选项用于获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值